Есть два провайдера ISP1 и ISP2, есть DMZ (192.168.1.0/24)
Провайдер ISP1 дает интернет по BGP, провайдер ISP2 тоже дает по BGP, но это не настроено и резервным каналом пока не пользуемся. Вопрос в том, что с недавнего времени, провайдер ISP1 поменял с neighbor 10.10.11.133 на neighbor 10.10.11.136.
После этого у меня не получается повесить ip access-list extended firewall на interface FastEthernet0/1 (acl in). Он вешается, но проходит в среднем минут 6-8 и пропадают пинги на внешние ресурсы, интернет полностью отваливается. Счем это может быть связано??? Проблема не в DNS (пингую по ip). Может быть что-то нужно добавить в acl firewall??? Заранее благодарен!
interface Loopback0
ip address 192.168.2.254 255.255.255.255
bgp-policy source ip-qos-map
ip route-cache policy
ip route-cache flow
!
interface FastEthernet0/0
description DMZ pool
ip address 192.168.1.1 255.255.255.0
ip access-group ipfilter in
ip route-cache flow
duplex auto
speed auto
!
interface FastEthernet0/1
description external ISP1
ip address 10.10.10.194 255.255.255.240
ip route-cache flow
duplex full
speed 100
!
interface FastEthernet1/0
description external ISP2
ip address 20.20.20.250 255.255.255.248
duplex full
!
router bgp 41891
no synchronization
bgp log-neighbor-changes
network 192.168.1.0
neighbor 20.20.20.249 remote-as 5523 //ISP2 neighbor (не работает)
neighbor 20.20.20.249 update-source FastEthernet1/0 //ISP2 neighbor (не работает)
neighbor 10.10.11.136 remote-as 8470 //ISP1 neighbor
neighbor 10.10.11.136 ebgp-multihop 4 //ISP1 neighbor
neighbor 10.10.11.136 update-source FastEthernet0/1 //ISP1 neighbor
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 10.10.10.193 5
ip route 0.0.0.0 0.0.0.0 20.20.20.249 10
ip route 20.20.21.3 255.255.255.255 20.20.20.249
ip route 20.20.21.1 255.255.255.255 20.20.20.249
ip route 10.10.12.43 255.255.255.255 10.10.10.193 //dns ISP1
ip route 10.10.12.44 255.255.255.255 10.10.10.193 //dns ISP1
ip route 10.10.12.14 255.255.255.255 10.10.10.193 //dns ISP1
!
ip access-list extended firewall
remark -------------------------- Network service -------------------------
deny udp any any eq snmp
deny icmp any any redirect
permit icmp any any
permit tcp any any gt 1023 established
permit tcp any 192.168.1.0 0.0.0.255 established
remark -----
permit tcp any host 192.168.1.1 eq 443
permit tcp any host 192.168.1.1 eq 22
remark -----
permit tcp any host 192.168.1.2
permit gre any host 192.168.1.2
permit tcp any host 192.168.1.3
permit gre any host 192.168.1.3
permit tcp any host 192.168.1.4 eq www
remark -----
permit tcp any host 192.168.1.5 eq smtp
permit tcp any host 192.168.1.5 eq pop3
permit tcp any host 192.168.1.5 eq www
remark -----
permit tcp any host 192.168.1.10 eq 7777
permit tcp any host 192.168.1.10 eq 3389
remark -----
permit tcp any host 192.168.1.11 eq www
permit tcp any host 192.168.1.11 eq 7777
permit tcp any host 192.168.1.11 eq 3389
remark -----
permit tcp any host 192.168.1.6 eq www
remark -----
permit tcp any host 192.168.1.7 eq www
permit tcp any host 192.168.1.7 eq smtp
permit tcp any host 192.168.1.7 eq ftp
permit tcp any host 192.168.1.7 eq ftp-data
permit tcp any host 192.168.1.7 gt 1023
remark -----
permit tcp any host 192.168.1.8 eq www
permit tcp any host 192.168.1.8 eq smtp
remark -----
remark -----
permit udp any host 192.168.1.9 eq domain
permit tcp any host 192.168.1.9 eq domain
permit tcp any host 192.168.1.9 eq ftp
permit tcp any host 192.168.1.9 eq ftp-data
permit tcp any host 192.168.1.9 eq www
permit tcp any host 192.168.1.9 gt 1023
remark -----
permit tcp any host 192.168.1.20 eq 7777
permit tcp any host 192.168.1.20 eq 22
remark -----
permit ip host 10.10.12.43 any
permit ip host 10.10.12.44 any
permit ip host 10.10.12.14 any
permit ip host 10.10.10.195 any
deny ip any any
!
route-map OUTPUT-FILTER permit 10
match interface FastEthernet0/1
set interface FastEthernet0/1
set default interface FastEthernet0/1
!
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
on 25-Ноя-08, 11:21 
