Segurança e VPN : Terminal Access Controller Access Control System (TACACS+)

Troubleshooting de Listas de Acesso em Interfaces de Discagem

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento contém a informação sobre como pesquisar defeitos Listas de acesso em interfaces de discagem.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada Software Release 12.0.5.T no � dos Cisco 2500 Router e do Cisco IOS.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Pesquise defeitos pontas

  • Se a lista de acesso não trabalha corretamente, tente aplicar a lista diretamente à relação, por exemplo:

    interface async 1
    ip access-group 101 in|out

    Se a lógica não trabalha aplicado diretamente à relação, não trabalha passado para baixo do server. O comando do [name] da relação da mostra IP pode ser usado para considerar se a lista de acesso está na relação. A saída varia baseado em como o comando access-list é aplicado mas pode incluir:

    Outgoing access list is not set
    Inbound access list is 101
    
    Outgoing access list is not set
    Inbound access list is 101, default is not set
    
    Outgoing access list is Async1#1, default is not set
    Inbound access list is Async1#0, default is not set
  • Alguma eliminação de erros da lista de acesso pode ser feita com temporariamente a remoção do cache de rota da relação:

    interface async 1
    no ip route-cache

    e, em seguida, enquanto estiver no modo de ativação, digite:

    debug ip packet access-list #

    Com o comando terminal monitor permitido, isto envia geralmente a saída à tela para batidas:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2
  • Você pode igualmente fazer o access-list 101 da mostra IP, que mostra incrementos nas batidas. O parâmetro do log pode igualmente ser adicionado na extremidade do comando access-list a fim fazer com que o roteador mostre nega:

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log
  • Se você é satisfeito que a lógica trabalha quando aplicada diretamente à relação, remove a lista de acessos da relação, adicionar os tacacs do padrão da rede de autorização AAA|o raio, debuga comandos do autor aaa (e o comando debug aaa per-user se você usa por usuário listas de controle de acesso) com o comando terminal monitor permitido e observa a lista de acessos enviada para baixo.

    Para o RAIO somente: Se o servidor Radius não permite o atributo 11 (ID de filtro) ser especificado como #.in ou #.out, o padrão está para fora. Por exemplo, se o server envia o atributo 111, este é presumido pelo roteador ser "111.out."

  • Mostre os índices de uma lista de acesso:

    Para um tipo NON-por-USER de lista, use o comando show ip access-list 101 a fim ver os índices da lista de acessos:

    Extended IP access list 101
    deny tcp any any (1649 matches)
    deny udp any any (35 matches)
    deny icmp any any (36 matches)

    Para um tipo de usuário per. de lista, use as listas de acesso da mostra IP, ou a lista de acesso da mostra IP | por usuário ou lista de acesso Async1#1 da mostra IP:

    Extended IP access list Async1#1 (per-user)
    deny icmp host 171.68.118.244 host 9.9.9.10
    deny ip host 171.68.118.244 host 9.9.9.9
    permit ip host 171.68.118.244 host 9.9.9.10
    permit icmp host 171.68.118.244 host 9.9.9.9
  • Se todo o debugar os olhares bons, mas o comando access-list não trabalha como antecipado:

    • Se demasiado pouco é obstruído, tente mudar a lista de acesso ao deny ip any any. Se isso trabalha mas mais adiantado não fez, o problema está na lógica da lista.

    • Se demasiado é obstruído, tente mudar a lista de acesso para permitir o IP algum. Se isso trabalha mas mais adiantado não fez, o problema está na lógica da lista.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13867