Logging da lista de acesso da Cisco. Por que existe uma diferença entre o IPv4 e o IPv6?

4

Eu tenho um roteador Cisco 877. Eu tenho uma lista de acesso IPv4 e uma lista de acesso IPv6 configurada e configurada de forma semelhante a esta:

interface Dialer1
    ...
    ip access-group INTERET-IN
    ipv6 traffic-filter IPV6-IN

As listas de acesso são semelhantes a esta:

ip access-list extended INTERNET-IN
 remark establishd connections
 permit tcp any any established
...
 deny ip any any log

E:

ipv6 access-list IPV6-IN
 permit esp any any
 sequence 30 permit tcp any any established
 sequence 50 remark NTP
...
 sequence 240 deny ipv6 any any log-input

Cada uma dessas listas de acesso tem uma regra final de deny ip/ipv6 any any log . No entanto, no meu syslog, noto que há uma diferença na formatação entre os dois tipos de entradas. O IPv4 dirá:

 %SEC-6-IPACCESSLOGP: list INTERNET-IN denied udp 88.89.209.63(137) -> 1.2.3.4(137), 1 packet

Considerando que a lista de IPv6 dirá

%IPV6_ACL-6-ACCESSLOGNP: list IPV6-IN/240 denied 59 2001:0:5EF5:79FD:14F9:B773:3EBA:3EE3 (Dialer1) -> 2001:800:1000:0::1, 8 packets

Ambos possuem as mesmas informações, mas a entrada de log do IPv6 não possui o tipo de protocolo e a porta, ambos muito úteis se eu estiver tentando solucionar problemas de conectividade.

Por que isso? Como obtenho logs de negação de IPv6 para exibir o protocolo e a porta usada, se houver?

    
por growse 19.06.2012 / 21:47

2 respostas

1

Não deveria ser diferente. Como exemplo de um dos meus roteadores (redigido, obviamente):

Jun 19 16: 39: 56.440:% IPV6_ACL-6-ACCESSLOGP: lista tu0-internet-in / 190 negado udp 2001: x: x: x :: 2 (123) (Tunnel0) - > 2001: x: x: x: x: x: x: x (123), 2 pacotes

Jun 19 16: 41: 04.636:% SEC-6-IPACCESSLOGP: lista internet-in negado tcp x.y.z.q (443) (GigabitEthernet0 / 3 beef.1aa1.beef) - > a.b.c.d (xxxxx), 1 pacote

Você tem uma linha de terminação em sua ACL ipv6 com uma negação explícita com entrada de log, como:

lista de acessos ipv6 tu0-internet-in ... sequência xxx nega ipv6 qualquer entrada de log

Adicionar uma amostra das ACLs em questão para fins de comparação ajudaria, mas suspeito que possa ser apenas a negação explícita que deve corrigir as coisas.

    
por 19.06.2012 / 23:07
0

A linha de log que você mostra exibe o protocolo 59, que é apenas uma forma de o cabeçalho IPV6 indicar que não há mais dados após o cabeçalho IPV6 no pacote. Normalmente, você veria o protocolo número 6 neste campo e, em seguida, um cabeçalho de pacote TCP seguiria ou o protocolo 17 para UDP.

    
por 20.06.2012 / 16:24