Перейти к содержимому
Калькуляторы

tuman447

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    1

  • Зарегистрирован

  • Посещение

О tuman447

  • Звание
    Абитуриент
    Абитуриент

Контакты

  • ICQ
    Array

  1. Catalyst3550 Динамические ACL

    тему добавил tuman447 в Программное обеспечение, биллинг и *unix системы

    Добрый день! Не могу разобраться почему у меня перестали работать динамические листы. опишу сеть - Есть голова - Catalyst 6509, к ней подключены аггрегирующие C3550-48-SMI, они-же терминируют VLANы клиентов (VlanPerUser) и должны фильтровать клиентов (до какого-то момента работало). Конфиг интерфейса для тестового клиента interface Vlan1997 description DOG-1997 ip address 10.100.60.1 255.255.255.252 ip helper-address 193.xx.xx.xx ip helper-address 193.xx.xx.xx no ip redirects no ip unreachables no ip proxy-arp ip policy route-map LNET-INET19 end это его route-map ! Перенаправление клиентов в роутер для выхода в инет route-map LNET-INET19 permit 10 match ip address ALL_L_NET19 set ip next-hop 172.20.252.1 ! ! Блокировка клиентов route-map LNET-INET19 permit 20 match ip address DEN_L_NET19 set ip next-hop 172.20.254.1 ! ! Локальный трафик для неинетовского и неблокированного трафика route-map LNET-INET19 permit 30 set ip next-hop 172.20.250.1 ! ну а теперь то, что не работает ip access-list extended ALL_L_NET19 ! описание локальных сетей, их на роутер не отправляем deny ip any 10.0.0.0 0.255.255.255 deny ip any 192.168.0.0 0.0.255.255 deny ip any 193.xx.xx.0 0.0.0.255 deny ip any 109.xx.xx.0 0.0.15.255 permit ip any host 217.xx.xx.xx ! Описание разрешенных клиентов dynamic allowinet_19 permit ip any any ! Здесть перестала работать проверка ! ! ip access-list extended DEN_L_NET19 ! Описание неблокированных клиентов dynamic localnet_19 deny ip any any ! Тоже перестало работать ! Описание всегда доступных серверов deny ip any host xx.xx.xx.xx deny ip any host 192.168.2.10 ! Все, что сюда не попало - будет отправлено в блокировку permit ip any any при пустых динамических листах клиент должен отрабатываться в route-map LNET-INET19 permit 20, однако, он идет по тому хопу, будто он есть в dynamic allowinet_19 permit ip any any и в dynamic localnet_19 deny ip any any Каталист перестал заходить в список динамических правил, делает проверку только по заголовку динамического правила (или вообще не обрабатывает). Таких каталистов в сети несколько и такое ощущение, что с ума сошли вместе а вот те клиенты, которые терминируются на С6500 и С4К обрабатываются правильно Перечитал весь траблшутинг, ничего толкового найти не смог. Помогите разобраться с проблемой!