Главная страница


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Yuri Selivanov                       2:5020/400     20 Oct 2007  14:42:59
 To : Valery Lutoshkin
 Subject : Re: Заблокировать доступ к line vty по дестинейшну
 -------------------------------------------------------------------------------- 
 
 Valery Lutoshkin <Valery.Lutoshkin@f77.n5005.z2.fidonet.org> wrote:
 
 [snip]
 
 >  ip access-list extended MgmtIn
 >    deny   tcp any host 10.255.254.101 eq telnet
 >    deny   tcp any host 10.255.254.101 eq 22
 >    permit tcp any any eq telnet
 >    permit tcp any any eq 22
 
 [snip]
 
   Для проверки я использовал *отдельный* класс:
 !
 ip access-list extended UNDESIRABLE
  permit ip any host 2.2.2.2
 !
 class-map match-all UNDESIRABLE
   match access-group name UNDESIRABLE
 !
 policy-map COPP-IN
   class UNDESIRABLE
    police cir 32000 conform-action drop
   class class-default
 !
 control-plane
  service-policy input COPP-IN
 !
   ... в твоем случае, признаю, такая логика построения неудобна.
 Когда я попробовал трансформировать acl в следующий вид:
 
 !
 ip access-list extended UNDESIRED
  deny   tcp any host 3.3.3.3 eq telnet
  deny   icmp any host 3.3.3.3
  permit tcp any any eq telnet
  permit icmp any any
 !
 
   ... то действительно, получил сходную ситуацию -- потеря ospb/ibgp,
 но без потери доступа к vty. Однако, после каких-то манипуляций (к сожалению,
 не зафиксировал каких), конструкция начала работать прогнозируемо и попытки
 повторить этот эффект посредством переконфигуряния|удаления|добавления|ребута
 ни к чему не приводят :) Единственно, что могу сказать точно: в момент этого
 коллапса, добавление класса, описывающего ospf/bgp, исправляло ситуацию.
 
 > приводит фактически к смерти девайса - доступ на line vty прекращается
 > полностью, на любые возможные адреса. Мало того, перестают работать рутмапы,
 > которые вроде бы здесь вообще никаким боком, умирают bgp-пиры и прочая, и
 > прочая.
 
   Есть возможность проверить, что действительно попадает в qos acl tcam?
 
 >  Видимо, я что-то концептуально неправильно понимаю. Ткните носом, а?
 
   Когда в свое время сталкивался с copp и его тогдашними багами на 
 65k/76k то сложилось впечатление, что лучше явно описывать весь нужный
 трафик, не полагаясь на implicit-deny, например, по методикам:
 
   o
 http://www.cisco.com/en/US/products/ps6642/products_white_paper0900aecd804fa16a.
 shtml
 
   o http://aharp.ittns.northwestern.edu/papers/copp.html
 
 >                                      Bye, Valery
 > 
 
 -- 
 Best Regards,
 Yuri Selivanov [URI2-RIPE]
 --- ifmail v.2.15dev5.4
  * Origin: A poorly-installed InterNetNews site (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Заблокировать доступ к line vty по дестинейшну   Valery Lutoshkin   17 Oct 2007 18:08:32 
 Re: Заблокировать доступ к line vty по дестинейшну   Yuri Selivanov   18 Oct 2007 06:28:00 
 Заблокировать доступ к line vty по дестинейшну   Valery Lutoshkin   18 Oct 2007 16:24:22 
 Заблокировать доступ к line vty по дестинейшну   Valery Lutoshkin   19 Oct 2007 10:43:06 
 Re: Заблокировать доступ к line vty по дестинейшну   Yuri Selivanov   20 Oct 2007 14:42:59 
Архивное /ru.cisco/4007770ae5806.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional