Risoluzione dei problemi relativi agli elenchi degli accessi sulle interfacce di composizione

Opzioni per il download

  • PDF     (84.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (89.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (74.2 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:14 settembre 2005
ID documento:13867

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento contiene informazioni su come risolvere i problemi relativi agli elenchi degli accessi sulle interfacce di composizione.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Per la stesura del documento, sono stati usati router Cisco 2500 e software Cisco IOS® versione 12.0.5.T.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.

Suggerimenti per la risoluzione dei problemi

  • Se l'elenco ACL non funziona correttamente, provare ad applicarlo direttamente all'interfaccia, ad esempio: 

    interface async 1
ip access-group 101 in|out

    Se la logica non funziona applicata direttamente all'interfaccia, non funziona trasmessa dal server. il comando show ip interface [name] può essere usato per verificare se l'elenco degli accessi è sull'interfaccia. L'output varia a seconda della modalità di applicazione del comando access-list, ma può includere: 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • Per eseguire alcune operazioni di debug degli elenchi degli accessi, è possibile rimuovere temporaneamente route-cache dall'interfaccia: 

    interface async 1
no ip route-cache

    in modalità abilitazione digitare:

    debug ip packet access-list #

    Con il comando terminal monitor abilitato, in genere viene inviato l'output allo schermo per i colpi:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • è possibile anche fare clic su show ip access-list 101 per visualizzare gli incrementi delle visite. Il parametro log può essere aggiunto anche alla fine del comando access-list per fare in modo che il router visualizzi i messaggi di rifiuto: 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • Se si è certi che la logica funziona quando applicata direttamente all'interfaccia, rimuovere l'elenco degli accessi dall'interfaccia, aggiungere i comandi aaa authorization network default tacacs|radius, debug aaa author (e il comando debug aaa per utente se si usano gli elenchi di controllo degli accessi per utente) con il comando terminal monitor abilitato e osservare l'elenco degli accessi inviato.

    Solo per RADIUS: Se il server RADIUS non consente di specificare l'attributo 11 (Filter-id) come #.in o #.out, il valore predefinito è out. Ad esempio, se il server invia l'attributo 111, il router presume che sia "111.out".

  • Visualizzare il contenuto di un elenco degli accessi:

    Per un elenco di tipo non per utente, usare il comando show ip access-list 101 per visualizzare il contenuto dell'elenco degli accessi: 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    Per un elenco del tipo per utente, usare il comando show ip access-lists o il comando show ip access-list | per utente o show ip access-list Async1#1: 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • Se il comando access-list ha un aspetto corretto, ma non funziona come previsto:

    • Se viene bloccato un numero troppo basso di indirizzi, provare a modificare l'elenco degli accessi per negare l'indirizzo IP. Se questo funziona ma il precedente non lo ha fatto, il problema è nella logica dell'elenco.

    • Se viene bloccato un numero eccessivo di indirizzi, provare a modificare l'elenco degli accessi per consentire l'accesso a qualsiasi indirizzo ip. Se questo funziona ma il precedente non lo ha fatto, il problema è nella logica dell'elenco.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
14-Sep-2005
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti