3.9.5 ACL problémák hibaelhárítása Kiss Tamás
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
-
3.9.5ACL problmk hibaelhrtsaKiss Tams2/14.i
-
MeghatrozsA hozzfrsi lista hasznlata sszetett teszi annak hibaelhrtsi folyamatt
Amikor ACL hasznlatkor az lloms vagy hlzat elrhetetlen,fontos,hogy meghatrozzuk,hogy azt a hibt az ACL okozza.Krdsek:Van-e ACL a f.i.-n vagy int.-n,amin a hiba tallhat?Volt-e ACL belltva a problma eltt?Az ACL jl mkdik?A problma rint ms llomst?A hlzat megfelelen jelenik meg a f.i. tblban?
Ezekre naplzssal vlaszt kaphatunk,ami megmutatja,hogy az ACL hogy befolysolja a csomagot.Egyezs megtekintse : show access-listTiltott s engedlyezett csomag adat megtekintse: ACL parancs vgre log
-
ParancsokSzmos parancs van,ami segt meghatrozni a ACL konfigurci helyessgt,mint pld. a:show access-list : minden konfigurlt ACL megtekintse,fggetlenl az alkalmazstlclear access-list counters : ACL-hez tartoz illeszkedsi szmll trlsedebug ip packet :f.i. int. ltal fogadott vagy kldtt forrs s cl IP-cm megtekintseF.i. int. forrs- s clcmhez tartoz csomag mutatsaACL ltal letiltott csomag mutatsa
Debug zenetet teremt forgalomtpus:Interfsz fel vagy attl jv RIP frissitsKls forrsbl s cllloms fel tart telnet,amit az ACL blokkolt
Ha a csomag tovbbhalad s az ACL nem blokkol csomagot az IP-cmrl,nem lesz debug zenet
-
R1#show running config:R1#show ip interface:
-
R1#debug ip packet:R1#show access-lists:
-
Konfigurcis s elhelyezsi hibaA lelassult vagy nem elrhet hlzatot egy rosszul belltott ACL okozhatja.Nha elkpzelhet,hogy az ACL engedlyezi vagy tiltja a forgalmat,de nem vrt hatsa lehet ms forgalomraACL okozta problma esetn ezt kell vizsglni:Naplzs ellenrzse a j sorrend meghatrozshoz,ha az ACL nem a legjobb sorrendet kvetiExplicit deny ip any any log hasznlata,amivel megfigyelhet az a csomag,amire nincs egyezs ACL utasts rszrl
Hasznljunk naplzst,hogy ellenrizzk az ACL mkdst,hogy az elvrtak szerint mkdik-e!
-
A konfigurci mellett fontos az ACL helyes interfszen s irnyban legyenA norml ACL csak a forrs IP-cmet szri,amit clszerbb a clhoz kzeli helyre rakniEgy forrs kzeli norml ACL olyan forgalmat blokkolhat,amit amgy t kne engednie.
Clkzeli ACL egy vagy tbb szegmensen csinl forgalomramlst,mieltt tiltva lennnek,amit pazarlst jelent.Egy kiterjesztett ACL megoldst ad a felsbb problmkraArra a csomagra,ami nem a blokkolt hlzat fel tart,nem lesz hatsa.A hlzati tvonalon tallhat f.i. nem fog tallkozni a tiltott csomaggal,ami hozzjrul a takarkoskodshoz.
-
Ksznm a figyelmet!
Related Documents
