Dépannage des listes d'accès sur les interfaces de numérotation

Options de téléchargement

  • PDF     (116.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (85.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (69.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:14 septembre 2005
ID du document:13867

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document contient des informations sur le dépannage des listes d'accès sur les interfaces de numérotation.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations de ce document sont basées sur les routeurs Cisco 2500 et le logiciel Cisco IOS® Version 12.0.5.T.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Conseils de dépannage

  • Si la liste d'accès ne fonctionne pas correctement, essayez d'appliquer la liste directement à l'interface, par exemple : 

    interface async 1
ip access-group 101 in|out

    Si la logique ne fonctionne pas directement sur l'interface, elle ne fonctionne pas transmise depuis le serveur. La commande show ip interface [name] peut être utilisée pour voir si la liste d'accès se trouve sur l'interface. La sortie varie selon la façon dont la commande access-list est appliquée, mais peut inclure : 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • Le débogage de la liste d'accès peut être effectué avec la suppression temporaire de route-cache de l'interface : 

    interface async 1
no ip route-cache

    puis, lorsque vous êtes en mode enable, tapez :

    debug ip packet access-list #

    Lorsque la commande terminal monitor est activée, elle envoie généralement des résultats à l'écran pour les résultats :

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • Vous pouvez également faire show ip access-list 101, qui affiche les incréments dans les résultats. Le paramètre log peut également être ajouté à la fin de la commande access-list afin que le routeur affiche les refus : 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • Si vous êtes convaincu que la logique fonctionne lorsqu'elle est appliquée directement à l'interface, supprimez la liste d'accès de l'interface, ajoutez les commandes acs|radius par défaut du réseau d'autorisation aaa, debug aaa writer (et la commande debug aaa per-user si vous utilisez des listes de contrôle d'accès par utilisateur) avec la monitor activée.

    Pour RADIUS uniquement : Si le serveur RADIUS ne permet pas que l'attribut 11 (Filter-id) soit spécifié sous #.in ou #.out, la valeur par défaut est out. Par exemple, si le serveur envoie l'attribut 111, le routeur présume qu'il s'agit de 111.out.

  • Afficher le contenu d’une liste d’accès :

    Pour un type de liste non utilisateur, utilisez la commande show ip access-list 101 afin d'afficher le contenu de la liste d'accès : 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    Pour un type de liste par utilisateur, utilisez la commande show ip access-lists ou la commande show ip access-list | par utilisateur ou show ip access-list Async1#1 : 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • Si tout le débogage semble correct, mais que la commande access-list ne fonctionne pas comme prévu :

    • Si trop peu est bloqué, essayez de changer la liste d'accès en deny ip any any. Si cela fonctionne, mais pas le précédent, le problème est dans la logique de la liste.

    • Si trop est bloqué, essayez de modifier la liste d'accès pour autoriser ip any any. Si cela fonctionne, mais pas le précédent, le problème est dans la logique de la liste.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
14-Sep-2005
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits