Seguridad y VPN : Terminal Access Controller Access Control System (TACACS+)

Solución de problemas de listas de acceso en interfaces de marcación

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento contiene la información sobre cómo resolver problemas las Listas de acceso en las interfaces de marcación.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en Software Release 12.0.5.T del � de los Cisco 2500 Router y del Cisco IOS.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Consejos para Troubleshooting

  • Si la lista de acceso no trabaja correctamente, intente aplicar la lista directamente a la interfaz, por ejemplo:

    interface async 1
    ip access-group 101 in|out

    Si la lógica no trabaja aplicado directamente a la interfaz, no trabaja pasado abajo del servidor. El comando de la interfaz del IP de la demostración [name] se puede utilizar para considerar si la lista de acceso está en la interfaz. La salida varía basado en cómo el comando access-list es aplicado pero puede incluir:

    Outgoing access list is not set
    Inbound access list is 101
    
    Outgoing access list is not set
    Inbound access list is 101, default is not set
    
    Outgoing access list is Async1#1, default is not set
    Inbound access list is Async1#0, default is not set
  • Un cierto debugging de la lista de acceso se puede hacer con temporal la eliminación del route-cache de la interfaz:

    interface async 1
    no ip route-cache

    y luego, en el modo de activación, escriba:

    debug ip packet access-list #

    Con el comando terminal monitor habilitado, esto envía generalmente la salida a la pantalla para los golpes:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2
  • Usted puede también hacer el access-list 101 del IP de la demostración, que muestra los incrementos en los golpes. El parámetro del registro se puede también agregar en el extremo del comando access-list para hacer al router mostrar niega:

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log
  • Si le satisfacen que la lógica trabaja cuando está aplicada directamente a la interfaz, quita la lista de acceso de la interfaz, agregue los tacacs del valor por defecto de la autorización de red AAA|el radio, los comandos del autor aaa del debug (y el comando debug aaa per-user si usted utiliza por usuario las listas de control de acceso) con el comando terminal monitor habilitó y observa la lista de acceso enviada abajo.

    Para el RADIUS solamente: Si el servidor de RADIUS no tiene en cuenta el atributo 11 (id del filtro) ser especificado como #.in o #.out, el valor por defecto está hacia fuera. Por ejemplo, si el servidor envía el atributo 111, éste es supuesto por el router para ser el "111.out."

  • Muestre el contenido de una lista de acceso:

    Para un tipo del NON-por-usuario de lista, utilice el comando show ip access-list 101 para ver el contenido de la lista de acceso:

    Extended IP access list 101
    deny tcp any any (1649 matches)
    deny udp any any (35 matches)
    deny icmp any any (36 matches)

    Para por usuario un tipo de lista, utilice las listas de acceso del IP de la demostración, o la lista de acceso del IP de la demostración | por usuario o lista de acceso Async1#1 del IP de la demostración:

    Extended IP access list Async1#1 (per-user)
    deny icmp host 171.68.118.244 host 9.9.9.10
    deny ip host 171.68.118.244 host 9.9.9.9
    permit ip host 171.68.118.244 host 9.9.9.10
    permit icmp host 171.68.118.244 host 9.9.9.9
  • Si todo el debug mira bueno, pero el comando access-list no trabaja según lo anticipado:

    • Si se bloquea demasiado poco, intente cambiar la lista de acceso al deny ip any any. Si eso trabaja pero no lo hizo el anterior, el problema está en la lógica de la lista.

    • Si se bloquea demasiado, intente cambiar la lista de acceso para permitir el IP cualquier. Si eso trabaja pero no lo hizo el anterior, el problema está en la lógica de la lista.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 13867