이 문서에서는 Cisco IOS® 방화벽 컨피그레이션의 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
이 문서에 대한 특정 요건이 없습니다.
이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.
참고: debug 명령을 실행하기 전에 Debug 명령에 대한 중요 정보를 참조하십시오.
액세스 목록을 취소(제거)하려면 인터페이스 컨피그레이션 모드에서 access-group 명령 앞에 "no"를 입력합니다.
intno ip access-group # in|out
너무 많은 트래픽이 거부되면 목록의 논리를 검토하거나 더 광범위한 목록을 추가로 정의한 다음 대신 적용하십시오. 예를 들면 다음과 같습니다.
access-list # permit tcp any any access-list # permit udp any any access-list # permit icmp any any intip access-group # in|out
show ip access-lists 명령은 어떤 액세스 목록이 적용되는지 그리고 어떤 트래픽이 거부되는지 보여줍니다. 소스 및 목적지 IP 주소에서 실패한 작업 전후에 거부된 패킷 수를 살펴보면, 액세스 목록이 트래픽을 차단하면 이 수가 증가합니다.
라우터가 많이 로드되지 않은 경우 확장 또는 ip 검사 액세스 목록의 패킷 레벨에서 디버깅이 수행될 수 있습니다. 라우터가 과부하 상태인 경우 트래픽이 라우터를 통해 느려집니다. 디버깅 명령에 재량권을 사용합니다.
인터페이스에 임시로 no ip route-cache 명령을 추가합니다.
intno ip route-cache
그런 다음 활성화(컨피그레이션 아님) 모드에서 다음을 수행합니다.
term mon debug ip packet # det
다음과 유사한 출력을 생성합니다.
*Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), g=10.31.1.21, len 100, forward *Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, len 100, forward
확장 액세스 목록은 다양한 명령문 끝에 있는 "log" 옵션과 함께 사용할 수도 있습니다.
access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log access-list 101 permit ip any any
따라서 화면에 허용 및 거부된 트래픽에 대한 메시지가 표시됩니다.
*Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 -> 10.31.1.161 (0/0), 15 packets *Mar 1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) -> 10.31.1.161(0), 1 packet
ip inspect 목록이 suspect이면 debug ip inspect <type_of_traffic> 명령은 다음과 같은 출력을 생성합니다.
Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23) Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)
이러한 명령과 기타 트러블슈팅 정보는 인증 프록시 트러블슈팅을 참조하십시오.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
10-Dec-2001 |
최초 릴리스 |