我有一个ACL来防止常规工作站访问交换机上的pipe理VLAN。 每5分钟我们会得到以下日志条目:
%SEC-6-IPACCESSLOGS: list mgtvlan-acl denied 0.0.0.0 20 packets
交换机是运行IOS C3750-IPBASEK9-M,版本12.2(52)SE的Cisco 3750G
acl是:
ip access-list standard mgtvlan-acl permit [management workstation netowrk] permit [other management networks] deny any log
acl应用于名为Vlan50的第3层接口
interface Vlan50 description management vlan ip address 199.254.98.xx 255.255.255.192 ip access-group mgtvlan-acl in
我已经尝试了vlan50接口上的各种debugging命令和ip记帐。 我还打开了terminal监视器,以确保无需依赖syslog服务器即可看到所有内容。
有没有什么办法可以得到更多的信息,这些数据包是什么或他们来自哪个物理接口,而不需要经过设置wireshark的麻烦?
我会做两件事情:
1)转换为扩展ACL,以便您可以logging目标IP地址
2)看你的交换机是否支持访问expression式末尾的“log-input”参数。 日志inputlogging框架的来源Mac,这将帮助您find罪魁祸首。
如上所述,基于迄今为止的数据,dhcp是一个很好的猜测
如果有帮助的话,如果pipe理vlan上的某些东西试图联系DHCP服务器,那么这就是我所期望的信息。