对 Cisco IOS 防火墙配置进行故障排除

简介

本文档提供可用于对Cisco IOS®防火墙配置进行故障排除的信息。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

故障排除

注意：在发布 debug 命令之前，请参阅有关 Debug 命令的重要信息。

• 要反向（删除）访问列表，请在接口配置模式下在access-group命令前面输入“no”：

  int 
          
          
            no ip access-group # in|out 
          
  

• 如果拒绝的流量过多，请研究列表的逻辑或尝试定义其他更宽的列表，然后应用该列表。例如：

  access-list # permit tcp any any
  access-list # permit udp any any
  access-list # permit icmp any any
  int 
          
          
            ip access-group # in|out 
          
  

• show ip access-lists命令显示应用了哪些访问列表以及它们拒绝哪些流量。如果您使用源和目标IP地址查看操作失败前后被拒绝的数据包计数，当访问列表阻止流量时，此数字将会增加。

• 如果路由器负载不重，可在扩展或ip inspect访问列表的数据包级别进行调试。如果路由器负载过重，通过路由器的流量会减慢。在调试命令时请谨慎使用。

  将no ip route-cache命令临时添加到接口：

  int 
          
          
            no ip route-cache 
          
  

  然后，在启用（但不配置）模式下：

  term mon
  debug ip packet # det
  

  生成类似如下所示的输出：

  *Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), 
     g=10.31.1.21, len 100, forward
  *Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, 
     len 100, forward

• 扩展访问列表还可以与各种语句末尾的“log”选项一起使用：

  access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log
  access-list 101 permit ip any any
  

  因此，您将在屏幕上看到允许和拒绝流量的消息：

  *Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 
     -> 10.31.1.161 (0/0), 15 packets
  *Mar  1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) 
     -> 10.31.1.161(0), 1 packet

• 如果ip inspect列表可疑，则debug ip inspect <type_of_traffic>命令会生成以下输出：

  Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 
     seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23)
  Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 
     seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)

对于这些指令和其他故障排除信息，请参见排错认证代理。

相关信息

• Cisco IOS防火墙产品支持
• 技术支持和文档 - Cisco Systems