URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 157
[ Назад ]

Исходное сообщение
"Непонятки с ACL и object-group"

Отправлено Babaich , 26-Сен-12 11:53 
Добрый день, коллеги

Имеется С2911(C2900 Software (C2900-UNIVERSALK9-M), Version 15.2(4)M1, RELEASE SOFTWARE (fc1))

При использовании object-group в ACL некоторые пакеты обрабатываются почему-то нижележащей строчкой с явным указанием IP.

2911#sh access-lists 120

240 permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172 (2304142 matches)
.
.
610 permit udp host 192.168.7.34 host 192.168.193.72 eq 4172 (14 matches)
620 deny ip any any log (257 matches)

2911#sh object-group THINK_CLIENT
Network object group THINK_CLIENT
host 192.168.7.34

2911#sh object-group SERVERS_THINK_CLIENT
Network object group SERVERS_THINK_CLIENT
host 192.168.193.65
host 192.168.193.72

Если нет строки 610, то пакеты дропаются.
Загрузка процесса в самом пике не более 50% (в среднем 10-15%)
Что бы это значило?


Содержание

Сообщения в этом обсуждении
"Непонятки с ACL и object-group"
Отправлено Aleks305 , 26-Сен-12 12:38 
>[оверквотинг удален]
> 2911#sh object-group THINK_CLIENT
> Network object group THINK_CLIENT
>  host 192.168.7.34
> 2911#sh object-group SERVERS_THINK_CLIENT
> Network object group SERVERS_THINK_CLIENT
>  host 192.168.193.65
>  host 192.168.193.72
> Если нет строки 610, то пакеты дропаются.
> Загрузка процесса в самом пике не более 50% (в среднем 10-15%)
> Что бы это значило?

show run | b access-lists 120?
Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на расшифровках
Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172
Это правило не надо явно прописывать в ACL, достаточно objectов


"Непонятки с ACL и object-group"
Отправлено Babaich , 26-Сен-12 13:17 

> show run | b access-lists 120?
> Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на
> расшифровках
> Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172
> Это правило не надо явно прописывать в ACL, достаточно objectов

Так я и показал ACL со счетчиками. Это не ASA. 2911 не раскрывает объектные группы как ASA, а показывает суммарный счетчик по группе.
И вот когда я не указывал явно правило permit udp host 192.168.7.34 host 192.168.193.72 eq 4172, то эти пакеты дропались, хотя должны были запермититься строкой permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172
Причем обрабатываются тысячи пакетов нормально, а потом один пакет проскакивает мимо этой строки, дропается и приложение зависает(из-за потери одного UDP?).