ダイヤルインターフェイスのアクセスリストのトラブルシューティング

ダウンロード オプション

  • PDF     (168.2 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (81.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (64.8 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2005 年 9 月 14 日
Document ID:13867

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、ダイヤル インターフェイスのアクセス リストをトラブルシューティングする方法について説明します。

前提条件

要件

このドキュメントに特有の要件はありません。

使用するコンポーネント

この文書の情報は、Cisco 2500 ルータおよび Cisco IOS(R) ソフトウェア リリース 12.0.5.T に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

トラブルシュートのヒント

  • アクセスリストが正しく動作しない場合は、次のようにリストをインターフェイスに直接適用してみてください。 

    interface async 1
ip access-group 101 in|out

    インターフェイスに直接適用されるロジックが動作しない場合、サーバから渡されたロジックは動作しません。show ip interface [name] コマンドを使用すると、インターフェイスにアクセス リストが適用されているかどうかを確認できます。出力は、access-listコマンドの適用方法によって異なりますが、次の内容を含めることができます。 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • 一部のアクセスリストのデバッグは、インターフェイスからルートキャッシュを一時的に削除することで実行できます。 

    interface async 1
no ip route-cache

    イネーブル モードで次のように入力します。

    debug ip packet access-list #

    terminal monitorコマンドを有効にすると、通常、ヒットの出力が画面に送信されます。

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • また、show ip access-list 101を実行して、ヒット数の増加を表示することもできます。ルータに拒否が表示されるようにするには、access-listコマンドの最後にlogパラメータを追加します。 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • インターフェイスに直接適用する際にロジックが機能する場合は、インターフェイスからアクセスリストを削除し、aaa authorization network default tacacs|radiusdebug aaa author(およびユーザごとのアクセスコントロールリストを使用する場合はdebug aaa per-user)コマンドを有効にしてterminal monitorします。

    RADIUSのみ:RADIUSサーバで属性11(Filter-id)を#.inまたは#.outとして指定できない場合、デフォルトはoutです。たとえば、サーバが属性111を送信する場合、これはルータによって「111.out」と推定されます。

  • アクセスリストの内容を表示します。

    ユーザごとのタイプ以外のリストの場合は、show ip access-list 101コマンドを使用して、アクセスリストの内容を表示します。 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    ユーザごとのリストタイプの場合は、show ip access-listsまたはshow ip access-listを使用します | per-userまたはshow ip access-list Async1#1: 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • すべてのデバッグが正常に動作しているのに、access-listコマンドが予期したとおりに動作しない場合:

    • ブロックされるブロックが少なすぎる場合は、アクセスリストをdeny ip any anyに変更します。もし前の問題が解決しなかった場合、問題はリストの論理にあります。

    • ブロックが多すぎる場合は、アクセスリストをpermit ip any anyに変更してください。もし前の問題が解決しなかった場合、問題はリストの論理にあります。

関連情報

更新履歴

改定 発行日 コメント
1.0
14-Sep-2005
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています