概述

当路由器为用户转发了数据之后,如果管理员想查看路由器曾经为哪些用户转发过数据,在正常情况下,这是无法查证的。但是,可以通过接口配置ACL,并且强制ACL记录下曾经转发过的用户记录,这样,就能从路由器得知哪些用户是发起过数据的,并且发送了多少数据,但是用户发出的数据内容,是无法记录的。

要达到以上目的,那在配置ACL时,使用Loglog-input的功能,并且将配置好的ACL用于接口上。

Loglog-input的区别是:

Log只能记录数据包通过时的源IP和目的IP

log-input除了记录源IP和目的IP之外,还会记录源的MAC地址。

      

配置

 

1.配置ACL中的Log

说明:配置路由器R1,让其允许R2发来的数据包通过,但拒绝R3的数据包通过,并且记录下它们数据量。

1)配置ACL

说明:配置ACL,允许R2,拒绝R3,分别使用log关键字

r1(config)#access-list 100 permit ip host 10.1.1.2 any log

r1(config)#access-list 100 deny ip host 10.1.1.3 any log

2)应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

3)测试结果

说明:R2R3分别ping R4,查看R1上的log

Oct  1 14:15:26: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp 10.1.1.2 -> 14.1.1.4 (0/0), 5 packets

Oct  1 14:16:46: %SEC-6-IPACCESSLOGDP: list 100 denied icmp 10.1.1.3 -> 14.1.1.4 (0/0), 5 packet

说明:R1上弹出的日志可以看出,R2R4的数据包是被放行了的,而R3R4的数据包被丢弃了。

4)查看ACL记录

r1#sh ip access-lists

Extended IP access list 100

    10 permit ip host 10.1.1.2 any log (25 matches)

20 deny ip host 10.1.1.3 any log (5 matches)

说明:ACL中也可以看出,R2的流量被放行,R3的流量被拒绝了。

 

2.配置ACLlog-input

说明:配置路由器R1,让其允许所有数据包通过,不仅记录下它们数据量,还将记录下源MAC

1 配置ACL

说明:配置ACL,允许所有数据包通过,并且使用log-input关键字

r1(config)#access-list 130 permit ip an an log-input

2)应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 130 in

3)查看R2的源MAC

r2#show interfaces f0/0

FastEthernet0/0 is up, line protocol is up

  Hardware is AmdFE, address is 0013.1a2f.1200 (bia 0013.1a2f.1200)

  Internet address is 10.1.1.2/24

4)从R2 ping R4,查看R1上的log

Oct  1 14:23:21: %SEC-6-IPACCESSLOGDP: list 130 permitted icmp 10.1.1.2 (FastEthernet0/0 0013.1a2f.1200) -> 14.1.1.4 (0/0), 1 packet

说明:R1上弹出的日志可以看出,R2R4的数据包是被放行了的,并且还看到R2的源MAC