Всем доброго времени суток!
Прошу помочь в следующем вопросе.Из-за чего в лог по ip access list вместо номера порта UDP или TCP пишется 0?
В ходе экспериментов на порт маршрутизатора применялся acl типа permit ip any any log.Данная ситуация наблюдается на
cisco 1841 \(C1841-ADVSECURITYK9-M), Version 12.3(11)T5, RELEASE SOFTWARE (fc1)\
&
cisco 806 \(C806-K9OSY6-M), Version 12.3(13), RELEASE SOFTWARE (fc2)\ниже кусок конфигурации и лога с cisco 806
...........
interface Ethernet0
ip address 172.31.3.229 255.255.240.0
ip access-group acl-e0-in in
ip access-group acl-e0-out out
no ip redirects
no ip proxy-arp
no ip mroute-cache
no cdp enable
crypto map cm-CoNet
hold-queue 100 out
............
ip access-list extended acl-e0-in
permit ip any any log
ip access-list extended acl-e0-out
permit ip any any log
.............2005-06-17 19:28:09 Local7.Info 172.31.3.229 1692: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-out permitted tcp 192.168.249.25(0) -> 192.168.11.21(0), 5 packets
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1693: 1w0d: %SEC-6-IPACCESSLOGRP: list acl-e0-in permitted eigrp 172.31.3.149 -> 224.0.0.10, 65 packets
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1694: 1w0d: %SEC-6-IPACCESSLOGRP: list acl-e0-in permitted eigrp 172.31.0.1 -> 224.0.0.10, 66 packets
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1695: 1w0d: %SEC-6-IPACCESSLOGRP: list acl-l1-in permitted eigrp 172.31.240.249 -> 224.0.0.10, 65 packets
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1696: 1w0d: %SEC-6-IPACCESSLOGNP: list acl-e0-in permitted 50 172.31.240.1 -> 172.31.240.249, 9 packets
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1697: 1w0d: %SEC-6-IPACCESSLOGDP: list acl-e0-in permitted icmp 192.168.11.21 -> 192.168.249.10 (0/0), 1 packet
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1698: 1w0d: %SEC-6-IPACCESSLOGDP: list acl-e0-in permitted icmp 192.168.11.21 -> 192.168.249.2 (0/0), 1 packet
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1699: 1w0d: %SEC-6-IPACCESSLOGDP: list acl-e0-out permitted icmp 192.168.249.10 -> 192.168.11.21 (0/0), 1 packet
2005-06-17 19:28:09 Local7.Info 172.31.3.229 1700: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-in permitted udp 172.31.240.1(0) -> 172.31.240.249(0), 1 packet
2005-06-17 19:28:10 Local7.Info 172.31.3.229 1701: 1w0d: %SEC-6-IPACCESSLOGDP: list acl-e0-out permitted icmp 192.168.249.2 -> 192.168.11.21 (0/0), 1 packet
2005-06-17 19:28:10 Local7.Info 172.31.3.229 1702: 1w0d: %SEC-6-IPACCESSLOGDP: list acl-e0-out permitted icmp 192.168.249.25 -> 192.168.11.21 (0/0), 1 packet
2005-06-17 19:28:10 Local7.Info 172.31.3.229 1703: 1w0d: %SEC-6-IPACCESSLOGDP: list acl-e0-in permitted icmp 192.168.11.21 -> 192.168.249.25 (0/0), 1 packet
2005-06-17 19:28:10 Local7.Info 172.31.3.229 1704: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-in permitted tcp 192.168.11.21(0) -> 192.168.249.25(0), 6 packets
2005-06-17 19:29:10 Local7.Info 172.31.3.229 1705: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-in permitted udp 0.0.0.0(0) -> 255.255.255.255(0), 9 packets
2005-06-17 19:29:19 Local7.Info 172.31.3.229 1706: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-out permitted udp 192.168.249.25(0) -> 192.168.4.35(0), 1 packet
2005-06-17 19:29:29 Local7.Info 172.31.3.229 1707: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-out permitted udp 192.168.249.25(0) -> 192.168.4.33(0), 1 packet
2005-06-17 19:29:30 Local7.Info 172.31.3.229 1708: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-in permitted udp 169.254.234.244(0) -> 169.254.255.255(0), 1 packet
2005-06-17 19:32:41 Local7.Info 172.31.3.229 1709: 1w0d: %SEC-6-IPACCESSLOGDP: list acl-e0-in permitted icmp 192.168.11.21 -> 192.168.249.25 (0/0), 1 packet
2005-06-17 19:33:10 Local7.Info 172.31.3.229 1710: 1w0d: %SEC-6-IPACCESSLOGRL: access-list logging rate-limited or missed 300 packets
2005-06-17 19:33:10 Local7.Info 172.31.3.229 1711: 1w0d: %SEC-6-IPACCESSLOGRP: list acl-e0-in permitted eigrp 172.31.3.245 -> 224.0.0.10, 65 packets
2005-06-17 19:33:10 Local7.Info 172.31.3.229 1712: 1w0d: %SEC-6-IPACCESSLOGRP: list acl-e0-in permitted eigrp 172.31.3.149 -> 224.0.0.10, 63 packets
2005-06-17 19:33:10 Local7.Info 172.31.3.229 1713: 1w0d: %SEC-6-IPACCESSLOGRP: list acl-e0-in permitted eigrp 172.31.0.1 -> 224.0.0.10, 65 packets
2005-06-17 19:33:10 Local7.Info 172.31.3.229 1714: 1w0d: %SEC-6-IPACCESSLOGRP: list acl-l1-in permitted eigrp 172.31.240.249 -> 224.0.0.10, 65 packets
2005-06-17 19:33:10 Local7.Info 172.31.3.229 1715: 1w0d: %SEC-6-IPACCESSLOGNP: list acl-e0-in permitted 50 172.31.240.1 -> 172.31.240.249, 175 packets
2005-06-17 19:33:10 Local7.Info 172.31.3.229 1716: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-in permitted udp 172.31.240.1(0) -> 172.31.240.249(0), 5 packets
2005-06-17 19:33:18 Local7.Warning 192.168.0.253 4654: Jun 17 16:31:30.311: %CRYPTO-4-RECVD_PKT_MAC_ERR: decrypt: mac verify failed for connection id=6
2005-06-17 19:34:10 Local7.Info 172.31.3.229 1717: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-in permitted udp 0.0.0.0(0) -> 255.255.255.255(0), 9 packets
2005-06-17 19:34:24 Local7.Info 172.31.3.229 1718: 1w0d: %SEC-6-IPACCESSLOGP: list acl-e0-out permitted udp 192.168.249.72(0) -> 192.168.4.35(0), 1 packet
access-list 100 permit tcp any any range 0 65535 log
access-list 100 permit udp any any range 0 65535 log
Вы же ip в своем списке permit ip any any log разрешаете, а не udp. А у ip портов нету :-)
>Вы же ip в своем списке permit ip any any log разрешаете,
>а не udp. А у ip портов нету :-)
Спасибо, я уже методом тыка до этого! )) Просто искренне верил, раз в лог пишется тип протокола, то почему бы туда не записать и дополнительную информацию о нем, тем более что в шаблоне вывода для этого место есть)))
Протокол IP обеспечивает транспортировку не только TCP и UDP, но и AHP, ESP, GRE... В данном случае, EIGRP.
Не у всех этих типов есть номера портов :-)