На маршрутизаторах могут быть настроены ACL, не позволяющие протоколам передавать информацию через интерфейс во входящем или исходящем направлении.
Для отображения содержимого всех списков контроля доступа для IPv4 используйте команду show IP access-lists, а содержимого всех ACL для IPv6, настроенных на маршрутизаторе, — команду show ipv6 access-list. Для отображения содержимого конкретного ACL введите название или номер списка в качестве параметра для данной команды. Команды show ip interfaces и show ipv6 interfaces позволяют отобразить информацию об интерфейсах IPv4 и IPv6, указывающую, настроены ли какие-либо IP ACL на интерфейсе.
Пример поиска и устранения неполадки
Для предотвращения атак спуфинга администратор сети решил создать ACL, благодаря которому трафик от устройств с сетевым адресом источника 172.16.1.0/24 не может входить на интерфейс S0/0/1 на маршрутизаторе R3, как показано на рис. 1. Весь остальной трафик IP должен быть разрешен.
Однако вскоре после создания ACL пользователи в сети 10.1.10.0/24 обнаруживают, что не могут подключиться к устройствам в сети 172.16.1.0/24, включая сервер SRV1. Команда show ip access-lists позволяет определить, что ACL настроен правильно, как показано на рис. 2. Однако команда show ip interfaces serial 0/0/1 позволяет увидеть, что данный список никогда не применялся к входящему интерфейсу на s0/0/1. Дальнейший анализ показывает, что ACL-список был случайно применен к интерфейсу G0/0 и блокирует весь исходящий трафик из сети 172.16.1.0/24.
После соответствующего переключения IPv4 ACL-списка на вход на интерфейс s0/0/1, как показано на рис. 3, устройства теперь могут успешно подключаться к серверу.