请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 1366|回复: 11

Stack ACL 疑問

[复制链接]
发表于 2018-6-30 23:20:25 | 显示全部楼层 |阅读模式
5可用金钱
目前小弟遇到一個問題,我拿兩台2960X的swtich ios版本為15.2(3)E做stack,master和member都有接網路線然後有做ACL deny的敘述都有下log,流量從master進入在deny的部分能夠正常的吐出log,但是流量從member進入ACL deny有正常的在運作,但是卻沒有吐出log,有大大知道是甚麼原因嗎?

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2018-7-2 23:34:36 | 显示全部楼层
是不是log都输出到master?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
发表于 2018-7-3 08:57:35 | 显示全部楼层
堆叠的话,应该当做一台交换机,配置和log都在主上
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分2 (1 评价)
 楼主| 发表于 2018-7-3 16:34:57 | 显示全部楼层
Rocky 发表于 2018-7-2 23:34
是不是log都输出到master?

由member擋下來的log都沒輸出,從master上也看不到
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-7-3 16:35:51 | 显示全部楼层
完全感觉 发表于 2018-7-3 08:57
堆叠的话,应该当做一台交换机,配置和log都在主上

但是從master上就是沒看到log
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-7-3 23:37:11 | 显示全部楼层
有没有试过在ACL语句的后面加log关键字,例如
access-list 111 permit ip any any log

具体可以参考下面的讨论,也许其中会有解决你问题的方法
C2960X in L3 mode doesn't log ACL deny packets.
https://supportforums.cisco.com/ ... ackets/td-p/3056189
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-7-4 13:58:50 | 显示全部楼层
Rocky 发表于 2018-7-3 23:37
有没有试过在ACL语句的后面加log关键字,例如
access-list 111 permit ip any any log

log都有加,但是只有流量從master那台進入時才有log,從member進入master不會吐log
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-7-4 15:16:47 | 显示全部楼层
likuo 发表于 2018-7-4 14:38
可能被过滤掉了。

請問是被甚麼過濾掉呢?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-7-4 15:35:54 | 显示全部楼层
likuo 发表于 2018-7-4 15:20
我猜是设备配置。

ip access-list extend test
deny ip any any log

int g1/0/1
switchport mode access
switchport acccess vlan 201
ip access-group test in

int g2/0/1
switchport mode access
switchport acccess vlan 201
ip access-group test in

int vlan 201
ip address 192.168.1.1 255.255.255.0

目前只有下這樣的配置做測試,流量從g1/0/1進入acl會正常運作也有log,流量從g2/0/1進入acl也會deny,但是show access-lists 查看match沒增加也沒log
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-7-4 21:44:20 | 显示全部楼层
622145789631 发表于 2018-7-4 13:58
log都有加,但是只有流量從master那台進入時才有log,從member進入master不會吐log

我提供的那篇文章里还有其他的方法,你看一看是否有用。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-9-23 09:29 , Processed in 0.114008 second(s), 54 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表