拨号接口访问列表故障排除

下载选项

  • PDF     (150.4 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (79.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (61.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2005 年 9 月 14 日
文档 ID:13867

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档包含有关如何对拨号接口上的访问列表进行故障排除的信息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco 2500路由器和Cisco IOS®件版本12.0.5.T。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则。

故障排除提示

  • 如果访问列表不能正常工作,请尝试将列表直接应用到接口,例如: 

    interface async 1
ip access-group 101 in|out

    如果逻辑不能直接应用到接口,则从服务器向下传递的逻辑不能工作。show ip interface [name]命令可用于查看访问列表是否在接口上。输出取决于access-list命令的应用方式,但可能包括: 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • 通过从接口临时删除路由缓存,可以执行某些访问列表调试: 

    interface async 1
no ip route-cache

    然后,在处于启用模式时,键入:

    debug ip packet access-list #

    启用terminal monitor命令后,通常会将输出发送到屏幕以查找命中:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • 您也可以执行show ip access-list 101,它以命中数显示增量。也可以在access-list命令的末尾添加log参数,以使路由器显示拒绝: 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • 如果您对逻辑在直接应用到接口时工作感到满意,请从接口删除访问列表,添加aaa authorization network default tacacs|radiusdebug aaa author(以及debug aaa per-user 命令(如果您使用每用户访问控制列表),同时启用terminal monitor命令并观察下发的访问列表。

    仅适用于RADIUS:如果RADIUS服务器不允许将属性11(Filter-id)指定为#.in或#.out,则默认为out。例如,如果服务器发送属性111,则路由器假定该属性为“111.out”。

  • 显示访问列表的内容:

    对于非按用户类型的列表,请使用show ip access-list 101命令查看访问列表的内容: 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    对于每用户类型的列表,请使用show ip access-listsshow ip access-list |每用户show ip access-list Async1#1: 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • 如果所有调试都看起来不错,但access-list命令不能按预期工作:

    • 如果阻止的访问量太小,请尝试将访问列表更改为deny ip any any。如果这能奏效,但前一个不能,问题就出在清单的逻辑上。

    • 如果阻止过多,请尝试更改访问列表以允许ip any any。如果这能奏效,但前一个不能,问题就出在清单的逻辑上。

相关信息

修订历史记录

版本 发布日期 备注
1.0
14-Sep-2005
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品