Новые ответы

Cisco 6500 access-group mode prefer port и route-map,

iros, 19-Янв-10, 15:47 [смотреть все]

Cat 6506.
s72033-adventerprisek9_wan-mz.122-33.SXI3
Воспользовался механизмом "private hosts" для изоляции портов. Все работает как надо.
Но после применения директив:
access-group mode prefer port
private-hosts mode isolated

На транковом порту, перестал работать "ip policy route-map" описаный в вилане, который проходит в этот порт.
private-hosts vlan-list 200-207
private-hosts promiscuous PPPoE_Interfaces vlan-list 200-207
private-hosts mac-list PPPoE_Interfaces 0025.B3A6.9918 remark PPPoE6_Gi1-27
private-hosts
interface GigabitEthernet1/30
description PPPoE5
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 200-207
switchport mode trunk
access-group mode prefer port
private-hosts mode promiscuous
interface GigabitEthernet3/6
description rev40
switchport
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,14,200
switchport mode trunk
access-group mode prefer port
private-hosts mode isolated
interface Vlan10
description
ip address 10.1.123.1 255.255.255.0 secondary
ip address 10.1.4.17 255.255.255.240
no ip redirects
no ip unreachables
ip policy route-map NAT-access

После применения "private-hosts mode isolated" на "interface GigabitEthernet3/6"
перестает срабатывать "ip policy route-map NAT-access" на "interface Vlan10"
Подозреваю, что дело в режиме "access-group mode prefer port". Но толком незнаю как он влияет.
Фильтры, которые накладывает "private hosts" по сути не должны касаться влана 10. так как (private-hosts vlan-list 200-207)
Но факт на лицо. Роут-мап работать перестает. :-(
Можете прояснить ? И чем это вылечить ?

Ответить | Сообщить модератору

Cisco 6500 access-group mode prefer port и route-map, sh_, 18:43 , 19-Янв-10 (1)
А что скажет show fm private-hosts interface GigabitEthernet 3/6?
Ответить | Сообщить модератору

Cisco 6500 access-group mode prefer port и route-map, iros, 22:24 , 19-Янв-10 (2)
Честно говоря, для меня это "китайская грамота"...

FM_FEATURE_PVT_HOST_INGRESS      i/f: Gi3/6      mode: PVT_HOST_ISOLATED
===========================================================================
---------------------------------------------------------------
MAC Seq. No: 10          Seq. Result : PVT_HOSTS_ACTION_DENY
---------------------------------------------------------------
Indx - VMR index      T     - V(Value)M(Mask)R(Result)
EtTy - Ethernet Type  EtCo  - Ethernet Code
+----+-+--------------+--------------+----+----+
|Indx|T|   Dest Node  |  Source Node |EtTy|EtCo|
+----+-+--------------+--------------+----+----+
1    V 0000.0000.0000 0025.b3a6.9918    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
2    V 0000.0000.0000 0023.7da1.3120    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
3    V 0000.0000.0000 001f.2969.f980    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
4    V 0000.0000.0000 001f.2969.f95c    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
5    V 0000.0000.0000 001c.c45d.e2f2    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
6    V 0000.0000.0000 0018.71ec.f2cf    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
7    V 0000.0000.0000 0015.1751.a853    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
8    V 0000.0000.0000 0015.1751.a812    0 0
      M 0000.0000.0000 ffff.ffff.ffff    0 0
      TM_PERMIT_RESULT
9    V 0000.0000.0000 0000.0000.0000    0 0
      M 0000.0000.0000 0000.0000.0000    0 0
      TM_L3_DENY_RESULT

---------------------------------------------------------------
MAC Seq. No: 20          Seq. Result : PVT_HOSTS_ACTION_PERMIT
---------------------------------------------------------------
+----+-+--------------+--------------+----+----+
|Indx|T|   Dest Node  |  Source Node |EtTy|EtCo|
+----+-+--------------+--------------+----+----+
1    V 0025.b3a6.9918 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
2    V 0023.7da1.3120 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
3    V 001f.2969.f980 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
4    V 001f.2969.f95c 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
5    V 001c.c45d.e2f2 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
6    V 0018.71ec.f2cf 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
7    V 0015.1751.a853 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
8    V 0015.1751.a812 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
9    V 0000.0000.0000 0000.0000.0000    0 0
      M 0000.0000.0000 0000.0000.0000    0 0
      TM_L3_DENY_RESULT

