安全与 VPN : Terminal Access Controller Access Control System (TACACS+)

拨号接口访问列表故障排除

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文包含关于如何的信息排除故障在拨号接口的访问列表。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息根据Cisco 2500路由器和Cisco IOS�软件版本12.0.5.T。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

故障排除提示

  • 如果access-list不适当地工作,例如请设法运用列表直接地到接口, :

    interface async 1
    ip access-group 101 in|out

    如果逻辑不工作应用直接地对接口,不工作通过下来从服务器。show ip interface [name]命令可以用于发现access-list是否在接口。输出变化基于关于怎样访问列表命令应用,但是能包括:

    Outgoing access list is not set
    Inbound access list is 101
    
    Outgoing access list is not set
    Inbound access list is 101, default is not set
    
    Outgoing access list is Async1#1, default is not set
    Inbound access list is Async1#0, default is not set
  • 若干访问列表调试可以临时地进行与路由缓存删除从接口:

    interface async 1
    no ip route-cache

    然后,而您是在特权模式,请键入:

    debug ip packet access-list #

    使用terminal monitor命令已启用,这通常发送输出对命中数的屏幕:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2
  • 您能也执行显示IP访问控制列表101,显示在命中数的增量。日志参数可能也被添加在access-list命令为了造成路由器结束时显示拒绝:

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log
  • 如果是满足的逻辑工作,当应用直接地对接口,从接口删除访问列表,请添加AAA授权网络默认TACACS|radiusdebug aaaterminal monitor命令已启用的作者(和debug aaa per-user命令是否使用每用户访问控制列表)命令和观察发送的访问列表下来。

    仅RADIUS :如果RADIUS服务器不允许作为#.in或#.out 11 (过滤器ID)将指定的属性,默认。例如,如果服务器发送属性111,这由路由器假定是"111.out."

  • 显示内容access-list :

    对于列表的一种非每用户的类型,请使用show ip access-list 101命令为了查看访问列表的内容:

    Extended IP access list 101
    deny tcp any any (1649 matches)
    deny udp any any (35 matches)
    deny icmp any any (36 matches)

    对于列表的一种每用户类型,请使用show ip access-lists或者显示IP访问控制列表|每用户或请显示IP访问控制列表Async1-1

    Extended IP access list Async1#1 (per-user)
    deny icmp host 171.68.118.244 host 9.9.9.10
    deny ip host 171.68.118.244 host 9.9.9.9
    permit ip host 171.68.118.244 host 9.9.9.10
    permit icmp host 171.68.118.244 host 9.9.9.9
  • 如果所有调试看起来好,但是访问列表命令不工作如期望:

    • 如果太少阻塞,请设法更改access-list到deny ip any any。如果那工作,但是更早一个没有,问题在列表的逻辑。

    • 如果太多阻塞,请设法更改access-list到permit ip any any。如果那工作,但是更早一个没有,问题在列表的逻辑。


相关信息


Document ID: 13867