|
ru.cisco- RU.CISCO --------------------------------------------------------------------- From : Yuri Selivanov 2:5020/400 20 Oct 2007 14:42:59 To : Valery Lutoshkin Subject : Re: Заблокировать доступ к line vty по дестинейшну -------------------------------------------------------------------------------- Valery Lutoshkin <Valery.Lutoshkin@f77.n5005.z2.fidonet.org> wrote: [snip] > ip access-list extended MgmtIn > deny tcp any host 10.255.254.101 eq telnet > deny tcp any host 10.255.254.101 eq 22 > permit tcp any any eq telnet > permit tcp any any eq 22 [snip] Для проверки я использовал *отдельный* класс: ! ip access-list extended UNDESIRABLE permit ip any host 2.2.2.2 ! class-map match-all UNDESIRABLE match access-group name UNDESIRABLE ! policy-map COPP-IN class UNDESIRABLE police cir 32000 conform-action drop class class-default ! control-plane service-policy input COPP-IN ! ... в твоем случае, признаю, такая логика построения неудобна. Когда я попробовал трансформировать acl в следующий вид: ! ip access-list extended UNDESIRED deny tcp any host 3.3.3.3 eq telnet deny icmp any host 3.3.3.3 permit tcp any any eq telnet permit icmp any any ! ... то действительно, получил сходную ситуацию -- потеря ospb/ibgp, но без потери доступа к vty. Однако, после каких-то манипуляций (к сожалению, не зафиксировал каких), конструкция начала работать прогнозируемо и попытки повторить этот эффект посредством переконфигуряния|удаления|добавления|ребута ни к чему не приводят :) Единственно, что могу сказать точно: в момент этого коллапса, добавление класса, описывающего ospf/bgp, исправляло ситуацию. > приводит фактически к смерти девайса - доступ на line vty прекращается > полностью, на любые возможные адреса. Мало того, перестают работать рутмапы, > которые вроде бы здесь вообще никаким боком, умирают bgp-пиры и прочая, и > прочая. Есть возможность проверить, что действительно попадает в qos acl tcam? > Видимо, я что-то концептуально неправильно понимаю. Ткните носом, а? Когда в свое время сталкивался с copp и его тогдашними багами на 65k/76k то сложилось впечатление, что лучше явно описывать весь нужный трафик, не полагаясь на implicit-deny, например, по методикам: o http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa16a. shtml o http://aharp.ittns.northwestern.edu/papers/copp.html > Bye, Valery > -- Best Regards, Yuri Selivanov [URI2-RIPE] --- ifmail v.2.15dev5.4 * Origin: A poorly-installed InterNetNews site (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.cisco/4007770ae5806.html, оценка из 5, голосов 10
|