Перейти к содержимому
Калькуляторы

Обновление PBR route-map при изменении ACL на 6500

Есть 6500 с SUP32

 

На нём есть вот такая конструкция:

 


route-map NAT-GRAY permit 10
match ip address graynets
set ip default next-hop 10.173.123.26
!
route-map NAT-GRAY permit 20
match ip address loosers
set ip default next-hop 10.173.123.27

ip access-list standard graynets
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
permit 172.16.0.0 0.15.255.255

ip access-list standard loosers
permit 10.173.123.55
permit 10.173.123.59
permit 10.173.123.33

 

Собственно, при изменении ACL loosers сама политика не меняется или меняется толи с задержкой, толи при непонятных обстоятельствах.

 

Вопрос: При каких обстоятельствах после изменения ACL loosers железо узнаёт об этих изменениях и начинает форвардить пакеты по новому?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ни при каких, т. к. всегда отрабатывает первое правило. Надо поменять их местами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip выдуманы и, явно неудачно ((

 

На самом деле должно выглядеть вот так:

route-map NAT-GRAY permit 10
match ip address graynets
set ip default next-hop 10.173.123.26
!
route-map NAT-GRAY permit 20
match ip address loosers
set ip default next-hop 10.173.123.27

ip access-list standard graynets
permit 10.0.0.0 0.255.255.255
permit 192.168.0.0 0.0.255.255
permit 172.16.0.0 0.15.255.255

ip access-list standard loosers
permit 8.8.8.8
permit 8.8.4.4
permit <ещё какой нибудь несчасстный>

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да всё равно карта будет работать по первому совпадению.

Т.е. всегда отправлять на нат всех с src из серых сетей.

Вы хотите, чтобы только чуваки с выборочными белыми адресами попадали под второе правило что-ли? Непонятна задача.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы хотите, чтобы только чуваки с выборочными белыми адресами попадали под второе правило что-ли? Непонятна задача.
Именно так.

 

Да они попадают. Просто, кода они туда попадают - они почти сразу начинают ходить через новый next hop. А вот когда они исчезают из ACL - то они могут некоторое время ходить через неправильной next hop а потом РРААЗ! И начать ходить правильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

править ACL-и на ходу на этих мамонтах опасно, на 76ых нарывался на глюки. лучше делать более безопасно - пилить новый ACL+PBR и применять его вместо старого. Логика скриптов чуть усложнится, но не так уж и сильно (предварительно пропарсить имя текущего pbr)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По идеи они где-то труться в cef-е. Можно их оттуда клирить попробовать. Но дело пахнет костылями.

 

С другой стороны у себя на одной 3750, что держит unnumbered, я юзаю

kron occurrence ots.fix.CSCtg53115 in 5 recurring
policy-list ots.fix.CSCtg53115
!
kron policy-list ots.fix.CSCtg53115
cli clear adjacency
cli exit
!

и пока вроде никто не умер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

kron policy-list ots.fix.CSCtg53115

 cli clear adjacency

и перерыва сервиса не вызывает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По идеи это ничем не отличается от "только включил пк", должна расти загрузка цпу от изучения первых пакетов, но на практике я не видел проблем, работает уже порядочно. К сожалению, другого способа решить CSCtg53115 я не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Провёл серию экспериментов.

 

1. Добавляем в ACL нужный хост.

2. Этот хост пошёл через другой шлюз.

3. Убираем хост из ACL. Теперь ACL пуст.

4. Хост попрежнему ходит через другой шлюз.

5. Для очистки совести цистим смежность clear adjacency

6. Всё равно хост ходит через другой шлюз.

7. Добавляем в ACL любой левый ip, например, 10.90.90.90

8. Вуаля, хост ходит через первоначальный шлюз.

 

Причём, такое яление возникает только, если ACL пуст. Если в нём есть ещё кто нибудь - хост меняет шлюзы мгновенно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

sol, ну добавьте в ACL какой-нибудь 127.0.0.1 пускай висит там постоянно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>3. Убираем хост из ACL. Теперь ACL пуст.

 

Если acl пуст - матчится все.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>>Если acl пуст - матчится все.

Не должно. Ведь в конце каждого ACL есть неявный deny all, разве нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>>Если acl пуст - матчится все.

Не должно. Ведь в конце каждого ACL есть неявный deny all, разве нет?

 

это когда вы вешаете ACL на интерфейс, а когда он часть PBR, то всё несколько иначе

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если я туда явный deny в конце напишу - это решит проблему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pbr-ы с deny вообще себя могут плохо весьти на этом старье влоть до ухода трафика на cpu...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм. Пожертвовать IP Главного Сервера Микрософта?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.