取消
显示结果 
搜索替代 
您的意思是: 
cancel
9819
查看次数
12
有帮助
11
回复

Stack ACL 疑問

Dong-Lin
Spotlight
Spotlight
目前小弟遇到一個問題,我拿兩台2960X的swtich ios版本為15.2(3)E做stack,master和member都有接網路線然後有做ACL deny的敘述都有下log,流量從master進入在deny的部分能夠正常的吐出log,但是流量從member進入ACL deny有正常的在運作,但是卻沒有吐出log,有大大知道是甚麼原因嗎?
11 条回复11

Rockyw
Spotlight
Spotlight
是不是log都输出到master?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

完全感觉
Spotlight
Spotlight
堆叠的话,应该当做一台交换机,配置和log都在主上

Dong-Lin
Spotlight
Spotlight
Rocky 发表于 2018-7-2 23:34
是不是log都输出到master?

由member擋下來的log都沒輸出,從master上也看不到

Dong-Lin
Spotlight
Spotlight
完全感觉 发表于 2018-7-3 08:57
堆叠的话,应该当做一台交换机,配置和log都在主上

但是從master上就是沒看到log

Rockyw
Spotlight
Spotlight
有没有试过在ACL语句的后面加log关键字,例如
access-list 111 permit ip any any log
具体可以参考下面的讨论,也许其中会有解决你问题的方法
C2960X in L3 mode doesn't log ACL deny packets.
https://supportforums.cisco.com/t5/lan-switching-and-routing/c2960x-in-l3-mode-doesn-t-log-acl-deny-packets/td-p/3056189
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Dong-Lin
Spotlight
Spotlight
Rocky 发表于 2018-7-3 23:37
有没有试过在ACL语句的后面加log关键字,例如
access-list 111 permit ip any any log

log都有加,但是只有流量從master那台進入時才有log,從member進入master不會吐log

Dong-Lin
Spotlight
Spotlight
likuo 发表于 2018-7-4 14:38
可能被过滤掉了。

請問是被甚麼過濾掉呢?

Dong-Lin
Spotlight
Spotlight
likuo 发表于 2018-7-4 15:20
我猜是设备配置。

ip access-list extend test
deny ip any any log
int g1/0/1
switchport mode access
switchport acccess vlan 201
ip access-group test in
int g2/0/1
switchport mode access
switchport acccess vlan 201
ip access-group test in
int vlan 201
ip address 192.168.1.1 255.255.255.0
目前只有下這樣的配置做測試,流量從g1/0/1進入acl會正常運作也有log,流量從g2/0/1進入acl也會deny,但是show access-lists 查看match沒增加也沒log

Rockyw
Spotlight
Spotlight
622145789631 发表于 2018-7-4 13:58
log都有加,但是只有流量從master那台進入時才有log,從member進入master不會吐log

我提供的那篇文章里还有其他的方法,你看一看是否有用。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rockyw
Spotlight
Spotlight
可以试试
logging trap 5 or 6
logging buffered 5 or 6
5 is notifications and 6 is informational.
或者试试 log-input, 例如:
access-list 100 deny ip any any log-input
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Dong-Lin
Spotlight
Spotlight
Rocky 发表于 2018-7-5 23:19
可以试试
logging trap 5 or 6
logging buffered 5 or 6

這些我試過了,一樣的結果
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接