我有一台 Cisco 877 路由器。我设置并配置了 IPv4 访问列表和 IPv6 访问列表,如下所示:
interface Dialer1
...
ip access-group INTERET-IN
ipv6 traffic-filter IPV6-IN
访问列表与此类似:
ip access-list extended INTERNET-IN
remark establishd connections
permit tcp any any established
...
deny ip any any log
和:
ipv6 access-list IPV6-IN
permit esp any any
sequence 30 permit tcp any any established
sequence 50 remark NTP
...
sequence 240 deny ipv6 any any log-input
这些访问列表中的每一个都有一个最终规则deny ip/ipv6 any any log。但是,在我的系统日志中,我注意到两种类型的条目的格式有所不同。IPv4 会说:
%SEC-6-IPACCESSLOGP: list INTERNET-IN denied udp 88.89.209.63(137) -> 1.2.3.4(137), 1 packet
而 IPv6 列表会显示
%IPV6_ACL-6-ACCESSLOGNP: list IPV6-IN/240 denied 59 2001:0:5EF5:79FD:14F9:B773:3EBA:3EE3 (Dialer1) -> 2001:800:1000:0::1, 8 packets
两者的信息大致相同,但 IPv6 日志条目缺少协议类型和端口,如果我尝试排除连接故障,这两者都非常有用。
这是为什么?如何让 IPv6 拒绝日志显示所使用的协议和端口(如果有)?
答案1
应该没什么不同。下面是我的一个路由器的示例(显然,已删除):
6 月 19 日 16:39:56.440:%IPV6_ACL-6-ACCESSLOGP:列表 tu0-internet-in/190 拒绝 udp 2001:x:x:x::2(123)(Tunnel0)-> 2001:x:x:x:x:x:x(123),2 个数据包
6 月 19 日 16:41:04.636:%SEC-6-IPACCESSLOGP:列出拒绝 tcp xyzq(443) (GigabitEthernet0/3 beef.1aa1.beef) -> abcd(xxxxx),1 个数据包
您的 ipv6 ACL 上是否有一条带有明确拒绝 w/log-input 的终止行,例如:
ipv6 访问列表 tu0-internet-in ... 序列 xxx 拒绝 ipv6 任何任何日志输入
为了进行比较,添加有问题的 ACL 的样本会有所帮助,但我怀疑可能只是明确的拒绝就可以解决问题。
答案2
您显示的日志行显示协议 59,这只是 IPV6 标头的一种方式,用于指示数据包中 IPV6 标头后面不再有数据。通常您会在此字段中看到协议编号 6,然后是 TCP 数据包标头或 UDP 的协议 17。