撥號介面上的訪問清單故障排除

下載選項

  • PDF     (164.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (79.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (62.2 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2005 年 9 月 14 日
文件 ID:13867

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文包含有關如何對撥號介面上的存取清單進行疑難排解的資訊。

必要條件

需求

本文件沒有特定需求。

採用元件

本檔案中的資訊是根據Cisco 2500路由器和Cisco IOS®軟體版本12.0.5.T。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊,請參閱思科技術提示慣例。

疑難排解提示

  • 如果存取清單無法正常運作,請嘗試將清單直接套用到介面,例如: 

    interface async 1
ip access-group 101 in|out

    如果邏輯不能直接應用於介面,則它不能從伺服器向下傳遞。show ip interface [name]命令可用於檢視訪問清單是否位於介面上。輸出根據應用access-list命令的方式而有所不同,但可能包括: 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • 從介面臨時刪除路由快取可以完成一些訪問清單調試: 

    interface async 1
no ip route-cache

    然後在啟用模式下輸入:

    debug ip packet access-list #

    啟用terminal monitor 命令後,通常會將輸出傳送到螢幕中是否有命中:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • 您還可以執行show ip access-list 101,此命令會顯示命中的增量。也可以在access-list指令的尾端新增log引數,以便讓路由器顯示拒絕: 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • 如果對直接應用於介面時邏輯工作滿意,請從介面中刪除訪問清單,在啟用了terminal monitor 命令的情況下新增aaa authorization network default tacacs|radiusdebug aaa author(以及debug aaa per-user命令,如果您使用每使用者訪問控制清單),並觀察傳送的訪問清單。

    僅適用於RADIUS:如果RADIUS伺服器不允許將屬性11(Filter-id)指定為#.in或#.out,則預設值為out。例如,如果伺服器傳送屬性111,路由器會假定這是「111.out」。

  • 顯示存取清單的內容:

    對於非每使用者型別的清單,請使用show ip access-list 101命令檢視訪問清單的內容: 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    對於每使用者型別的清單,請使用show ip access-listsshow ip access-list |每使用者show ip access-list Async1#1: 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • 如果所有調試看起來都正常,但access-list命令未按預期工作:

    • 如果阻止的內容太少,請嘗試將存取清單變更為deny ip any any。如果這招行得通,但早先的招數沒有奏效,那麼問題就出在清單的邏輯上。

    • 如果阻止的內容過多,請嘗試將存取清單變更為permit ip any any。如果這招行得通,但早先的招數沒有奏效,那麼問題就出在清單的邏輯上。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
14-Sep-2005
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品