URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 2330
[ Назад ]

Исходное сообщение
"ACL на Vlan интерфейса"
Отправлено Danil2018 , 09-Июл-18 10:29

Здравствуйте.
Как такое может быть?
Catalyst 4510. На vlan интерфейсе применена ip access-group VALN-910-OUT out
interface Vlan910
description TEST
ip dhcp relay information trusted
ip address 172.23.240.254 255.255.255.0
ip access-group VALN-910-OUT out
Вот сам ACL:
sh access-lists VALN-910-OUT
Extended IP access list VALN-910-OUT
10 permit ip any 172.23.240.0 0.0.0.255 (529 matches)
20 permit ip 172.23.240.0 0.0.0.255 any (6 matches)
Каким образом в ACL отрабатывают оба правила в разных направлениях? Ведь должен рассматриваться
только трафик по первому правилу - из интерфейса в vlan.

Содержание

ACL на Vlan интерфейса,ВОЛКА, 14:49 , 09-Июл-18
- ACL на Vlan интерфейса,Danil2018, 16:06 , 10-Июл-18

Сообщения в этом обсуждении

"ACL на Vlan интерфейса"
Отправлено ВОЛКА , 09-Июл-18 14:49

>[оверквотинг удален]
>  ip address 172.23.240.254 255.255.255.0
>  ip access-group VALN-910-OUT out
> Вот сам ACL:
> sh access-lists VALN-910-OUT
> Extended IP access list VALN-910-OUT
>     10 permit ip any 172.23.240.0 0.0.0.255 (529 matches)
>     20 permit ip 172.23.240.0 0.0.0.255 any (6 matches)
> Каким образом в ACL отрабатывают оба правила в разных направлениях? Ведь должен
> рассматриваться
> только трафик по первому правилу - из интерфейса в vlan.
из сети 172.23.240.0/25

ping 172.23.240.254
sh access-lists VALN-910-OUT
ping 172.23.240.254
sh access-lists VALN-910-OUT

"ACL на Vlan интерфейса"
Отправлено Danil2018 , 10-Июл-18 16:06

>[оверквотинг удален]
>>     10 permit ip any 172.23.240.0 0.0.0.255 (529 matches)
>>     20 permit ip 172.23.240.0 0.0.0.255 any (6 matches)
>> Каким образом в ACL отрабатывают оба правила в разных направлениях? Ведь должен
>> рассматриваться
>> только трафик по первому правилу - из интерфейса в vlan.
> из сети 172.23.240.0/25
> ping 172.23.240.254
> sh access-lists VALN-910-OUT
> ping 172.23.240.254
> sh access-lists VALN-910-OUT
Разобрался.
Все дело в роутинге.
Новый макет:
Vlan интерфейс, который является шлюзам по умолчанию для своего vlan:
Core#sh run int vl999
Building configuration...
Current configuration : 138 bytes
!
interface Vlan999
ip address 192.168.1.1 255.255.255.0
ip access-group ACL out
no ip redirects
ip flow egress
end
Core#sh access-lists
Extended IP access list ACL
    10 permit ip any 192.168.1.0 0.0.0.255
    20 permit ip 192.168.1.0 0.0.0.255 10.0.0.240 0.0.0.15
В данном vlan есть еще один маршрутизатор 192.168.1.199 за которым находится сеть 10.0.0.240/28
На Core туда прописан маршрут:
ip route 10.0.0.240 255.255.255.240 192.168.1.199
Клиент из Vlan999 192.168.1.91 пингует удаленный сервер 10.0.0.251:
Client#sh run int FastEthernet2/1
Building configuration...
Current configuration : 87 bytes
!
interface FastEthernet2/1
no switchport
ip address 192.168.1.91 255.255.255.0
end
Client#ping 10.0.0.251
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.251, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 100/124/160 ms
Счетчики на Core:
Core#sh access-lists
Extended IP access list ACL
    10 permit ip any 192.168.1.0 0.0.0.255
    20 permit ip 192.168.1.0 0.0.0.255 10.0.0.240 0.0.0.15 (5 matches)
Core#
Т.е. трафик идет так:
Client#traceroute 10.0.0.251
Type escape sequence to abort.
Tracing the route to 10.0.0.251
  1 192.168.1.1 68 msec 92 msec 116 msec
  2 192.168.1.199 72 msec 100 msec 100 msec
  3 10.0.0.251 132 msec 128 msec 148 msec
Client#
Netflow на интерфейсе Vlan999 Core:
SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts
Vl999         192.168.1.91    Vl999*        10.0.0.251      01 0000 0800     5
А первое правило в acl не работает, потому что обратный трафик идет вот так:
10.0.0.251 -> 192.168.1.199 -> 192.168.1.91 и на vlan интерфейс Core не попадает.