Resolución de problemas de configuración de firewall de Cisco IOS

Opciones de descarga

  • PDF     (250.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (85.1 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (69.0 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de agosto de 2006
ID del documento:13897

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento proporciona información que podrá utilizar para resolver problemas en las configuraciones de Cisco IOS® Firewall.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Troubleshoot

Nota: Consulte Información importante sobre los comandos de depuración antes de utilizar este tipo de comandos.

  • Para revertir (quitar) una lista de acceso, coloque un "no" delante del comando access-group en el modo de configuración de la interfaz: 

    int 
        
        
          no ip access-group # in|out

  • Si se niega demasiado tráfico, estudie la lógica de la lista o intente definir una lista más amplia y, a continuación, aplíquela. Por ejemplo: 

    access-list # permit tcp any any
access-list # permit udp any any
access-list # permit icmp any any
int 
        
        
          ip access-group # in|out

  • El comando show ip access-lists muestra qué listas de acceso se aplican y qué tráfico deniegan. Si observa el recuento de paquetes denegado antes y después de la operación fallida con la dirección IP de origen y de destino, este número aumenta si la lista de acceso bloquea el tráfico.

  • Si el router no se cargó completamente, la depuración puede hacerse a nivel del paquete en la lista de acceso de inspección ip o extendida. Si el router está muy cargado, el tráfico se ralentiza a través del router. Utilice la discreción con los comandos de depuración.

    Agregue temporalmente el comando no ip route-cache a la interfaz:

    int 
        
        
          no ip route-cache

    A continuación, en el modo de activación (pero no de configuración):

    term mon
debug ip packet # det

    produce una salida similar a la siguiente:

    *Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), 
   g=10.31.1.21, len 100, forward
*Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, 
   len 100, forward

  • Se pueden utilizar las listas de acceso extendidas con la opción "registro" al final de los distintos enunciados: 

    access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log
access-list 101 permit ip any any

    Por lo tanto, verá mensajes en la pantalla para el tráfico permitido y denegado:

    *Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 
   -> 10.31.1.161 (0/0), 15 packets
*Mar  1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) 
   -> 10.31.1.161(0), 1 packet

  • Si la lista ip inspect es sospechosa, el comando debug ip inspect <type_of_traffic> genera un resultado como este:

    Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 
   seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23)
Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 
   seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)

Para obtener estos comandos, junto con otra información de troubleshooting, consulte Troubleshooting Authentication Proxy.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
10-Dec-2001
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos