Log与log-input
在路由器中如果想要查看为哪些用户转发过数据,并查看转发了多少数据,可以通过在路由器上配置ACL 的log 与Loginput功能实现,并应用在相应接口下
Log:只能记录下数据的源IP与目的IP地址
Log-input:能够记录下源IP与目的IP地址,并且也可以记录下数据的源MAC地址
配置实例:
在R1上配置ACL的log与loginput功能,分别在R2和R3上ping R4的接口地址,查看R1路由器上记录的数据发送的信息
R1(config)#access-list 100 permit ip any any log-input
R1(config)#interface f0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#exit
*Sep 10 12:40:00.951: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 10.1.1.3 (FastEthernet0/0 ca02.1098.0008) -> 14.1.1.4 (0/0), 1 packet
R1(config)#
*Sep 10 12:40:14.839: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 10.1.1.2 (FastEthernet0/0 ca01.1098.0008) -> 14.1.1.4 (0/0), 1 packet
从以上配置中可以看到,在R1配置了ACL的Loginput功能,并将该ACL应用于F0/0接口的入方向上,从输出可以看出,不仅记录下了数据的源IP与目的IP,并记录下了数据的源MAC地址。
Remark
在配置ACL时,为了区分每条ACL条目的作用,可以通过remark功能实现对ACL条目类似于注释说明的作用;remark可以写在条目的前面,也可以写在条目的后面,但不能与ACL条目同行
例如在上述配置中为access-list 100增加注释,说明这个条目是允许所有数据通过的
R1(config)#access-list 100 remark permit_any_to_any