OpenForum RSS: Непонятки с ACL и object-group https://slinkov.ru/openforum/vsluhforumID6/157.html Добрый день, коллеги<br><br>Имеется С2911(C2900 Software (C2900-UNIVERSALK9-M), Version 15.2(4)M1, RELEASE SOFTWARE (fc1))<br><br>При использовании object-group в ACL некоторые пакеты обрабатываются почему-то нижележащей строчкой с явным указанием IP.<br><br>2911#sh access-lists 120<br><br>240 permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172 (2304142 matches)<br>.<br>.<br>610 permit udp host 192.168.7.34 host 192.168.193.72 eq 4172 (14 matches)<br>620 deny ip any any log (257 matches)<br><br>2911#sh object-group THINK_CLIENT<br>Network object group THINK_CLIENT<br> host 192.168.7.34<br><br>2911#sh object-group SERVERS_THINK_CLIENT<br>Network object group SERVERS_THINK_CLIENT<br> host 192.168.193.65<br> host 192.168.193.72<br><br>Если нет строки 610, то пакеты дропаются.<br>Загрузка процесса в самом пике не более 50% (в среднем 10-15%)<br>Что бы это значило?<br> Непонятки с ACL и object-group (Babaich) https://slinkov.ru/openforum/vsluhforumID6/157.html#2 Wed, 26 Sep 2012 09:17:31 GMT <br>&gt; show run &#124; b access-lists 120?<br>&gt; Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на <br>&gt; расшифровках <br>&gt; Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172 <br>&gt; Это правило не надо явно прописывать в ACL, достаточно objectов <br><br>Так я и показал ACL со счетчиками. Это не ASA. 2911 не раскрывает объектные группы как ASA, а показывает суммарный счетчик по группе. <br>И вот когда я не указывал явно правило permit udp host 192.168.7.34 host 192.168.193.72 eq 4172, то эти пакеты дропались, хотя должны были запермититься строкой permit udp object-group THINK_CLIENT object-group SERVERS_THINK_CLIENT eq 4172<br>Причем обрабатываются тысячи пакетов нормально, а потом один пакет проскакивает мимо этой строки, дропается и приложение зависает(из-за потери одного UDP?). <br> Непонятки с ACL и object-group (Aleks305) https://slinkov.ru/openforum/vsluhforumID6/157.html#1 Wed, 26 Sep 2012 08:38:08 GMT &gt;[оверквотинг удален]<br>&gt; 2911#sh object-group THINK_CLIENT <br>&gt; Network object group THINK_CLIENT <br>&gt; host 192.168.7.34 <br>&gt; 2911#sh object-group SERVERS_THINK_CLIENT <br>&gt; Network object group SERVERS_THINK_CLIENT <br>&gt; host 192.168.193.65 <br>&gt; host 192.168.193.72 <br>&gt; Если нет строки 610, то пакеты дропаются.<br>&gt; Загрузка процесса в самом пике не более 50% (в среднем 10-15%) <br>&gt; Что бы это значило?<br><br>show run &#124; b access-lists 120?<br>Вообще снизу это расшифровка ваших objectov. В ASA счетчики срабатывают именно на расшифровках<br>Я имею ввиду permit udp host 192.168.7.34 host 192.168.193.72 eq 4172<br>Это правило не надо явно прописывать в ACL, достаточно objectов<br>