أستكشاف أخطاء قوائم الوصول وإصلاحها على واجهات الطلب

المقدمة

يحتوي هذا المستند على معلومات حول كيفية أستكشاف أخطاء قوائم الوصول وإصلاحها على واجهات الطلب.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى موجهات Cisco 2500 وبرنامج Cisco IOS^® الإصدار 12.0.5.T.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

تلميحات أستكشاف المشكلات وإصلاحها

• إذا لم تعمل قائمة الوصول بشكل صحيح، فحاول تطبيق القائمة مباشرة على الواجهة، على سبيل المثال:

  interface async 1
  ip access-group 101 in|out

  إذا لم ينجح المنطق الذي تم تطبيقه مباشرة على الواجهة، فإنه لا يعمل من الخادم. يمكن إستخدام الأمر show ip interface [name] لمعرفة ما إذا كانت قائمة الوصول موجودة على الواجهة. يختلف الإخراج بناء على كيفية تطبيق أمر قائمة الوصول ولكنه يمكن أن يتضمن:

  Outgoing access list is not set
  Inbound access list is 101
  
  Outgoing access list is not set
  Inbound access list is 101, default is not set
  
  Outgoing access list is Async1#1, default is not set
  Inbound access list is Async1#0, default is not set

• يمكن القيام ببعض تصحيح قائمة الوصول عن طريق الإزالة المؤقتة لذاكرة التخزين المؤقت للمسار من الواجهة:

  interface async 1
  no ip route-cache

  وبعد ذلك، بينما أنت في وضع التمكين، اكتب:

  debug ip packet access-list #

  مع تمكين الأمر terminal monitor ، يرسل هذا عادة مخرجات إلى الشاشة للوصول إلى:

  ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

• يمكنك أيضا القيام بإظهار ip access-list 101، والذي يظهر زيادات في عدد مرات الوصول. كما يمكن إضافة معلمة السجل في نهاية الأمر access-list لجعل الموجه يرفض:

  access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

• إذا كنت راضيا عن عمل هذا المنطق عند تطبيقه مباشرة على الواجهة، فقم بإزالة قائمة الوصول من الواجهة، وأضف الأمر AAA authorization network default tacacs|radius، وdebug aaa author (والأمر debug aaa لكل مستخدم إذا كنت تستخدم قوائم التحكم في الوصول لكل مستخدم) مع الأمر terminal monitor الذي تم تمكينه وراقب قائمة الوصول التي تم إرسالها.

  ل RADIUS فقط: إذا كان خادم RADIUS لا يسمح بتحديد السمة 11 (معرف المرشح) على أنها #.in أو #.out، يكون الإعداد الافتراضي هو الصادر. على سبيل المثال، إذا كان الخادم يرسل السمة 111، فهذا يفترض بواسطة الموجه أنه "111.out."

• إظهار محتويات قائمة الوصول:

  بالنسبة لنوع قائمة ليس لكل مستخدم، أستخدم الأمر show ip access-list 101 لعرض محتويات قائمة الوصول:

  Extended IP access list 101
  deny tcp any any (1649 matches)
  deny udp any any (35 matches)
  deny icmp any any (36 matches)

  بالنسبة لنوع القائمة لكل مستخدم، أستخدم show ip access-lists، أو show ip access-list | لكل مستخدم أو show ip access-list async1#1:

  Extended IP access list Async1#1 (per-user)
  deny icmp host 171.68.118.244 host 9.9.9.10
  deny ip host 171.68.118.244 host 9.9.9.9
  permit ip host 171.68.118.244 host 9.9.9.10
  permit icmp host 171.68.118.244 host 9.9.9.9

• إذا بدا جميع تصحيح الأخطاء جيدا، ولكن أمر access-list لا يعمل كما هو متوقع:

  • إذا تم حظر عدد قليل جدا، فحاول تغيير قائمة الوصول لرفض ip any. وإذا نجح هذا ولكن الأولى لم تنجح، فإن المشكلة تكمن في منطق القائمة.

  • إذا تم حظر عدد كبير للغاية، فحاول تغيير قائمة الوصول للسماح ل ip any. وإذا نجح هذا ولكن الأولى لم تنجح، فإن المشكلة تكمن في منطق القائمة.

معلومات ذات صلة

• دعم TACACS/TACACS+
• دعم RADIUS
• طلبات الحصول على تعليقات
• الدعم التقني والمستندات - Cisco Systems