Log與log-input
在路由器中如果想要檢視為哪些使用者轉發過資料,并檢視轉發了多少資料,可以通過在路由器上配置ACL 的log 與Loginput功能實作,并應用在相應接口下
Log:隻能記錄下資料的源IP與目的IP位址
Log-input:能夠記錄下源IP與目的IP位址,并且也可以記錄下資料的源MAC位址
配置執行個體:
在R1上配置ACL的log與loginput功能,分别在R2和R3上ping R4的接口位址,檢視R1路由器上記錄的資料發送的資訊
R1(config)#access-list 100 permit ip any any log-input
R1(config)#interface f0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#exit
*Sep 10 12:40:00.951: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 10.1.1.3 (FastEthernet0/0 ca02.1098.0008) -> 14.1.1.4 (0/0), 1 packet
R1(config)#
*Sep 10 12:40:14.839: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 10.1.1.2 (FastEthernet0/0 ca01.1098.0008) -> 14.1.1.4 (0/0), 1 packet
從以上配置中可以看到,在R1配置了ACL的Loginput功能,并将該ACL應用于F0/0接口的入方向上,從輸出可以看出,不僅記錄下了資料的源IP與目的IP,并記錄下了資料的源MAC位址。
Remark
在配置ACL時,為了區分每條ACL條目的作用,可以通過remark功能實作對ACL條目類似于注釋說明的作用;remark可以寫在條目的前面,也可以寫在條目的後面,但不能與ACL條目同行
例如在上述配置中為access-list 100增加注釋,說明這個條目是允許所有資料通過的
R1(config)#access-list 100 remark permit_any_to_any