Log和log-input做用

概述

當路由器爲用戶轉發了數據以後，若是管理員想查看路由器曾經爲哪些用戶轉發過數據，在正常狀況下，這是沒法查證的。可是，能夠經過接口配置ACL，而且強制ACL記錄下曾經轉發過的用戶記錄，這樣，就能從路由器得知哪些用戶是發起過數據的，而且發送了多少數據，可是用戶發出的數據內容，是沒法記錄的。

要達到以上目的，那在配置ACL時，使用Log和log-input的功能，而且將配置好的ACL用於接口上。

Log和log-input的區別是：

Log只能記錄數據包經過時的源IP和目的IP，

而log-input除了記錄源IP和目的IP以外，還會記錄源的MAC地址。

      

配置

 

1.配置ACL中的Log

說明：配置路由器R1，讓其容許R2發來的數據包經過，但拒絕R3的數據包經過，而且記錄下它們數據量。

（1）配置ACL

說明：配置ACL，容許R2，拒絕R3，分別使用log關鍵字

r1(config)#access-list 100 permit ip host 10.1.1 .2 any log

r1(config)#access-list 100 deny ip host 10.1.1 .3 any log

（2）應用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

（3）測試結果

說明：從R2和R3分別ping R4，查看R1上的log

Oct  1 14:15:26: %SEC-6-IPACCESSLOGDP: list 100 permitted icm p 10.1.1 .2 -> 14.1.1.4 (0/0), 5 packets

Oct  1 14:16:46: %SEC-6-IPACCESSLOGDP: list 100 denied icm p 10.1.1 .3 -> 14.1.1.4 (0/0), 5 packet

說明：從R1上彈出的日誌能夠看出，R2到R4的數據包是被放行了的，而R3到R4的數據包被丟棄了。

（4）查看ACL記錄

r1#sh ip access-lists

Extended IP access list 100

    10 permit ip host 10.1.1 .2 any log (25 matches)

20 deny ip host 10.1.1 .3 any log (5 matches)

說明：從ACL中也能夠看出，R2的流量被放行，R3的流量被拒絕了。

　

2.配置ACL中log-input

說明：配置路由器R1，讓其容許全部數據包經過，不只記錄下它們數據量，還將記錄下源MAC。

（1） 配置ACL：

說明：配置ACL，容許全部數據包經過，而且使用log-input關鍵字

r1(config)#access-list 130 permit ip an an log-input

（2）應用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 130 in

（3）查看R2的源MAC

r2#show interfaces f0/0

FastEthernet0/0 is up, line protocol is up

  Hardware is AmdFE, address is 0013.1a 2f .1200 (bia 0013.1a 2f .1200)

  Internet address is 10.1.1 .2/24

（4）從R2 ping R4，查看R1上的log

Oct  1 14:23:21: %SEC-6-IPACCESSLOGDP: list 130 permitted icm p 10.1.1 .2 (FastEthernet0/0 0013.1a 2f .1200) -> 14.1.1.4 (0/0), 1 packet

說明：從R1上彈出的日誌能夠看出，R2到R4的數據包是被放行了的，而且還看到R2的源MAC。