ACL コンソールロギング（その2）

※このページで解説している内容は、Packet Tracer が ACL のコンソールロギング に対応していないため、検証することができません。実機における検証結果を紹介しています。

ACL コンソールロギング（その2）

ここでは、ACL のロギングオプションを設定していきます。

ネットワーク構成は、下図のとおりです。

「ACL コンソールロギング（その1）」で設定したACLを削除します。

R_A(config)#no access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq www
R_A(config)#no access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq telnet
R_A(config)#no access-list 100 deny ip any any

ACL ロギングオプションを有効にする

　ACLロギングオプションを有効にします。ACLロギングオプションを有効にすることは、debugコマンドの使用と似ています。このロギングオプションがルータに負荷をかけ、ネットワークの遅延の原因となることがあります。稼働中のネットワークでは、この機能を使用する際は、注意が必要です。

R_A(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq www log
R_A(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.2.2 eq telnet log
R_A(config)#access-list 100 deny ip any any log

PC2からサーバにアクセスする

・PC2から、サーバにWeb接続します。
・PC2から、サーバにTelnet接続します。

PC1からサーバへの接続はともに失敗します。

R_Aのコンソール接続からの出力を確認すると、次のようなメッセージが表示されています。

*Mar  1 14:40:14.343: %SEC-6-IPACCESSLOGP: list 100 denied tcp
 192.168.1.3(2407) -> 192.168.2.2(80), 1 packet
*Mar  1 14:38:49.275: %SEC-6-IPACCESSLOGP: list 100 denied tcp
 192.168.1.3(2396) -> 192.168.2.2(23), 1 packet

拒否したパケットの送信元と宛先のIPアドレスとポート番号を示しています。

また、連続で接続を試行すると以下のメッセージが表示されることがあります。

*Mar  1 14:38:28.627: %SEC-6-IPACCESSLOGRL: access-list
 logging rate-limited or missed 5 packets

　これは、コンソール速度の超過、またはコンソールがビジーで、全てのパケットが処理できていないことを示しています。