forum.opennet.ru - "Непонятки с ACL и object-group" (2)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Непонятки с ACL и object-group"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Непонятки с ACL и object-group"	+/–
Сообщение от Babaich (ok) on 26-Сен-12, 11:53
Добрый день, коллеги Имеется С2911(C2900 Software (C2900-UNIVERSALK9-M), Version 15.2(4)M1, RELEASE SOFTWARE (fc1)) При использовании object-group в ACL некоторые пакеты обрабатываются почему-то нижележащей строчкой с явным указанием IP. 2911#sh access-lists 120 240 permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172 (2304142 matches) . . 610 permit udp host 192.168.7.34 host 192.168.193.72 eq 4172 (14 matches) 620 deny ip any any log (257 matches) 2911#sh object-group THINK_CLIENT Network object group THINK_CLIENT host 192.168.7.34 2911#sh object-group SERVERS_THINK_CLIENT Network object group SERVERS_THINK_CLIENT host 192.168.193.65 host 192.168.193.72 Если нет строки 610, то пакеты дропаются. Загрузка процесса в самом пике не более 50% (в среднем 10-15%) Что бы это значило?
Ответить \| Правка \| Cообщить модератору

Оглавление

Непонятки с ACL и object-group, Aleks305, 12:38 , 26-Сен-12, (1)

Непонятки с ACL и object-group, Babaich, 13:17 , 26-Сен-12, (2)

Сообщения по теме [Сортировка по времени | RSS]

1. "Непонятки с ACL и object-group" +/–

Сообщение от Aleks305 (ok) on 26-Сен-12, 12:38

>[оверквотинг удален]
> 2911#sh object-group THINK_CLIENT
> Network object group THINK_CLIENT
>  host 192.168.7.34
> 2911#sh object-group SERVERS_THINK_CLIENT
> Network object group SERVERS_THINK_CLIENT
>  host 192.168.193.65
>  host 192.168.193.72
> Если нет строки 610, то пакеты дропаются.
> Загрузка процесса в самом пике не более 50% (в среднем 10-15%)
> Что бы это значило?
show run | b access-lists 120?
Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на расшифровках
Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172
Это правило не надо явно прописывать в ACL, достаточно objectов

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Непонятки с ACL и object-group" +/–

Сообщение от Babaich (ok) on 26-Сен-12, 13:17

> show run | b access-lists 120?
> Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на
> расшифровках
> Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172
> Это правило не надо явно прописывать в ACL, достаточно objectов
Так я и показал ACL со счетчиками. Это не ASA. 2911 не раскрывает объектные группы как ASA, а показывает суммарный счетчик по группе.
И вот когда я не указывал явно правило permit udp host 192.168.7.34 host 192.168.193.72 eq 4172, то эти пакеты дропались, хотя должны были запермититься строкой permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172
Причем обрабатываются тысячи пакетов нормально, а потом один пакет проскакивает мимо этой строки, дропается и приложение зависает(из-за потери одного UDP?).

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Непонятки с ACL и object-group"	+/–
Сообщение от Aleks305 (ok) on 26-Сен-12, 12:38
>[оверквотинг удален] > 2911#sh object-group THINK_CLIENT > Network object group THINK_CLIENT > host 192.168.7.34 > 2911#sh object-group SERVERS_THINK_CLIENT > Network object group SERVERS_THINK_CLIENT > host 192.168.193.65 > host 192.168.193.72 > Если нет строки 610, то пакеты дропаются. > Загрузка процесса в самом пике не более 50% (в среднем 10-15%) > Что бы это значило? show run \| b access-lists 120? Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на расшифровках Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172 Это правило не надо явно прописывать в ACL, достаточно objectов
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Непонятки с ACL и object-group"	+/–
	Сообщение от Babaich (ok) on 26-Сен-12, 13:17
	> show run \| b access-lists 120? > Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на > расшифровках > Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172 > Это правило не надо явно прописывать в ACL, достаточно objectов Так я и показал ACL со счетчиками. Это не ASA. 2911 не раскрывает объектные группы как ASA, а показывает суммарный счетчик по группе. И вот когда я не указывал явно правило permit udp host 192.168.7.34 host 192.168.193.72 eq 4172, то эти пакеты дропались, хотя должны были запермититься строкой permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172 Причем обрабатываются тысячи пакетов нормально, а потом один пакет проскакивает мимо этой строки, дропается и приложение зависает(из-за потери одного UDP?).
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору