https://www.solaris.opennet.ru/openforum/vsluhforumID6/988.html Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе, с которого все это уходит висит access-list. Все работает замечательно, за исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить через этот access-list. Т.е. грубо говоря в 99 случаях все ок, а на сотый пакет денаится со ссылкой на разрешающий его лист. Бред какой-то... уже и прошились на 15.3 - не помогло. Может кто сталкивался???<br> https://www.solaris.opennet.ru/openforum/vsluhforumID6/988.html#6 Wed, 02 Oct 2013 13:34:34 GMT &gt;&gt;&gt; А может дело и не в акле вовсе?<br>&gt;&gt;&gt; Попробуйте посмотреть не происходит ли чего еще в момент блокировки.<br>&gt;&gt;&gt; Ну и на акл log для начала неплохо было бы повесить.<br>&gt;&gt;&gt; Eще debug ip packet можно глянуть.<br>&gt;&gt; в том и дело, что в конце прописан денай с логом, т.е.<br>&gt;&gt; пакет проходит через лист и срабатывает на последней записи.<br>&gt; debug ip packet включить не смогу ибо взвесит все нафих - загрузка <br>&gt; большая <br><br>Там по аклу можно отматчить интересуещее.<br><br> https://www.solaris.opennet.ru/openforum/vsluhforumID6/988.html#5 Wed, 02 Oct 2013 10:07:39 GMT &gt; в том и дело, что в конце прописан денай с логом, т.е. <br>&gt; пакет проходит через лист и срабатывает на последней записи.<br><br>А можно это увидеть?<br>Проблем с фрагментацией датаграмм у Вас не наблюдается?<br> https://www.solaris.opennet.ru/openforum/vsluhforumID6/988.html#4 Wed, 02 Oct 2013 10:01:09 GMT &gt;&gt; А может дело и не в акле вовсе?<br>&gt;&gt; Попробуйте посмотреть не происходит ли чего еще в момент блокировки.<br>&gt;&gt; Ну и на акл log для начала неплохо было бы повесить.<br>&gt;&gt; Eще debug ip packet можно глянуть.<br>&gt; в том и дело, что в конце прописан денай с логом, т.е. <br>&gt; пакет проходит через лист и срабатывает на последней записи.<br><br>debug ip packet включить не смогу ибо взвесит все нафих - загрузка большая<br> https://www.solaris.opennet.ru/openforum/vsluhforumID6/988.html#3 Wed, 02 Oct 2013 08:54:08 GMT <br>&gt; Ну и на акл log для начала неплохо было бы повесить.<br>&gt; Eще debug ip packet можно глянуть.<br><br>еще и sho run &#124; sec access-list XXX<br> https://www.solaris.opennet.ru/openforum/vsluhforumID6/988.html#2 Wed, 02 Oct 2013 07:13:41 GMT &gt; А может дело и не в акле вовсе?<br>&gt; Попробуйте посмотреть не происходит ли чего еще в момент блокировки.<br>&gt; Ну и на акл log для начала неплохо было бы повесить.<br>&gt; Eще debug ip packet можно глянуть.<br><br>в том и дело, что в конце прописан денай с логом, т.е. пакет проходит через лист и срабатывает на последней записи.<br> https://www.solaris.opennet.ru/openforum/vsluhforumID6/988.html#1 Wed, 02 Oct 2013 05:40:01 GMT &gt; Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе, <br>&gt; с которого все это уходит висит access-list. Все работает замечательно, за <br>&gt; исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить <br>&gt; через этот access-list. Т.е. грубо говоря в 99 случаях все ок, <br>&gt; а на сотый пакет денаится со ссылкой на разрешающий его лист. <br>&gt; Бред какой-то... уже и прошились на 15.3 - не помогло. Может <br>&gt; кто сталкивался???<br><br>А может дело и не в акле вовсе?<br>Попробуйте посмотреть не происходит ли чего еще в момент блокировки.<br>Ну и на акл log для начала неплохо было бы повесить.<br>Eще debug ip packet можно глянуть.<br>