ACL оценивается перед отслеживанием соединения и оценкой NAT (проверьте выходные данные packet-tracer
, имитирующего этот трафик), и поскольку трафик попадает в это правило, он журналы, как вы указали в , разрешить ip любой любой журнал
.
Это ожидаемое поведение:
Когда строка списка доступа имеет аргумент журнала, ожидается, что этот идентификатор сообщения может быть инициирован из-за того, что несинхронизированный пакет достигает ASA и оценивается списком доступа. Например, если пакет ACK получен на ASA (для которого TCP-соединение не существует в таблице соединений), ASA может сгенерировать сообщение 106100, указывающее, что пакет разрешен; однако позже пакет корректно отбрасывается из-за отсутствия подходящего соединения.