Toegangslijsten voor probleemoplossing op kiesinterfaces

Downloadopties

  • PDF     (83.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (85.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (69.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:14 september 2005
Document-id:13867

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document bevat informatie over het oplossen van toegangslijsten op kiesinterfaces.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op Cisco 2500 routers en Cisco IOS-softwarerelease 12.0.5.T.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Tips voor probleemoplossing

  • Als de toegangslijst niet goed werkt, probeer dan de lijst direct op de interface toe te passen, bijvoorbeeld: 

    interface async 1
ip access-group 101 in|out

    Als de logica niet direct op de interface wordt toegepast, werkt het niet van de server over. De opdracht ip interface [name] tonen kan worden gebruikt om te zien of de toegangslijst op de interface staat. Uitvoer varieert afhankelijk van de manier waarop de toegangslijst opdracht wordt toegepast maar kan ook omvatten: 

    Outgoing access list is not set
Inbound access list is 101

Outgoing access list is not set
Inbound access list is 101, default is not set

Outgoing access list is Async1#1, default is not set
Inbound access list is Async1#0, default is not set

  • Wat kan het debuggen van toegangslijsten gedaan worden met de tijdelijke verwijdering van route-cache van de interface: 

    interface async 1
no ip route-cache

    en type:

    debug ip packet access-list #

    Als de opdracht voor de eindmonitor is ingeschakeld, wordt de uitvoer naar het scherm verzonden voor hits:

    ICMP: dst (15.15.15.15) administratively prohibited unreachable sent to 1.1.1.2

  • Je kunt ook ip access-list 101 tonen, die stappen in hits toont. De logparameter kan ook aan het eind van het toegang-lijst bevel worden toegevoegd om de router te veroorzaken om ontkenningen te tonen: 

    access-list 101 permit icmp 1.1.1.0 0.0.0.255 9.9.9.0 0.0.0.255 log

  • Als u tevreden bent dat de logica werkt wanneer deze direct op de interface wordt toegepast, verwijder de toegangslijst van de interface, voeg de standaard tacacs|Straal van het AAA-netwerk toe, debug a auteur (en de opdracht debug a per-gebruiker als u toegangscontrolelijsten gebruikt) met de controle-opdracht van de terminal en let op de ingestelde toegangslijst.

    Alleen voor RADIUS: Als de RADIUS-server niet toestaat dat eigenschap 11 (filter-id) wordt gespecificeerd als #.in of #.out, dan is de standaardinstelling niet. Bijvoorbeeld, als de server eigenschap 111 verstuurt, wordt dit door de router verondersteld "11.out." te zijn.

  • De inhoud van een toegangslijst tonen:

    Voor een niet per-gebruiker type lijst, gebruik de opdracht tonen ip access-list 101 om de inhoud van de toegangslijst te bekijken: 

    Extended IP access list 101
deny tcp any any (1649 matches)
deny udp any any (35 matches)
deny icmp any any (36 matches)

    Voor een type lijst per gebruiker gebruikt u de tonen IP-toegangslijsten of de tonen ip-toegangslijst | per gebruiker of toon ip access-list Async1#1: 

    Extended IP access list Async1#1 (per-user)
deny icmp host 171.68.118.244 host 9.9.9.10
deny ip host 171.68.118.244 host 9.9.9.9
permit ip host 171.68.118.244 host 9.9.9.10
permit icmp host 171.68.118.244 host 9.9.9.9

  • Als alle debug er goed uitziet maar de access-list opdracht werkt niet zoals verwacht:

    • Als te weinig wordt geblokkeerd, probeer dan de toegangslijst te wijzigen om elke ip te ontkennen. Als dat werkt maar het vorige niet, dan is het probleem in de logica van de lijst.

    • Als er te veel geblokkeerd is, probeert u de toegangslijst te wijzigen om alle items aan te passen. Als dat werkt maar het vorige niet, dan is het probleem in de logica van de lijst.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
14-Sep-2005
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten