Cisco IOS ファイアウォール設定のトラブルシューティング

ダウンロード オプション

  • PDF     (311.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (80.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (64.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2006 年 8 月 15 日
Document ID:13897

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco IOS® Firewall 設定をトラブルシューティングするために使用できる情報を提供します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

トラブルシュート

注:debugコマンドを使用する前に、『debugコマンドの重要な情報』を参照してください。

  • アクセス リストの内容を反転(削除)するには、インターフェイス コンフィギュレーション モードで access-group コマンドの先頭に「no」を付けます。 

    int 
        
        
          no ip access-group # in|out

  • 非常に大量のトラフィックが拒否されている場合は、定義しているリストのロジックを調べるか、より許可対象範囲の広い別のリストを定義して、代わりに適用してみてください。例: 

    access-list # permit tcp any any
access-list # permit udp any any
access-list # permit icmp any any
int 
        
        
          ip access-group # in|out

  • show ip access-lists コマンドでは、割り当てられているアクセス リストと、拒否されているトラフィックを表示します。操作に失敗した前後で拒否されたパケットの数を、送信元と送信先の IP アドレスについて調べている場合、アクセス リストがトラフィックをブロックしていると、パケット数は増加します。

  • ルータの負荷が高くない場合は、拡張アクセス リストまたは IP 検査のアクセス リストに対してパケット レベルでのデバッグを行うことができます。ルータの負荷が高い場合、トラフィックはルータ経由で遅くなります。デバッグ コマンドは慎重に使用してください。

    一時的にインターフェイスに no ip route-cache コマンドを追加します。

    int 
        
        
          no ip route-cache

    次に、イネーブル モード(設定モードではなく)に入ります。

    term mon
debug ip packet # det

    次のような出力が表示されます。

    *Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), 
   g=10.31.1.21, len 100, forward
*Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, 
   len 100, forward

  • 拡張したアクセス リストは、さまざまな文の末尾に「log」オプションを付けて使用する場合もあります。 

    access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log
access-list 101 permit ip any any

    これにより、許可および拒否されたトラフィックに関するメッセージが画面上に表示されるようになります。

    *Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 
   -> 10.31.1.161 (0/0), 15 packets
*Mar  1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) 
   -> 10.31.1.161(0), 1 packet

  • IP 検査リストが疑わしい場合、debug ip inspect <type_of_traffic> コマンドを実行すると、次のような出力が表示されます。

    Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 
   seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23)
Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 
   seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)

これらのコマンド、およびその他のトラブルシューティング情報については、認証プロキシのトラブルシューティングを参照してください。

関連情報

更新履歴

改定 発行日 コメント
1.0
10-Dec-2001
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています