 Блокировка разрешенных пакетов,  Fuzzyone, 01-Окт-13, 22:51 [смотреть все]Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе, с которого все это уходит висит access-list. Все работает замечательно, за исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить через этот access-list. Т.е. грубо говоря в 99 случаях все ок, а на сотый пакет денаится со ссылкой на разрешающий его лист. Бред какой-то... уже и прошились на 15.3 - не помогло. Может кто сталкивался???
|
- Блокировка разрешенных пакетов, Merridius, 09:40 , 02-Окт-13 (1)
> Картина такая: есть маршрутизатор с поднятыми mGRE-ipsec туннелями. На физ. интерфейсе,
> с которого все это уходит висит access-list. Все работает замечательно, за
> исключением одного НО! Периодически блокируются пакеты, которым явно разрешено проходить
> через этот access-list. Т.е. грубо говоря в 99 случаях все ок,
> а на сотый пакет денаится со ссылкой на разрешающий его лист.
> Бред какой-то... уже и прошились на 15.3 - не помогло. Может
> кто сталкивался???А может дело и не в акле вовсе?
Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
Ну и на акл log для начала неплохо было бы повесить.
Eще debug ip packet можно глянуть.
- Блокировка разрешенных пакетов, Fuzzyone, 11:13 , 02-Окт-13 (2)
> А может дело и не в акле вовсе?
> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
> Ну и на акл log для начала неплохо было бы повесить.
> Eще debug ip packet можно глянуть.в том и дело, что в конце прописан денай с логом, т.е. пакет проходит через лист и срабатывает на последней записи.
- Блокировка разрешенных пакетов, Fuzzyone, 14:01 , 02-Окт-13 (4)
>> А может дело и не в акле вовсе?
>> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
>> Ну и на акл log для начала неплохо было бы повесить.
>> Eще debug ip packet можно глянуть.
> в том и дело, что в конце прописан денай с логом, т.е.
> пакет проходит через лист и срабатывает на последней записи.debug ip packet включить не смогу ибо взвесит все нафих - загрузка большая
- Блокировка разрешенных пакетов, Merridius, 17:34 , 02-Окт-13 (6)
>>> А может дело и не в акле вовсе?
>>> Попробуйте посмотреть не происходит ли чего еще в момент блокировки.
>>> Ну и на акл log для начала неплохо было бы повесить.
>>> Eще debug ip packet можно глянуть.
>> в том и дело, что в конце прописан денай с логом, т.е.
>> пакет проходит через лист и срабатывает на последней записи.
> debug ip packet включить не смогу ибо взвесит все нафих - загрузка
> большая Там по аклу можно отматчить интересуещее.
- Блокировка разрешенных пакетов, QRSa, 14:07 , 02-Окт-13 (5)
> в том и дело, что в конце прописан денай с логом, т.е.
> пакет проходит через лист и срабатывает на последней записи.А можно это увидеть?
Проблем с фрагментацией датаграмм у Вас не наблюдается?
- Блокировка разрешенных пакетов, McS555, 12:54 , 02-Окт-13 (3)
> Ну и на акл log для начала неплохо было бы повесить.
> Eще debug ip packet можно глянуть.еще и sho run | sec access-list XXX
|
Версия для распечатки
