다이얼 인터페이스의 액세스 목록 문제 해결

다운로드 옵션

  • PDF     (135.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (80.1 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (63.3 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2005년 9월 14일
문서 ID:13867

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에는 다이얼 인터페이스의 액세스 목록 문제 해결 방법에 대한 정보가 포함되어 있습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 Cisco 2500 라우터와 Cisco IOS® Software 릴리스 12.0.5.T를 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

문제 해결 팁

  • access-list가 제대로 작동하지 않으면 목록을 인터페이스에 직접 적용합니다(예: 

    interface async 1
ip access-group 101 in|out

    논리가 인터페이스에 직접 적용되지 않으면 서버에서 전달되지 않습니다.show ip interface [name] 명령을 사용하여 access-list가 인터페이스에 있는지 확인할 수 있습니다.출력은 access-list 명령이 적용되는 방식에 따라 다르지만 다음을 포함할 수 있습니다. 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • 일부 access-list 디버깅은 인터페이스에서 route-cache를 임시로 제거하는 방법으로 수행할 수 있습니다. 

    interface async 1
no ip route-cache

    활성화 모드에 있을 때 다음을 입력합니다.

    debug ip packet access-list #

    terminal monitor 명령을 활성화하면 일반적으로 화면에 적중률이 표시됩니다.

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • 또한 show ip access-list 101을 수행할 수 있습니다. 이 경우 적중 횟수는 증가합니다.access-list 명령의 끝에 log 매개 변수를 추가하여 라우터가 거부성을 표시하도록 할 수도 있습니다. 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • 논리가 인터페이스에 직접 적용될 때 제대로 작동한다고 생각한다면 인터페이스에서 액세스 목록을 제거하고, aaa authorization network default tacacs|radius, debug aaa author(per-user access control lists를 사용하는 경우 debug aaa per-user 명령)를 terminal monitor 명령이 활성화되고 전송 액세스 목록을 관찰합니다.

    RADIUS에만 해당:RADIUS 서버가 #.in 또는 #.out으로 특성 11(Filter-id)을 지정할 수 없는 경우 기본값은 out입니다.예를 들어, 서버가 특성 111을 전송하는 경우 이는 라우터에서 "111.out"으로 가정합니다.

  • 액세스 목록의 내용을 표시합니다.

    사용자별 목록이 아닌 목록의 경우 액세스 목록의 내용을 보려면 show ip access-list 101 명령을 사용합니다. 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    사용자별 목록 유형의 경우 show ip access-lists 또는 show ip access-list를 사용합니다. | 사용자별 또는 show ip access-list Async1#1: 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • 모든 debug가 정상적으로 보이지만 access-list 명령이 예상대로 작동하지 않을 경우

    • 너무 작은 것이 차단되면 access-list를 변경하여 ip any를 거부하십시오.이전 버전도 그렇지 않은 경우 문제의 논리도 목록을 참조하십시오.

    • 너무 많이 차단되면 access-list를 변경하여 ip any를 허용하십시오.이전 버전도 그렇지 않은 경우 문제의 논리도 목록을 참조하십시오.

관련 정보

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품