Sécurité et VPN : Terminal Access Controller Access Control System (TACACS+)

Dépannage des listes d'accès sur les interfaces de numérotation

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document contient des informations sur la façon dépanner des Listes d'accès sur des interfaces de cadran.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur la version de logiciel 12.0.5.T de Routeurs de Cisco 2500 et de Ý de Cisco IOS.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Conseils de dépannage

  • Si la liste d'accès ne fonctionne pas correctement, essai pour appliquer la liste directement à l'interface, par exemple :

    interface async 1
    ip access-group 101 in|out

    Si la logique ne fonctionne pas appliqué directement à l'interface, cela ne fonctionne pas passé vers le bas du serveur. La commande de show ip interface [nom] peut être utilisée pour voir si la liste d'accès est sur l'interface. La sortie varie basé sur la façon dont la commande access-list est appliquée mais peut inclure :

    Outgoing access list is not set
    Inbound access list is 101
    
    Outgoing access list is not set
    Inbound access list is 101, default is not set
    
    Outgoing access list is Async1#1, default is not set
    Inbound access list is Async1#0, default is not set
  • Une certaine élimination des imperfections de liste d'accès peut être faite avec temporairement la suppression du route-cache de l'interface :

    interface async 1
    no ip route-cache

    et puis, alors que vous êtes dans le mode enable, type :

    debug ip packet access-list #

    Avec la commande enabled de terminal monitor, ceci envoie habituellement la sortie à l'écran pour des hit :

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2
  • Vous pouvez également faire le show ip access-list 101, qui affiche des incréments dans les hit. Le paramètre de log peut également être ajouté à la fin de la commande access-list afin de faire afficher le routeur refuse :

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log
  • Si vous êtes satisfait que la logique fonctionne une fois appliquée directement à l'interface, retirent la liste d'accès de l'interface, ajoutez les tacacs de par défaut d'aaa authorization network|le rayon, des commandes d'auteur de debug aaa (et la commande de debug aaa per-user si vous utilisez des listes de contrôle d'accès de par-utilisateur) avec la commande enabled de terminal monitor et observent la liste d'accès envoyée vers le bas.

    Pour le RAYON seulement : Si le serveur de RAYON ne tient pas compte de l'attribut 11 (Filtre-id) à spécifier comme #.in ou #.out, le par défaut est. Par exemple, si le serveur envoie l'attribut 111, ceci est présumé par le routeur pour être "111.out."

  • Affichez le contenu d'une liste d'accès :

    Pour un type de non-par-utilisateur de liste, employez la commande du show ip access-list 101 afin de visualiser le contenu de la liste d'accès :

    Extended IP access list 101
    deny tcp any any (1649 matches)
    deny udp any any (35 matches)
    deny icmp any any (36 matches)

    Pour un type de par-utilisateur de liste, utilisez le show ip access-lists, ou le show ip access-list | par-utilisateur ou show ip access-list Async1#1 :

    Extended IP access list Async1#1 (per-user)
    deny icmp host 171.68.118.244 host 9.9.9.10
    deny ip host 171.68.118.244 host 9.9.9.9
    permit ip host 171.68.118.244 host 9.9.9.10
    permit icmp host 171.68.118.244 host 9.9.9.9
  • Si tout les mettez au point les sembler bons, mais la commande access-list ne fonctionne pas comme anticipé :

    • Si trop peu est bloqué, essayez de changer la liste d'accès pour refuser l'IP tout. Si cela fonctionne mais le plus tôt ne faisait pas, le problème est dans la logique de la liste.

    • Si trop est bloqué, essayez de changer la liste d'accès pour permettre l'IP tout. Si cela fonctionne mais le plus tôt ne faisait pas, le problème est dans la logique de la liste.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 13867