如何找到被 ACL 阻止的数据包的来源?

如何找到被 ACL 阻止的数据包的来源?

我有一个 ACL 来阻止常规工作站访问我们交换机上的管理 VLAN。每 5 分钟我们都会收到以下日志条目:

%SEC-6-IPACCESSLOGS: list mgtvlan-acl denied 0.0.0.0 20 packets

该交换机是 Cisco 3750G,运行 IOS C3750-IPBASEK9-M,版本 12.2(52) SE

该 acl 为:

ip access-list standard mgtvlan-acl
permit [management workstation netowrk]
permit [other management networks]
deny any log

该 acl 应用于名为 Vlan50 的三层接口

interface Vlan50
  description management vlan
  ip address 199.254.98.xx 255.255.255.192
  ip access-group mgtvlan-acl in

我在 vlan50 接口上尝试了各种调试命令和 ip accounting。我还打开了终端监视器,以确保我可以在不依赖 syslog 服务器的情况下看到所有内容。

有没有什么方法可以让我获得更多关于这些数据包是什么或者它们来自哪里(哪个物理接口)的信息,而不需要经历设置 wireshark 的麻烦?

答案1

我会做两件事:

1)转换为扩展 ACL,以便可以记录目标 IP 地址

2) 查看您的交换机是否支持访问表达式末尾的“log-input”参数。日志输入记录帧的源 Mac,这将帮助您找到罪魁祸首。

如上所述,根据您目前掌握的数据,dhcp 是一个不错的猜测

答案2

如果有帮助的话,如果管理 vlan 上的某些东西试图联系 dhcp 服务器,那就是我期望的消息。

相关内容