セキュリティ : Cisco IOS ファイアウォール

CBAC 設定のトラブルシューティング

2002 年 10 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 8 月 15 日) | フィードバック

debug コマンドを使用する前に、「debug コマンドに関する重要な情報」を参照してください。

  • アクセス リストの内容を反転(削除)するには、インターフェイス設定モードで access-group コマンドの先頭に「no」を付けます。

      
      
      int <interface>
      
      no ip access-group # in|out
      
      

  • 非常に大量のトラフィックが拒否されている場合は、定義しているリストのロジックを調べ、より許可対象範囲の広い別のリストを定義して、これを適用してみてください。次に、例を示します。

      
      access-list # permit tcp any any
      
      access-list # permit udp any any
      
      access-list # permit icmp any any
      
      int <interface>
      
      ip access-group # in|out
      
      

  • show ip access-lists コマンドでは、割り当てられているアクセス リストと、拒否されているトラフィックを表示します。操作に失敗した前後で拒否されたパケットの数を、送信元と送信先の IP アドレスについて調べている場合、アクセス リストがトラフィックをブロックしていると、パケット数は増加します。

  • ルータの負荷が高くない場合は、拡張アクセス リストまたは IP 検査のアクセス リストに対してパケット レベルでのデバッグを行うことができます。ルータの負荷が高い場合は、ルータを通過するときにトラフィックが遅くなります。デバッグ コマンドは慎重に使用してください。

    一時的にインターフェイスに no ip route-cache コマンドを追加します。

      
      int <interface>
      
      no ip route-cache
      
      
    次に、イネーブル モード(設定モードではなく)に入ります。

      
      term mon
      
      debug ip packet # det
      
      
    次のような出力が表示されます。

      *Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0),
      
         g=10.31.1.21, len 100, forward
      
      *Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9,
      
         len 100, forward

  • 拡張したアクセス リストは、さまざまな文の末尾に「log」オプションを付けて使用する場合もあります。

      
      access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log
      
      access-list 101 permit ip any any
      
      
    これにより、許可または拒否されたトラフィックに関するメッセージが画面上に表示されるようになります。

      
      *Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100
      
         -> 10.31.1.161 (0/0), 15 packets
      
      *Mar  1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0)
      
         -> 10.31.1.161(0), 1 packet

  • IP 検査リストが疑わしい場合、debug ip inspect <type_of_traffic> コマンドを実行すると、次のような出力が表示されます。

      
      Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223
      
         seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23)
      
      Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378
      
         seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)


関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 13897