|
|
ru.cisco- RU.CISCO --------------------------------------------------------------------- From : Alexandre Snarskii 2:5020/400 23 Mar 2003 18:41:41 To : Abylai Ospan Subject : Re: это нормальная реакция Cisco на access-list ? -------------------------------------------------------------------------------- Abylai Ospan <aospan@netup.ru> wrote: > > Добрый день! > > Очень большие задержки после применения команды acess-list deny > > есть Cisco 2621 > IOS (tm) C2600 Software (C2600-IS-M), Version 12.2(13a), RELEASE SOFTWARE > (fc2) > > вот конфигурация порта: > ! > interface FastEthernet0/1 > ip address 10.11.0.1 255.255.255.0 > ip broadcast-address 10.11.0.255 > ip access-group 10 in > ip access-group 10 out > ip route-cache flow > duplex auto > speed auto > ! > > делаю > conf t > затем > access-list 10 deny 10.11.0.2 > > До этого с другой машины пускаю пинг до 10.11.0.2. После применения команды > access-list 10 deny 10.11.0.2 пинги еще ходят полчаса :) Хотя другие порты > все закрыты т.е. видно что машину заблокировало (с самой циски ,кстати, > 10.11.0.2 не пингуется). > Это нормально ? Может есть способ полечить, а то как-то странно ... > IOS меняли - та же ситуация ;-( После изменения access-list'а нужно принудительно чистить netflow cache на интерфейсе, либо методом no ip cache flow/ip cache flow на интерфейсе, либо как-нибудь еще. Данное поведение связано с основой работы netflow cache в случае ip cache flow - при проходжении первого пакета кэш проверяется на наличие соответствующего entry (ip src/ip dst, proto, ports), если его нет - пакет отдается на process switching с соответствующей отработкой access-list'ов и т.д. и создания cache entry, который смотрит либо в (грубо говоря) pass, если пакет имеет право пройти сквозь раутер, либо в drop, если не имеет права. Последующие пакеты проверяются уже по flow cache, и обрабатываются так же, как и первый пакет. И, поскольку на момент прохождения первого пакета правила, запрещающего пинги не было - проходят. А tcp и пакеты с самой киски вынуждены идтеи через process switching, поскольку обмена по этим (src,dst,proto,ports) не было. А через полчаса происходит aging flow записи, она удаляется из кэша и следующий пинг создает новую запись, которая уже смотри в drop... PS: вроде на эту тему есть какой-то багид, но когда починят - неизвестно. -- Alexandre Snarskii the source code is included. --- ifmail v.2.15dev5 * Origin: "MTU-Intel ISP" (2:5020/400) Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
Архивное /ru.cisco/9104e6ae476a.html, оценка из 5, голосов 10
|