Cisco IOS 방화벽 컨피그레이션 트러블슈팅

다운로드 옵션

  • PDF     (276.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (80.2 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (63.7 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2006년 8월 15일
문서 ID:13897

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco IOS® 방화벽 컨피그레이션의 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

문제 해결

참고: debug 명령을 실행하기 전에 Debug 명령에 대한 중요 정보 참조하십시오.

  • 액세스 목록을 취소(제거)하려면 인터페이스 컨피그레이션 모드에서 access-group 명령 앞에 "no"를 입력합니다. 

    int 
        
        
          no ip access-group # in|out

  • 너무 많은 트래픽이 거부되면 목록의 논리를 검토하거나 더 광범위한 목록을 추가로 정의한 다음 대신 적용하십시오. 예를 들면 다음과 같습니다. 

    access-list # permit tcp any any
access-list # permit udp any any
access-list # permit icmp any any
int 
        
        
          ip access-group # in|out

  • show ip access-lists 명령은 어떤 액세스 목록이 적용되는지 그리고 어떤 트래픽이 거부되는지 보여줍니다. 소스 및 목적지 IP 주소에서 실패한 작업 전후에 거부된 패킷 수를 살펴보면, 액세스 목록이 트래픽을 차단하면 이 수가 증가합니다.

  • 라우터가 많이 로드되지 않은 경우 확장 또는 ip 검사 액세스 목록의 패킷 레벨에서 디버깅이 수행될 수 있습니다. 라우터가 과부하 상태인 경우 트래픽이 라우터를 통해 느려집니다. 디버깅 명령에 재량권을 사용합니다.

    인터페이스에 임시로 no ip route-cache 명령을 추가합니다.

    int 
        
        
          no ip route-cache

    그런 다음 활성화(컨피그레이션 아님) 모드에서 다음을 수행합니다.

    term mon
debug ip packet # det

    다음과 유사한 출력을 생성합니다.

    *Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), 
   g=10.31.1.21, len 100, forward
*Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, 
   len 100, forward

  • 확장 액세스 목록은 다양한 명령문 끝에 있는 "log" 옵션과 함께 사용할 수도 있습니다. 

    access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log
access-list 101 permit ip any any

    따라서 화면에 허용 및 거부된 트래픽에 대한 메시지가 표시됩니다.

    *Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 
   -> 10.31.1.161 (0/0), 15 packets
*Mar  1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) 
   -> 10.31.1.161(0), 1 packet

  • ip inspect 목록이 suspect이면 debug ip inspect <type_of_traffic> 명령은 다음과 같은 출력을 생성합니다.

    Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 
   seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23)
Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 
   seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)

이러한 명령과 기타 트러블슈팅 정보는 인증 프록시 트러블슈팅 참조하십시오.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
10-Dec-2001
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품