Одним из способов понять почему Cisco ASA или маршрутизатор(Cisco router ) не пропускает трафик и что именно настроено некорректно – посмотреть лог. Проблема в том, что по умолчанию логирование событий отключено и команда sh log ничего не покажет.
Для включения логирования событий нужно выполнить следующие команды
FW-DELTACONFIG-1(config)#
Посмотреть эти данные можно командой sh log
FW-DELTACONFIG-1# sh log
Фильтр лога
Даже при небольшом потоке трафика, проходящим через устройство, количество сообщений может быть очень велико. Соответственно искать интересующую информацию проблематично. Для фильтрации сообщений используйте команду sh log | inc «значение». Это позволит видеть только те строки, в которых содержится указанное слово.
Например так будет выглядеть строка для поиска сообщений в логе, связанных с отработкой правил определенного списка доступа (access list ). В качестве значения фильтра используется название списка доступа ACL_INSIDE_IN
FW-DELTACONFIG-1# sh log | inc ACL_INSIDE_IN
Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group «ACL_INSIDE_IN» [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group «ACL_INSIDE_IN» [0x0, 0x0]
Jun 15 2016 15:13:33: %ASA-4-106023: Deny tcp src inside:2.2.2.2/2607 dst outside:1.1.1.1/13000 by access-group «ACL_INSIDE_IN» [0x0, 0x0]
Так можно узнать о всех пакетах для хоста с определенным ip адресом
FW-DELTACONFIG-1# sh log | inc 1.1.1.1
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837817 for outside:1.1.1.1/61563 (1.1.1.1/61563) to inside:3.3.3.3/53 (3.3.3.3/53)
Jun 15 2016 15:33:00: %ASA-6-302015: Built inbound UDP connection 199837818 for outside:1.1.1.1/62939 (1.1.1.1/62939) to inside:3.3.3.3/53 (3.3.3.3/53)
Точное время
Помимо самих событий часто важно и время, когда они произошли. Команда logging timestamp
Отвечает за подпись даты и времени события в логе, однако стоит учесть, что точное время должно быть также настроено на устройстве.
Посмотреть текущее время можно командой sh clock
FW-DELTACONFIG-1# sh clock
15:40:11.651 MSK Wed Jun 15 2016
Перед установкой времени следует указать часовой пояс, где находится устройство. Пример команды для Московского времени в часовом поясе GMT +3
FW-DELTACONFIG-1 (config)#
clock timezone MSK 3
Установить время можно вручную командой clock set
FW-DELTACONFIG-1 (config)#
clock set 15:40:00 15 MAY 2016
Или указав устройству адрес сервера точного времени NTP. Можно использовать как внутренние, так и публичные серверы в сети Интернет. Одновременно можно указать несколько NTP серверов.
FW-DELTACONFIG-1 (config)#
ntp server 50.16.201.39
Посмотреть состояние синхронизации можно командой sh ntp associations