форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение		[ Отслеживать ]

"Блокировка разрешенных пакетов"	+/–
Сообщение от Fuzzyone on 01-Окт-13, 22:51
Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе, с которого все это уходит висит access-list. Все работает замечательно, за исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить через этот access-list. Т.е. грубо говоря в 99 случаях все ок, а на сотый пакет денаится со ссылкой на разрешающий его лист. Бред какой-то... уже и прошились на 15.3 - не помогло. Может кто сталкивался???
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Блокировка разрешенных пакетов"	+/–
Сообщение от Merridius (ok) on 02-Окт-13, 09:40
> Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе, > с которого все это уходит висит access-list. Все работает замечательно, за > исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить > через этот access-list. Т.е. грубо говоря в 99 случаях все ок, > а на сотый пакет денаится со ссылкой на разрешающий его лист. > Бред какой-то... уже и прошились на 15.3 - не помогло. Может > кто сталкивался??? А может дело и не в акле вовсе? Попробуйте посмотреть не происходит ли чего еще в момент блокировки. Ну и на акл log для начала неплохо было бы повесить. Eще debug ip packet можно глянуть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Блокировка разрешенных пакетов"	+/–
	Сообщение от Fuzzyone on 02-Окт-13, 11:13
	> А может дело и не в акле вовсе? > Попробуйте посмотреть не происходит ли чего еще в момент блокировки. > Ну и на акл log для начала неплохо было бы повесить. > Eще debug ip packet можно глянуть. в том и дело, что в конце прописан денай с логом, т.е. пакет проходит через лист и срабатывает на последней записи.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "Блокировка разрешенных пакетов"	+/–
	Сообщение от Fuzzyone on 02-Окт-13, 14:01
	>> А может дело и не в акле вовсе? >> Попробуйте посмотреть не происходит ли чего еще в момент блокировки. >> Ну и на акл log для начала неплохо было бы повесить. >> Eще debug ip packet можно глянуть. > в том и дело, что в конце прописан денай с логом, т.е. > пакет проходит через лист и срабатывает на последней записи. debug ip packet включить не смогу ибо взвесит все нафих - загрузка большая
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Блокировка разрешенных пакетов"	+/–
	Сообщение от Merridius (ok) on 02-Окт-13, 17:34
	>>> А может дело и не в акле вовсе? >>> Попробуйте посмотреть не происходит ли чего еще в момент блокировки. >>> Ну и на акл log для начала неплохо было бы повесить. >>> Eще debug ip packet можно глянуть. >> в том и дело, что в конце прописан денай с логом, т.е. >> пакет проходит через лист и срабатывает на последней записи. > debug ip packet включить не смогу ибо взвесит все нафих - загрузка > большая Там по аклу можно отматчить интересуещее.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	5. "Блокировка разрешенных пакетов"	+/–
	Сообщение от QRSa (ok) on 02-Окт-13, 14:07
	> в том и дело, что в конце прописан денай с логом, т.е. > пакет проходит через лист и срабатывает на последней записи. А можно это увидеть? Проблем с фрагментацией датаграмм у Вас не наблюдается?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	3. "Блокировка разрешенных пакетов"	+/–
	Сообщение от McS555 (ok) on 02-Окт-13, 12:54
	> Ну и на акл log для начала неплохо было бы повесить. > Eще debug ip packet можно глянуть. еще и sho run | sec access-list XXX
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема