Главная страница


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Alexandre Snarskii                   2:5020/400     23 Mar 2003  18:41:41
 To : Abylai Ospan
 Subject : Re: это нормальная реакция Cisco на access-list ?
 -------------------------------------------------------------------------------- 
 
 Abylai Ospan <aospan@netup.ru> wrote:
 
 > 
 > Добрый день!
 > 
 > Очень большие задержки после применения команды acess-list deny
 > 
 > есть Cisco 2621
 > IOS (tm) C2600 Software (C2600-IS-M), Version 12.2(13a), RELEASE SOFTWARE
 > (fc2)
 > 
 > вот конфигурация порта:
 > !
 > interface FastEthernet0/1
 > ip address 10.11.0.1 255.255.255.0
 > ip broadcast-address 10.11.0.255
 > ip access-group 10 in
 > ip access-group 10 out
 > ip route-cache flow
 > duplex auto
 > speed auto
 > !
 > 
 > делаю
 > conf t
 > затем
 > access-list 10 deny 10.11.0.2
 > 
 > До этого с другой машины пускаю пинг до 10.11.0.2. После применения команды
 > access-list 10 deny 10.11.0.2 пинги еще ходят полчаса :) Хотя другие порты
 > все закрыты т.е. видно что машину заблокировало (с самой циски ,кстати,
 > 10.11.0.2 не пингуется).
 > Это нормально ? Может есть способ полечить, а то как-то странно ...
 > IOS меняли - та же ситуация ;-(
 
 После изменения access-list'а нужно принудительно чистить netflow cache
 на интерфейсе, либо методом no ip cache flow/ip cache flow на интерфейсе,
 либо как-нибудь еще. 
 
 Данное поведение связано с основой работы netflow cache в случае ip
 cache flow - при проходжении первого пакета кэш проверяется на наличие
 соответствующего entry (ip src/ip dst, proto, ports), если его нет - 
 пакет отдается на process switching с соответствующей отработкой
 access-list'ов и т.д. и создания cache entry, который смотрит либо 
 в (грубо говоря) pass, если пакет имеет право пройти сквозь раутер,
 либо в drop, если не имеет права. 
 Последующие пакеты проверяются уже по flow cache, и обрабатываются
 так же, как и первый пакет. И, поскольку на момент прохождения 
 первого пакета правила, запрещающего пинги не было - проходят.
 А tcp и пакеты с самой киски вынуждены идтеи через process switching,
 поскольку обмена по этим (src,dst,proto,ports) не было. 
 А через полчаса происходит aging flow записи, она удаляется из кэша
 и следующий пинг создает новую запись, которая уже смотри в drop... 
 
 PS: вроде на эту тему есть какой-то багид, но когда починят - 
 неизвестно. 
 
 -- 
 Alexandre Snarskii
 the source code is included.
 --- ifmail v.2.15dev5
  * Origin: "MTU-Intel ISP" (2:5020/400)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 это нормальная реакция Cisco на access-list ?   Abylai Ospan   23 Mar 2003 18:25:26 
 Re: это нормальная реакция Cisco на access-list ?   Alexandre Snarskii   23 Mar 2003 18:41:41 
 Re: это нормальная реакция Cisco на access-list ?   Abylai Ospan   23 Mar 2003 19:20:41 
 Re: это нормальная реакция Cisco на access-list ?   Alexandre Snarskii   24 Mar 2003 11:26:12 
 Re: это нормальная реакция Cisco на access-list ?   Andrey Blochintsev   24 Mar 2003 13:36:48 
Архивное /ru.cisco/9104e6ae476a.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional