セキュリティ : Cisco IOS ファイアウォール

Cisco IOS ファイアウォール設定のトラブルシューティング

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 10 月 29 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は Cisco IOS を解決するために使用できる情報を提供したものですか。 ファイアウォール構成。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

トラブルシューティング

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • (取除く)アクセス リストを反転させるために、インターフェイス設定モードに access-group コマンドの前の「いいえ」置かないで下さい:

    int <interface>
    no ip access-group # in|out
    
  • たくさんのトラフィックが拒否される場合、リストのロジックを調査しか、または追加広範囲 の リストを定義することを試み次にそれを代りに加えて下さい。 次に、例を示します。

    access-list # permit tcp any any
    access-list # permit udp any any
    access-list # permit icmp any any
    int <interface>
    ip access-group # in|out
    
  • show ip access-lists コマンドはどのアクセス リストが適用し、どんなトラフィックがそれらによって拒否されるか示します。 送信元 および 宛先 IPアドレスの失敗した操作の前後に否定されるパケットカウントを検知 する場合アクセス リストがトラフィックをブロックする場合この数増加。

  • ルータの負荷が高くない場合は、拡張アクセス リストまたは IP 検査のアクセス リストに対してパケット レベルでのデバッグを行うことができます。 ルータが過剰にロードされる場合、トラフィックはルータを通して遅れます。 デバッギングコマンドで思慮分別を使用して下さい。

    一時的にインターフェイスに no ip route-cache コマンドを追加します。

    int <interface>
    no ip route-cache
    

    それから、イネーブル(しかしない構成)モードで:

    term mon
    debug ip packet # det
    

    これと同じような出力を生成 します:

    *Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), 
       g=10.31.1.21, len 100, forward
    *Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, 
       len 100, forward
  • 拡張したアクセス リストは、さまざまな文の末尾に「log」オプションを付けて使用する場合もあります。

    access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log
    access-list 101 permit ip any any
    

    従って割り当てられるについては画面のメッセージが拒否されたトラフィック表示され、:

    *Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 
       -> 10.31.1.161 (0/0), 15 packets
    *Mar  1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) 
       -> 10.31.1.161(0), 1 packet
  • ip inspect リストが疑わしい場合、debug ip inspect <type_of_traffic> コマンドはこの出力のような出力を生成 します:

    Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 
       seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23)
    Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 
       seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)

これらのコマンド、およびその他のトラブルシューティング情報については、認証プロキシのトラブルシューティング(英語)を参照してください。


関連情報


Document ID: 13897