我有一个Cisco 877路由器。 我有一个IPv4访问列表和一个IPv6访问列表设置和configuration类似于此:
interface Dialer1 ... ip access-group INTERET-IN ipv6 traffic-filter IPV6-IN Access列表与此类似:
ip access-list extended INTERNET-IN remark establishd connections permit tcp any any established ... deny ip any any log
和:
ipv6 access-list IPV6-IN permit esp any any sequence 30 permit tcp any any established sequence 50 remark NTP ... sequence 240 deny ipv6 any any log-input
每个访问列表都有一个deny ip/ipv6 any any log的最终规则。 但是,在我的系统日志中,我注意到这两种types的条目之间的格式有所不同。 IPv4会说:
%SEC-6-IPACCESSLOGP: list INTERNET-IN denied udp 88.89.209.63(137) -> 1.2.3.4(137), 1 packet
而IPv6列表会说
%IPV6_ACL-6-ACCESSLOGNP: list IPV6-IN/240 denied 59 2001:0:5EF5:79FD:14F9:B773:3EBA:3EE3 (Dialer1) -> 2001:800:1000:0::1, 8 packets
两者具有大致相同的信息,但是IPv6日志条目缺less协议types和端口,如果我试图排除连接故障,这两个都是非常有用的。
为什么是这样? 如何获取IPv6拒绝日志以显示使用的协议和端口(如果有)?
它不应该是不同的。 作为我的一个路由器(很明显,编辑)的一个例子:
Jun 19 16:39:56.440:%IPV6_ACL-6-ACCESSLOGP:list tu0-internet-in / 190 denied udp 2001:x:x:x :: 2(123)(Tunnel0) – > 2001:x:x:x :x:x:x:x(123),2个数据包
6月19 16:41:04.636:%SEC-6-IPACCESSLOGP:列表internet-in拒绝tcp xyzq(443)(GigabitEthernet0 / 3 beef.1aa1.beef) – > abcd(xxxxx),1个数据包
你的ipv6 ACL有一个明确的拒绝瓦特/日志input端接线,如:
ipv6 access-list tu0-internet-in … sequence xxx deny ipv6 any any log-input
为了比较的目的添加ACL的示例会有所帮助,但我怀疑它可能只是明确的否定,应该解决的问题。
您显示的日志行显示协议59,这只是IPV6标头的一种方式,表示在数据包中不再有数据在IPV6标头之后。 通常你会在这个字段中看到协议号码6,然后是TCP数据包头部或UDP协议17。