The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Непонятки с ACL и object-group, !*! Babaich, 26-Сен-12, 11:53  [смотреть все]
Добрый день, коллеги

Имеется С2911(C2900 Software (C2900-UNIVERSALK9-M), Version 15.2(4)M1, RELEASE SOFTWARE (fc1))

При использовании object-group в ACL некоторые пакеты обрабатываются почему-то нижележащей строчкой с явным указанием IP.

2911#sh access-lists 120

240 permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172 (2304142 matches)
.
.
610 permit udp host 192.168.7.34 host 192.168.193.72 eq 4172 (14 matches)
620 deny ip any any log (257 matches)

2911#sh object-group THINK_CLIENT
Network object group THINK_CLIENT
host 192.168.7.34

2911#sh object-group SERVERS_THINK_CLIENT
Network object group SERVERS_THINK_CLIENT
host 192.168.193.65
host 192.168.193.72

Если нет строки 610, то пакеты дропаются.
Загрузка процесса в самом пике не более 50% (в среднем 10-15%)
Что бы это значило?

Ответить | Сообщить модератору
  • Непонятки с ACL и object-group, !*! Aleks305, 12:38 , 26-Сен-12 (1)
    >[оверквотинг удален]
    > 2911#sh object-group THINK_CLIENT
    > Network object group THINK_CLIENT
    >  host 192.168.7.34
    > 2911#sh object-group SERVERS_THINK_CLIENT
    > Network object group SERVERS_THINK_CLIENT
    >  host 192.168.193.65
    >  host 192.168.193.72
    > Если нет строки 610, то пакеты дропаются.
    > Загрузка процесса в самом пике не более 50% (в среднем 10-15%)
    > Что бы это значило?

    show run | b access-lists 120?
    Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на расшифровках
    Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172
    Это правило не надо явно прописывать в ACL, достаточно objectов

    Ответить | Сообщить модератору
    • Непонятки с ACL и object-group, !*! Babaich, 13:17 , 26-Сен-12 (2)

      > show run | b access-lists 120?
      > Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на
      > расшифровках
      > Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172
      > Это правило не надо явно прописывать в ACL, достаточно objectов

      Так я и показал ACL со счетчиками. Это не ASA. 2911 не раскрывает объектные группы как ASA, а показывает суммарный счетчик по группе.
      И вот когда я не указывал явно правило permit udp host 192.168.7.34 host 192.168.193.72 eq 4172, то эти пакеты дропались, хотя должны были запермититься строкой permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172
      Причем обрабатываются тысячи пакетов нормально, а потом один пакет проскакивает мимо этой строки, дропается и приложение зависает(из-за потери одного UDP?).

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру