在 Cisco 3560E 交换机上，使用 debug 命令查看实时流量的常用方法

admin

在 Cisco 3560E 交换机上，使用 debug 命令查看实时流量的常用方法如下。不过需要注意，debug 命令可能会对交换机的性能造成较大的影响，尤其是在高负载的环境中。建议在测试环境中或非生产时段使用，并且只启用需要的选项。

以下是一些常用的调试命令：
1. 查看接口的流量

    直接查看接口状态和统计信息，结合 debug 进行详细分析：

show interfaces {interface_id}

示例：

show interfaces GigabitEthernet0/1

启用调试特定接口的数据流：

debug interface {interface_id}

示例：

    debug interface GigabitEthernet0/1

2. 调试 IP 数据包

    调试与 IP 数据包相关的流量：

debug ip packet

过滤特定的 ACL（访问控制列表）匹配的流量：

    debug ip packet detail

3. 调试交换机的 MAC 地址表

    查看实时的 MAC 地址学习和老化信息：

    debug ethernet mac

4. 调试 VLAN 流量

    查看 VLAN 流量：

    debug vlan packet

5. 调试生成树协议（STP）相关流量

    如果需要查看生成树协议的报文：

    debug spanning-tree events

6. 调试与 ACL 匹配的流量

    对 ACL（访问控制列表）匹配的流量进行调试：

    debug ip access-list

7. 查看当前所有启用的调试选项

show debugging

8. 关闭调试命令

在调试后，记得关闭所有调试，以免影响交换机性能：

undebug all

或者：

no debug all

注意事项：

    在生产环境中，尽量避免使用 debug 命令来调试高流量接口，因为这可能导致 CPU 占用率过高，进而影响设备性能。
    配合日志系统（如 logging buffer 或远程 syslog）来记录调试信息，避免因输出过多导致控制台被阻塞。

admin

实例场景：

假设有一台 Cisco 3560E 交换机，你想监控 VLAN 10 上特定的源 IP 192.168.1.100 发往目的 IP 192.168.2.200 的流量，并确认是否匹配某个配置的 ACL。
配置步骤：
1. 创建访问控制列表（ACL）

创建一个标准或扩展 ACL，允许或拒绝指定流量：

ip access-list extended TEST-ACL
permit ip host 192.168.1.100 host 192.168.2.200

2. 应用 ACL

将该 ACL 应用于 VLAN 10 的接口（例如 GigabitEthernet0/1）：

interface GigabitEthernet0/1
ip access-group TEST-ACL in

3. 启用调试

使用以下命令开始监控匹配 ACL 的流量：

debug ip access-list

此命令会实时显示匹配 ACL 流量的详细信息。
调试输出示例

当有流量从 192.168.1.100 发送到 192.168.2.200 时，交换机的调试信息可能如下：

IP: ACL TEST-ACL: matched permit ip host 192.168.1.100 host 192.168.2.200
    Source: 192.168.1.100
    Destination: 192.168.2.200
    Protocol: IP

    IP: 表示协议为 IP。
    ACL TEST-ACL: 匹配的访问控制列表名称。
    matched permit: 匹配到的规则类型（permit 或 deny）。
    Source 和 Destination: 流量的源地址和目的地址。
    Protocol: 显示协议类型（如 IP、TCP、UDP）。

4. 停止调试

调试完成后，务必关闭调试功能以释放交换机资源：

undebug all

应用场景

    验证 ACL 配置是否正确：通过调试可以实时观察到流量是否匹配到指定规则。
    排查流量问题：当某些流量被阻断时，可使用调试功能检查是否被 ACL 拦截。
    优化 ACL：通过观察流量匹配情况，可以进一步优化 ACL 规则。