※このページで解説している内容は、Packet Tracer が ACL のコンソールロギング に対応していないため、検証することができません。実機における検証結果を紹介しています。
ACL コンソールロギング(その2)
ここでは、ACL のロギングオプションを設定していきます。
ネットワーク構成は、下図のとおりです。

「ACL コンソールロギング(その1)」で設定したACLを削除します。
R_A(config)#no access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq www
R_A(config)#no access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq telnet
R_A(config)#no access-list 100 deny ip any any
ACL ロギングオプションを有効にする
ACLロギングオプションを有効にします。ACLロギングオプションを有効にすることは、debugコマンドの使用と似ています。このロギングオプションがルータに負荷をかけ、ネットワークの遅延の原因となることがあります。稼働中のネットワークでは、この機能を使用する際は、注意が必要です。
R_A(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq www log
R_A(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq telnet log
R_A(config)#access-list 100 deny ip any any log
PC2からサーバにアクセスする
・PC2から、サーバにWeb接続します。
・PC2から、サーバにTelnet接続します。
PC1からサーバへの接続はともに失敗します。
R_Aのコンソール接続からの出力を確認すると、次のようなメッセージが表示されています。
*Mar 1 14:40:14.343: %SEC-6-IPACCESSLOGP: list 100 denied tcp
192.168.1.3(2407) -> 192.168.2.2(80), 1 packet
*Mar 1 14:38:49.275: %SEC-6-IPACCESSLOGP: list 100 denied tcp
192.168.1.3(2396) -> 192.168.2.2(23), 1 packet
拒否したパケットの送信元と宛先のIPアドレスとポート番号を示しています。
また、連続で接続を試行すると以下のメッセージが表示されることがあります。
*Mar 1 14:38:28.627: %SEC-6-IPACCESSLOGRL: access-list
logging rate-limited or missed 5 packets
これは、コンソール速度の超過、またはコンソールがビジーで、全てのパケットが処理できていないことを示しています。