Безопасность : Межсетевой экран Cisco IOS

Устранение неполадок конфигураций межсетевого экрана Cisco IOS

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет сведения, можно использовать для устранения проблем Cisco Конфигурации межсетевого экрана IOS�.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Устранение неполадок

Примечание: Обратитесь к документу Важная информация о командах отладки, прежде чем использовать команды debug.

  • Для инвертирования (удаляют) список доступа, помещают " не" перед командой access-group в режиме конфигурации интерфейса:

    int <interface>
    no ip access-group # in|out
    
  • Если слишком много трафика запрещено, изучите логику списка или попытайтесь определить дополнительный расширенный список, и затем применить его вместо этого. Например: :

    access-list # permit tcp any any
    access-list # permit udp any any
    access-list # permit icmp any any
    int <interface>
    ip access-group # in|out
    
  • Команда show ip access-lists показывает, какие списки доступа применены и какой трафик запрещен ими. При рассмотрении количества пакетов, запрещенного прежде и после отказавшей операции с IP - адресом источника и получателя, это количество увеличения, если список доступа блокирует трафик.

  • Если маршрутизатор загружен не слишком сильно, отладка может быть сделана на уровне пакетов на расширенном списке или инспектирующем списке IP-доступа. Если маршрутизатор в большой степени загружен, трафик замедляют через маршрутизатор. Используйте усмотрение с командами отладки.

    Временно добавьте команду no ip route-cache к интерфейсу:

    int <interface>
    no ip route-cache
    

    Затем в режиме подключения (но не в режиме конфигурации):

    term mon
    debug ip packet # det
    

    производит выходные данные, подобные этому:

    *Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), 
       g=10.31.1.21, len 100, forward
    *Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, 
       len 100, forward
  • Можно также использовать расширенный список для доступа с опцией "log" в конце различных инструкций:

    access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log
    access-list 101 permit ip any any
    

    Вы поэтому видите сообщения на экране для разрешенного и отказа в трафике:

    *Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 
       -> 10.31.1.161 (0/0), 15 packets
    *Mar  1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) 
       -> 10.31.1.161(0), 1 packet
  • Если список ip inspect является подозреваемым, команда debug ip inspect <type_of_traffic> производит, выводит, такие как эти выходные данные:

    Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 
       seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23)
    Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 
       seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)

Для этих команд, вместе с другими сведениями об устранении проблем, обращаются к Устранению проблем Аутентификации прокси-сервера.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 13897