Solución de problemas de listas de acceso en interfaces de marcación

Opciones de descarga

  • PDF     (84.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (86.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (70.6 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:14 de septiembre de 2005
ID del documento:13867

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento contiene información sobre cómo resolver problemas de listas de acceso en interfaces de marcado.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en los routers de Cisco 2500 y el software del IOS de Cisco® Versión 12.0.5.T.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Consejos para Troubleshooting

  • Si la lista de acceso no funciona correctamente, intente aplicar la lista directamente a la interfaz, por ejemplo: 

    interface async 1
ip access-group 101 in|out

    Si la lógica no funciona aplicada directamente a la interfaz, no funciona si se transmite desde el servidor. El comando show ip interface [name] se puede utilizar para ver si la lista de acceso está en la interfaz. El resultado varía según cómo se aplique el comando access-list pero puede incluir: 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • Se puede realizar alguna depuración de la lista de acceso con la eliminación temporal de la memoria caché de ruta de la interfaz: 

    interface async 1
no ip route-cache

    y luego, en el modo de activación, escriba:

    debug ip packet access-list #

    Con el comando terminal monitor habilitado, esto normalmente envía la salida a la pantalla para los aciertos:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • También puede hacer show ip access-list 101, que muestra incrementos en resultados. El parámetro log también se puede agregar al final del comando access-list para hacer que el router muestre negaciones: 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • Si está satisfecho de que la lógica funciona cuando se aplica directamente a la interfaz, quite la lista de acceso de la interfaz, agregue los comandos aaa authorization network default tacacs|radius, debug aaa auth (y el comando debug aaa per-user si utiliza listas de control de acceso por usuario) con el comando terminal monitor habilitado y observe la lista de acceso enviada hacia abajo.

    Sólo para RADIUS: Si el servidor RADIUS no permite que se especifique el atributo 11 (Filter-id) como #.in o #.out, el valor predeterminado es out. Por ejemplo, si el servidor envía el atributo 111, el router presume que es "111.out".

  • Mostrar el contenido de una lista de acceso:

    Para un tipo de lista no por usuario, utilice el comando show ip access-list 101 para ver el contenido de la lista de acceso: 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    Para un tipo de lista por usuario, utilice el comando show ip access-lists o el comando show ip access-list | por usuario o show ip access-list Async1#1: 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • Si toda la depuración se ve bien, pero el comando access-list no funciona como se esperaba:

    • Si se bloquea muy poco, intente cambiar la lista de acceso para denegar ip any any. Si eso funciona pero el anterior no, el problema está en la lógica de la lista.

    • Si se bloquea demasiado, intente cambiar la lista de acceso para permitir que ip any any. Si eso funciona pero el anterior no, el problema está en la lógica de la lista.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
14-Sep-2005
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos