|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Alexandre Snarskii 2:5020/400 24 Mar 2003 11:26:12
To : Abylai Ospan
Subject : Re: это нормальная реакция Cisco на access-list ?
--------------------------------------------------------------------------------
Abylai Ospan <aospan@netup.ru> wrote:
>
> всё предельно ясно :)
> спасибо :)
> Кстати, если делать no ip cache flow/ip cache flow то есть вероятность что
> часть статистики потеряется ?
Есть. Те пакеты, которые пробегут между этими командами вполне
могут проскочить мимо flow cache.
> Как-нибудь по другому нельзя это сделать ? :)
Можно. Hапример cle mls nde flow all на 65xx. Просто у меня
под рукой нет 26xx, поэтому мне сложно сказать, как это сделать там :)
>
> "Alexandre Snarskii" <snar@paranoia.ru> wrote in message
> news:b5kh08$19o0$2@gavrilo.mtu.ru...
>> Abylai Ospan <aospan@netup.ru> wrote:
>> >
>> > Добрый день!
>> >
>> > Очень большие задержки после применения команды acess-list deny
>> >
>> > есть Cisco 2621
>> > IOS (tm) C2600 Software (C2600-IS-M), Version 12.2(13a), RELEASE
> SOFTWARE
>> > (fc2)
>> >
>> > вот конфигурация порта:
>> > !
>> > interface FastEthernet0/1
>> > ip address 10.11.0.1 255.255.255.0
>> > ip broadcast-address 10.11.0.255
>> > ip access-group 10 in
>> > ip access-group 10 out
>> > ip route-cache flow
>> > duplex auto
>> > speed auto
>> > !
>> >
>> > делаю
>> > conf t
>> > затем
>> > access-list 10 deny 10.11.0.2
>> >
>> > До этого с другой машины пускаю пинг до 10.11.0.2. После применения
> команды
>> > access-list 10 deny 10.11.0.2 пинги еще ходят полчаса :) Хотя другие
> порты
>> > все закрыты т.е. видно что машину заблокировало (с самой циски ,кстати,
>> > 10.11.0.2 не пингуется).
>> > Это нормально ? Может есть способ полечить, а то как-то странно ...
>> > IOS меняли - та же ситуация ;-(
>>
>> После изменения access-list'а нужно принудительно чистить netflow cache
>> на интерфейсе, либо методом no ip cache flow/ip cache flow на интерфейсе,
>> либо как-нибудь еще.
>>
>> Данное поведение связано с основой работы netflow cache в случае ip
^^
>> cache flow - при проходжении первого пакета кэш проверяется на наличие
^^^^^^^^^^ имелось в виду, разумеется, 'при наличии access-lists'..
>> соответствующего entry (ip src/ip dst, proto, ports), если его нет -
>> пакет отдается на process switching с соответствующей отработкой
>> access-list'ов и т.д. и создания cache entry, который смотрит либо
>> в (грубо говоря) pass, если пакет имеет право пройти сквозь раутер,
>> либо в drop, если не имеет права.
>> Последующие пакеты проверяются уже по flow cache, и обрабатываются
>> так же, как и первый пакет. И, поскольку на момент прохождения
>> первого пакета правила, запрещающего пинги не было - проходят.
>> А tcp и пакеты с самой киски вынуждены идтеи через process switching,
>> поскольку обмена по этим (src,dst,proto,ports) не было.
>> А через полчаса происходит aging flow записи, она удаляется из кэша
>> и следующий пинг создает новую запись, которая уже смотри в drop...
>>
>> PS: вроде на эту тему есть какой-то багид, но когда починят -
>> неизвестно.
>>
>> --
>> Alexandre Snarskii
>> the source code is included.
>
--
Alexandre Snarskii
the source code is included.
--- ifmail v.2.15dev5
* Origin: "MTU-Intel ISP" (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
