tcshf 10 Geschrieben 30. August 2005 Melden Teilen Geschrieben 30. August 2005 Hallo zusammen, ich habe beim Debugging von ACLs auf einem 876W ein Problem. Auf einem WLAN-Interface liegt die folgende ACL: access-list 100 permit ip any any log Entsprechend mit interface Dot11Radio0.1 no ip access-group 100 in no ip access-group 110 out exit wurde sie aktiviert. Wenn ich nun 'show access-lists eingebe', dann sehe ich, wie viele Pakete verworfen wurden, sie werden aber trotz 'logging trap debugging' nicht geloggt. Was noch seltsamer ist: gebe ich ein sh run ein, steht statt 'access-list 100 permit ip any any log' nur noch 'access-list 100 permit ip any any' da _ohne_ den Suffix 'log'. Hat hier jemand von Euch einen Tipp für mich? Das kann wohl kaum ein Feature sein, dass die running-config verändert wird? Ich bin für jeden Tipp dankbar, da ich jetzt schon seit einem Weilchen dran sitze ;-) Danke und Grüße tcshf Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 Hi, vielleicht ein ios bug oder neues feature... überigens solltest du die acl auf dem interface nicht mit no gebunden haben, denke es ist ein schreibfehler... schau doch mal bei terminal monitoring, ob du da die logs der acl siehst...obwohl wenns in der running config ohne log steht, wird wohl nichts passieren-->vielleicht doch neues ios??? gruss rob Zitieren Link zu diesem Kommentar
tcshf 10 Geschrieben 31. August 2005 Autor Melden Teilen Geschrieben 31. August 2005 Hi rob_67, das mit dem 'no' war ein Typo, die ACL ist schon richtig gebunden. Das Logging funktioniert ebenfalls, ich sehe andere Meldungen der severity 'debugging', nur halt nichts von der ACL. Hmmmm. Anbei nochmal ein sh version: Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.3(8)YI1, RELEASE SOFTWARE (fc1) Synched to technology version 12.3(10.3)T2 Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2005 by Cisco Systems, Inc. Compiled Fri 22-Apr-05 14:57 by ealyon ROM: System Bootstrap, Version 12.3(8r)YI1, RELEASE SOFTWARE ROM: Cisco IOS Software, C870 Software (C870-ADVSECURITYK9-M), Version 12.3(8)YI1, RELEASE SOFTWARE (fc1) gw01 uptime is 12 hours, 0 minutes System returned to ROM by power-on System image file is "flash:c870-advsecurityk9-mz.123-8.YI1.bin" [...] Cisco 876W (MPC8272) processor (revision 0x100) with 118784K/12288K bytes of memory. Processor board ID FHK092812FP MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10 4 FastEthernet interfaces 1 ISDN Basic Rate interface 1 ATM interface 1 802.11 Radio 128K bytes of non-volatile configuration memory. 24576K bytes of processor board System flash (Intel Strataflash) Configuration register is 0x2102 Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 aber matches hast du schon auf der acl? nochmal unabhängig davon, ob das logging funktioniert oder nicht, zeigt der router das an, wenn du terminal monitoring machst (debug ist nicht weiter einzuschalten) Zitieren Link zu diesem Kommentar
daking 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 Hola versuchs mal mit logging trap informational Ciao Zitieren Link zu diesem Kommentar
tcshf 10 Geschrieben 31. August 2005 Autor Melden Teilen Geschrieben 31. August 2005 Hallo zusammen, Matches werden auf der ACL angezeigt, die Anzahl stimmt auch mit der Anzahl der Pakete überein, die gematcht werden sollen. Von daher funktioniert die ACL schon. Der Zusatz 'log' wird allerdings nach dem ersten Match aus der running-config entfernt. Weder logging trap informational/debugging noch terminal monitor helfen hier weiter. Das Logging funktioniert so wie es soll. Der Knackpunkt ist halt - warum wird der Zusatz 'log' aus der ACL entfernt? Hat das vielleicht mit irgendwelchen IDS-Features zu tun? Danke und Grüße tcshf Zitieren Link zu diesem Kommentar
rob_67 10 Geschrieben 31. August 2005 Melden Teilen Geschrieben 31. August 2005 Hi, ich halte es für unwahrscheinlich, dass das ein ios feature ist, sondern es wird schon eher ein bug sein, habe so etwas bis jetzt noch nicht gehört (aber vielleicht gehörts ja zum security feature :shock: Gruss Rob Zitieren Link zu diesem Kommentar
tcshf 10 Geschrieben 31. August 2005 Autor Melden Teilen Geschrieben 31. August 2005 Hmmmmm, also wenn das ein Sicherheitsfeature ist, dann wüsste ich gern, wie man das (zumindest vorübergehend) abschalten kann. Sonst ist das Debuggen von ACLs doch mehr als mühsam. ;-) tcshf Zitieren Link zu diesem Kommentar
tcshf 10 Geschrieben 31. August 2005 Autor Melden Teilen Geschrieben 31. August 2005 Okay, also es scheint ein Bug in der eingesetzten IOS Version 12.3(8)YI1 zu sein. Nach einem Upgrade auf 12.4(2)T1 taucht dieser Fehler nicht mehr auf. Schönen Abend noch ;-) tcshf Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.