Cisco IOS防火牆配置故障排除
簡介
本文檔提供的資訊可用於對Cisco IOS®防火牆配置進行故障排除。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
慣例
疑難排解
注意:發出debug命令之前,請參閱有關Debug命令的重要資訊。
-
要反轉(刪除)訪問清單,請在介面配置模式下在access-group命令前增加「no」:
intno ip access-group # in|out -
如果遭到拒絕的流量過多,請研究您的清單邏輯,或嘗試定義其他更廣泛的清單,然後套用它。舉例來說:
access-list # permit tcp any any access-list # permit udp any any access-list # permit icmp any any intip access-group # in|out -
show ip access-lists命令顯示應用了哪些訪問清單以及哪些流量被它們拒絕。如果檢視操作失敗前後拒絕的資料包計數和源IP地址和目標IP地址,則當訪問清單阻止流量時,此數字會增加。
-
如果路由器負載不重,可以在擴展或ip inspect訪問清單的資料包級別進行調試。如果路由器負載過重,則透過路由器的流量會變慢。請謹慎使用調試命令。
在介面中臨時增加no ip route-cache命令:
intno ip route-cache 然後,在啟用(但不是配置)模式下:
term mon debug ip packet # det
產生類似如下所示的輸出:
*Mar 1 04:38:28.078: IP: s=10.31.1.161 (Serial0), d=171.68.118.100 (Ethernet0), g=10.31.1.21, len 100, forward *Mar 1 04:38:28.086: IP: s=171.68.118.100 (Ethernet0), d=9.9.9.9 (Serial0), g=9.9.9.9, len 100, forward
-
擴展訪問清單還可與各種語句末尾的「log」選項一起使用:
access-list 101 deny ip host 171.68.118.100 host 10.31.1.161 log access-list 101 permit ip any any
因此,您可以在螢幕上看到允許和拒絕流量的消息:
*Mar 1 04:44:19.446: %SEC-6-IPACCESSLOGDP: list 111 permitted icmp 171.68.118.100 -> 10.31.1.161 (0/0), 15 packets *Mar 1 03:27:13.295: %SEC-6-IPACCESSLOGP: list 118 denied tcp 171.68.118.100(0) -> 10.31.1.161(0), 1 packet
-
如果ip inspect list可疑,則debug ip inspect <type_of_traffic>命令會生成如下輸出:
Feb 14 12:41:17 10.31.1.52 56: 3d05h: CBAC* sis 258488 pak 16D0DC TCP P ack 3195751223 seq 3659219376(2) (10.31.1.5:11109) => (12.34.56.79:23) Feb 14 12:41:17 10.31.1.52 57: 3d05h: CBAC* sis 258488 pak 17CE30 TCP P ack 3659219378 seq 3195751223(12) (10.31.1.5:11109) <= (12.34.56.79:23)
對於這些指令和其他故障排除資訊,請參見排錯認證代理。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
10-Dec-2001 |
初始版本 |
意見