セキュリティと VPN : 認証プロトコル

ダイヤル インターフェイスのアクセス リストのトラブルシューティング

2005 年 9 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 9 月 14 日) | フィードバック

注:この文書の情報は、Cisco 2500 ルータおよび Cisco IOS(R) ソフトウェア リリース 12.0.5.T に基づいています。

  • アクセス リストが正しく機能していない場合は、インターフェイスに直接リストを適用します。たとえば、次のように設定します。
    
     interface async 1
     ip access-group 101 in|out
     
    インターフェイスに直接適用したときにロジックが動作しない場合、サーバから渡された場合でもそのロジックは動作しません。 show ip interface [name] コマンドを使用すると、インターフェイスにアクセス リストが適用されているかどうかを確認できます。 出力結果はアクセス リスト コマンドの適用方法によって異なりますが、次のような内容が含まれています。
    
     Outgoing access list is not set
     Inbound access list is 101
     Outgoing access list is not set
     Inbound access list is 101, default is not set
     Outgoing access list is Async1#1, default is not set
     Inbound access list is Async1#0, default is not set
     
  • 一部のアクセス リストは、インターフェイスからルート キャッシュを一時的に削除することでデバッグできます。
    
     interface async 1
     no ip route-cache
     
    イネーブル モードで次のように入力します。
    
     debug ip packet access-list #
     
    terminal monitor コマンドがイネーブルの場合、通常、ヒットに関する出力が画面に送信されます。
    
     ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2
     
  • show ip access-list 101 を実行して、ヒット数の増加を確認することもできます。 access-list コマンドの最後に log パラメータを追加すると、ルータが拒否について表示するようになります。
    
     access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log
     
  • インターフェイスに直接適用したときのロジック動作に問題がなければ、アクセス リストをインターフェイスから削除します。aaa authorization network default tacacs|radius および debug aaa author コマンドを追加し(ユーザ別アクセス コントロール リストを使用している場合は debug aaa per-user コマンドも追加)、terminal monitor コマンドをイネーブルにして、伝達されるアクセス リストを監視します。 RADIUS の場合:RADIUS サーバでは、アトリビュート 11(フィルタ ID)を #.in または #.out として指定できません。デフォルトで out(出力方向)になっています。 たとえば、サーバからアトリビュート 111 が送信された場合、ルータでは「111.out.」と解釈されます。

  • アクセス リストの内容を表示するには次のようにします。

    ユーザ別タイプのリストではない場合は、show ip access-list 101 コマンドを使用してアクセス リストの内容を表示します。

    
     Extended IP access list 101
     deny tcp any any (1649 matches)
     deny udp any any (35 matches)
     deny icmp any any (36 matches)
     
    ユーザ別タイプのリストの場合は、show ip access-listsshow ip access-list | per-user、または show ip access-list Async1#1 コマンドを使用します。
    
     Extended IP access list Async1#1 (per-user)
     deny icmp host 171.68.118.244 host 9.9.9.10
     deny ip host 171.68.118.244 host 9.9.9.9
     permit ip host 171.68.118.244 host 9.9.9.10
     permit icmp host 171.68.118.244 host 9.9.9.9
     
  • すべてのデバッグで問題がないのに access-list コマンドが期待どおりに動作しない場合、次の点を確認します。

    • ブロックされているパケットが少なすぎる場合は、アクセス リストを deny ip any any に変更してみます。 先ほどの場合がだめで、これが動作した場合、問題はリストのロジックにあります。
    • ブロックされているパケットが多すぎる場合は、アクセス リストを permit ip any any に変更してみます。 先ほどの場合がだめで、これが動作した場合、問題はリストのロジックにあります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13867