Eu tenho uma ACL para impedir que estações de trabalho regulares acessem a vlan de gerenciamento em nosso switch. A cada 5 minutos, recebemos a seguinte entrada de log:
%SEC-6-IPACCESSLOGS: list mgtvlan-acl denied 0.0.0.0 20 packets
O switch é um Cisco 3750G executando o IOS C3750-IPBASEK9-M, Versão 12.2 (52) SE
O acl é:
ip access-list standard mgtvlan-acl
permit [management workstation netowrk]
permit [other management networks]
deny any log
O acl é aplicado à interface da camada 3 chamada Vlan50
interface Vlan50
description management vlan
ip address 199.254.98.xx 255.255.255.192
ip access-group mgtvlan-acl in
Eu tentei vários comandos de depuração e ip accounting na interface vlan50. Eu também liguei o monitor do terminal apenas para ter certeza de que eu poderia ver tudo sem depender do servidor syslog.
Existe alguma maneira que eu possa obter mais informações sobre o que esses pacotes são ou de onde eles estão vindo (qual interface física) sem passar pelo incômodo de configurar o wireshark?
Duas coisas que eu faria:
1) converta para uma ACL estendida para que você possa registrar o endereço IP de destino
2) veja se o seu switch suporta o argumento 'log-input' no final de uma expressão de acesso. A entrada de registro registra o Mac de origem do quadro que ajudará você a encontrar o culpado.
Como mencionado acima, o dhcp é um bom palpite com base nos dados que você tem até agora
se isso ajudar, essa é a mensagem que eu esperaria se algo na vlan de gerenciamento estivesse tentando entrar em contato com um servidor dhcp.