URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 988
[ Назад ]

Исходное сообщение
"Блокировка разрешенных пакетов"
Отправлено Fuzzyone , 01-Окт-13 22:51

Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе, с которого все это уходит висит access-list. Все работает замечательно, за исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить через этот access-list. Т.е. грубо говоря в 99 случаях все ок, а на сотый пакет денаится со ссылкой на разрешающий его лист. Бред какой-то... уже и прошились на 15.3 - не помогло. Может кто сталкивался???

Содержание

Блокировка разрешенных пакетов,Merridius, 09:40 , 02-Окт-13
- Блокировка разрешенных пакетов,Fuzzyone, 11:13 , 02-Окт-13
  - Блокировка разрешенных пакетов,Fuzzyone, 14:01 , 02-Окт-13
    - Блокировка разрешенных пакетов,Merridius, 17:34 , 02-Окт-13
  - Блокировка разрешенных пакетов,QRSa, 14:07 , 02-Окт-13
- Блокировка разрешенных пакетов,McS555, 12:54 , 02-Окт-13

Сообщения в этом обсуждении

"Блокировка разрешенных пакетов"
Отправлено Merridius , 02-Окт-13 09:40

> Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе,
> с которого все это уходит висит access-list. Все работает замечательно, за
> исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить
> через этот access-list. Т.е. грубо говоря в 99 случаях все ок,
> а на сотый пакет денаится со ссылкой на разрешающий его лист.
> Бред какой-то... уже и прошились на 15.3 - не помогло. Может
> кто сталкивался???
А может дело и не в акле вовсе?
Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
Ну и на акл log для начала неплохо было бы повесить.
Eще debug ip packet можно глянуть.

"Блокировка разрешенных пакетов"
Отправлено Fuzzyone , 02-Окт-13 11:13

> А может дело и не в акле вовсе?
> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
> Ну и на акл log для начала неплохо было бы повесить.
> Eще debug ip packet можно глянуть.
в том и дело, что в конце прописан денай с логом, т.е. пакет проходит через лист и срабатывает на последней записи.

"Блокировка разрешенных пакетов"
Отправлено Fuzzyone , 02-Окт-13 14:01

>> А может дело и не в акле вовсе?
>> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
>> Ну и на акл log для начала неплохо было бы повесить.
>> Eще debug ip packet можно глянуть.
> в том и дело, что в конце прописан денай с логом, т.е.
> пакет проходит через лист и срабатывает на последней записи.
debug ip packet включить не смогу ибо взвесит все нафих - загрузка большая

"Блокировка разрешенных пакетов"
Отправлено Merridius , 02-Окт-13 17:34

>>> А может дело и не в акле вовсе?
>>> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
>>> Ну и на акл log для начала неплохо было бы повесить.
>>> Eще debug ip packet можно глянуть.
>> в том и дело, что в конце прописан денай с логом, т.е.
>> пакет проходит через лист и срабатывает на последней записи.
> debug ip packet включить не смогу ибо взвесит все нафих - загрузка
> большая
Там по аклу можно отматчить интересуещее.

"Блокировка разрешенных пакетов"
Отправлено QRSa , 02-Окт-13 14:07

> в том и дело, что в конце прописан денай с логом, т.е.
> пакет проходит через лист и срабатывает на последней записи.
А можно это увидеть?
Проблем с фрагментацией датаграмм у Вас не наблюдается?

"Блокировка разрешенных пакетов"
Отправлено McS555 , 02-Окт-13 12:54

> Ну и на акл log для начала неплохо было бы повесить.
> Eще debug ip packet можно глянуть.
еще и sho run | sec access-list XXX