Cisco交换故障：路由交换机debug故障诊断7

会计考友

3. Debug list
   
    这事一条比较少用但比较有意思的命令。实际上这条命令什么也不调试。它为你下一条debug命令在你的一个接口上设置一个访问列表。 如：
   
    debug list 1
' S! g$ Q6 a% b6 {   
    debug dhcp detail
   
    DHCP client activity debugging is on for access list: 1 （detailed）
& E* P! R, V4 c+ W  I   
    2. 记录access list 到system 或syslog
5 `/ b2 L6 M" t; S. f   
+ c" w. o3 c2 v6 @    你可以在一条访问列表的最后使用log 选项来记录被允许或者拒绝的数据包。相当于起到部分防火墙或者访问控制的作用。举例：
   
    首先，假设你只允许BGP在你的网络中传输然后希望跟踪其它的企图进入某链路的传输。配置例子：
   
    Interface Serial 0/0
: V5 l$ P7 L: O4 j& ~   
4 T. q! c' J$ ^5 {5 S* i    Access-group 100 in
* ^$ |' \0 j" f2 ~+ m- R3 z   
    access-list 100 remark Begin - Allow BGP IN and OUT
   
    access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq bgp
   
8 U5 N1 N3 R& A% f4 K. P    access-list 100 permit udp any host 2.2.2.2 gt 33000
' U$ V2 U1 X3 t$ _* Q$ Y( C   
% a; F7 x# D2 S4 v- w# F# V( o    access-list 100 remark End
   
    access-list 100 deny ip any any log
5 r. P& A. C- w   
3 b* ~1 l, X! W/ U' o    如果你开启了"logging buffered"或者配置了syslog服务器，所有经过你的路由器的传输会被记录下来。
# O( z9 |$ ~5 l% ~( H2 j2 ]& y1 Q   
    在第二个例子里面，假设你希望建立一条访问列表某一类型的传输通过你的拨号接口。配置如下：
   
+ a" e& y) E9 F- O& O8 Z    Interface BRI 0/0
# \/ Q/ _  i4 E. q   
" N& J/ L8 l# G5 }) }4 q) A9 z) V" V    Access-group 100 in
   
( V8 q# ?8 ^1 d  M/ t! L" W( k    Access-group 100 out
   
+ K& d: Q) E6 {2 ]0 Z& b; V    access-list 100 permit ip any any log
3 W- d1 K; u0 |* b" R   
8 S3 e3 x1 j1 j  k2 H8 Z+ ^    如果你查看router的log, 你会发现ICMP packet 和一个TCP packet通过了你的链路：
, R% x$ r- l. r/ A* D. Y' ~   
( K& o2 M# ]! F) S( b( R    02:03:43: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 1.1.1.2 -> 1.1.1.1 （0/0）， 1 packet
/ a1 {; N  y1 P' B' v, B   
, g8 `0 X& D6 q, l' U$ W    02:06:25: %SEC-6-IPACCESSLOGP: list 100 permitted tcp 1.1.1.2（0） -> 1.1.1.1（0）， 1 packet