форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Познание IOS-а или порядок прохождения покетов throw black b..."

Сообщение от tashiki (ok) on 24-Янв-06, 12:33

Доброго времени суток. Не мудрствуя лукаво опишу сложившуюся ситуацию и  собственно вопрос.      Итак имеется ровтер циськи (эксперимент проводился и на Cisco 800 SOHO Cisco 1700, Cisco 1800) с IOS-ом 12.x (дело именно в архитектуре black box-а под названием IOS).      Делаем ак: Router(config)#access-list 104 deny icmp 0.0.0.0 255.255.255.255 10.0.1.0 0.0.0.255 8 0       Router(config)#access-list 104 permit icmp any any      Поднимаем loopback0 (ip=10.0.1.1/24) и ставим на него ак лист 104. Router(config-if)#ip access-g 104 in (хочу заметить что в данном акл-е запрещаются ping request-ы c DA=10.0.1.0/24 , однако можно использовать стандартный акл с запретом всего трафа)      Поднимаем eth0 (fa0) c ипом скажем 192.168.1.1/24, линкуем станцию с ипом 192.168.1.2/24    Далее самое интересно - пингуем lo0 (10.0.1.1) с ровтера (extended ping-ом с SA=192.168.1.1) - получаем ожидаемое icmp-сообщение о недоступности заданного узла назначения (не пингуется как и следовало ожидать). Запускаем пинг с рабочей станции (ип=192.168.1.2) - получаем icmp-response (пингуестя).     Самое отвратительное то, что отследить путь пакетов внутри ровтра не возможно (трафик со станции (с заданными критериями DA=lo0) не попадат на акл loopback0-а)!!!!.Конечно я понимаю, что для достижения заданной цели мну нужно поствить данный акл на eth0 (192.168.1.1) - вопрос не в этом.     Интересно почему outside-пакеты не попадают на in-acl дальнего интерфейса (то есть loopbacka-f или др. интерфейса not directly connected к источнику трафика). .....thx for your patience

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Сообщения по теме

[Сортировка по времени, UBB]

1. "Познание IOS-а или порядок прохождения покетов throw black b..."

Сообщение от Nailer (??) on 24-Янв-06, 16:45

>    Интересно почему outside-пакеты не попадают на in-acl дальнего >интерфейса (то есть loopbacka-f или др. интерфейса not directly connected к >источнику трафика). > >.....thx for your patience А почему они должны туда попадать? :-) in - это то, что попадает на интерфейс снаружи. out - это то, что изнутри выходит наружу. Логика такая у циски.

Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Познание IOS-а или порядок прохождения покетов throw black b..."
	Сообщение от tashiki (ok) on 24-Янв-06, 16:53
	>А почему они должны туда попадать? :-) > >in - это то, что попадает на интерфейс снаружи. out - это >то, что изнутри выходит наружу. Логика такая у циски. "Снаружи" имеется в виду физически? Если так то why? внутренний трафик с циски (extended ping к примеру) попадает на in акл-а?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Познание IOS-а или порядок прохождения покетов throw black b..."
	Сообщение от Nailer (??) on 24-Янв-06, 17:34
	>>А почему они должны туда попадать? :-) >> >>in - это то, что попадает на интерфейс снаружи. out - это >>то, что изнутри выходит наружу. Логика такая у циски. > >"Снаружи" имеется в виду физически? Если так то why? внутренний трафик с >циски (extended ping к примеру) попадает на in акл-а? На in - никогда. На out с интерфейса - попадет.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]