---------------------------------------------------------------
MAC Seq. No: 30          Seq. Result : PVT_HOSTS_ACTION_REDIRECT
---------------------------------------------------------------
+----+-+--------------+--------------+----+----+
|Indx|T|   Dest Node  |  Source Node |EtTy|EtCo|
+----+-+--------------+--------------+----+----+
1    V ffff.ffff.ffff 0000.0000.0000    0 0
      M ffff.ffff.ffff 0000.0000.0000    0 0
      TM_PERMIT_RESULT
2    V 0000.0000.0000 0000.0000.0000    0 0
      M 0000.0000.0000 0000.0000.0000    0 0
      TM_L3_DENY_RESULT

---------------------------------------------------------------
MAC Seq. No: 40          Seq. Result : PVT_HOSTS_ACTION_PERMIT
---------------------------------------------------------------
+----+-+--------------+--------------+----+----+
|Indx|T|   Dest Node  |  Source Node |EtTy|EtCo|
+----+-+--------------+--------------+----+----+
1    V 0100.5e00.0000 0000.0000.0000    0 0
      M ffff.ff80.0000 0000.0000.0000    0 0
      TM_PERMIT_RESULT
2    V 3333.0000.0000 0000.0000.0000    0 0
      M ffff.0000.0000 0000.0000.0000    0 0
      TM_PERMIT_RESULT
3    V 0000.0000.0000 0000.0000.0000    0 0
      M 0000.0000.0000 0000.0000.0000    0 0
      TM_L3_DENY_RESULT

---------------------------------------------------------------
MAC Seq. No: 50          Seq. Result : PVT_HOSTS_ACTION_DENY
---------------------------------------------------------------
+----+-+--------------+--------------+----+----+
|Indx|T|   Dest Node  |  Source Node |EtTy|EtCo|
+----+-+--------------+--------------+----+----+
1    V 0000.0000.0000 0000.0000.0000    0 0
      M 0000.0000.0000 0000.0000.0000    0 0
      TM_PERMIT_RESULT
2    V 0000.0000.0000 0000.0000.0000    0 0
      M 0000.0000.0000 0000.0000.0000    0 0
      TM_L3_DENY_RESULT
Interfaces using this pvt host feature in ingress dir.:
-------------------------------------------------------
  Interfaces (I/E = Ingress/Egress)
     I  GigabitEthernet3/28
     I  GigabitEthernet3/13
     I  GigabitEthernet3/1
     I  GigabitEthernet3/2
     I  GigabitEthernet3/3
     I  GigabitEthernet3/4
     I  GigabitEthernet3/5
     I  GigabitEthernet3/7
     I  GigabitEthernet3/8
     I  GigabitEthernet3/9
     I  GigabitEthernet3/11
     I  GigabitEthernet3/12
     I  GigabitEthernet3/14
     I  GigabitEthernet3/15
     I  GigabitEthernet3/16
     I  GigabitEthernet3/17
     I  GigabitEthernet3/18
     I  GigabitEthernet3/19
     I  GigabitEthernet3/20
     I  GigabitEthernet3/6
     I  GigabitEthernet3/21
     I  GigabitEthernet3/22
     I  GigabitEthernet3/24
     I  GigabitEthernet3/27
     I  GigabitEthernet3/29
     I  GigabitEthernet3/30
     I  GigabitEthernet3/32
     I  GigabitEthernet3/33
     I  GigabitEthernet3/34
     I  GigabitEthernet3/35
     I  GigabitEthernet3/36
     I  GigabitEthernet3/42
     I  GigabitEthernet3/43
     I  Port-channel2
Ответить | Сообщить модератору

Cisco 6500 access-group mode prefer port и route-map, Балаганов, 08:14 , 17-Апр-15 (3)
>[оверквотинг удален]
> no ip unreachables
> ip policy route-map NAT-access
> После применения "private-hosts mode isolated" на "interface GigabitEthernet3/6"
> перестает срабатывать "ip policy route-map NAT-access" на "interface Vlan10"
> Подозреваю, что дело в режиме "access-group mode prefer port". Но толком незнаю
> как он влияет.
> Фильтры, которые накладывает "private hosts" по сути не должны касаться влана 10.
> так как (private-hosts vlan-list 200-207)
> Но факт на лицо. Роут-мап работать перестает. :-(
> Можете прояснить ? И чем это вылечить ?
Сталкивался с похожей проблемой. При навешивании на порт PACL на С6500 он требует перевести порт в режим "access-group mode prefer port". Что приводит к особенной обработке всех последующих в системе ACL. Перестают работать такие вещи как "route-map", "dhcp snooping opt.82", любые ACL для входящих пакетов после обработки на PACL и до попадания на RP.
Данное ограничение видимо связанно с железной реализацией на 65-й, потому как на софтовых железках таких ограничений нет, например на C3750G.
Ответить | Сообщить модератору