The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Блокировка разрешенных пакетов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Блокировка разрешенных пакетов"  +/
Сообщение от Fuzzyone on 01-Окт-13, 22:51 
Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе, с которого все это уходит висит access-list. Все работает замечательно, за исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить через этот access-list. Т.е. грубо говоря в 99 случаях все ок, а на сотый пакет денаится со ссылкой на разрешающий его лист. Бред какой-то... уже и прошились на 15.3 - не помогло. Может кто сталкивался???
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Блокировка разрешенных пакетов"  +/
Сообщение от Merridius (ok) on 02-Окт-13, 09:40 
> Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе,
> с которого все это уходит висит access-list. Все работает замечательно, за
> исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить
> через этот access-list. Т.е. грубо говоря в 99 случаях все ок,
> а на сотый пакет денаится со ссылкой на разрешающий его лист.
> Бред какой-то... уже и прошились на 15.3 - не помогло. Может
> кто сталкивался???

А может дело и не в акле вовсе?
Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
Ну и на акл log для начала неплохо было бы повесить.
Eще debug ip packet можно глянуть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Блокировка разрешенных пакетов"  +/
Сообщение от Fuzzyone on 02-Окт-13, 11:13 
> А может дело и не в акле вовсе?
> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
> Ну и на акл log для начала неплохо было бы повесить.
> Eще debug ip packet можно глянуть.

в том и дело, что в конце прописан денай с логом, т.е. пакет проходит через лист и срабатывает на последней записи.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Блокировка разрешенных пакетов"  +/
Сообщение от Fuzzyone on 02-Окт-13, 14:01 
>> А может дело и не в акле вовсе?
>> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
>> Ну и на акл log для начала неплохо было бы повесить.
>> Eще debug ip packet можно глянуть.
> в том и дело, что в конце прописан денай с логом, т.е.
> пакет проходит через лист и срабатывает на последней записи.

debug ip packet включить не смогу ибо взвесит все нафих - загрузка большая

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Блокировка разрешенных пакетов"  +/
Сообщение от Merridius (ok) on 02-Окт-13, 17:34 
>>> А может дело и не в акле вовсе?
>>> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
>>> Ну и на акл log для начала неплохо было бы повесить.
>>> Eще debug ip packet можно глянуть.
>> в том и дело, что в конце прописан денай с логом, т.е.
>> пакет проходит через лист и срабатывает на последней записи.
> debug ip packet включить не смогу ибо взвесит все нафих - загрузка
> большая

Там по аклу можно отматчить интересуещее.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Блокировка разрешенных пакетов"  +/
Сообщение от QRSa (ok) on 02-Окт-13, 14:07 
> в том и дело, что в конце прописан денай с логом, т.е.
> пакет проходит через лист и срабатывает на последней записи.

А можно это увидеть?
Проблем с фрагментацией датаграмм у Вас не наблюдается?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Блокировка разрешенных пакетов"  +/
Сообщение от McS555 email(ok) on 02-Окт-13, 12:54 

> Ну и на акл log для начала неплохо было бы повесить.
> Eще debug ip packet можно глянуть.

еще и sho run | sec access-list XXX

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру