sol Опубликовано 21 марта, 2016 Есть 6500 с SUP32 На нём есть вот такая конструкция: route-map NAT-GRAY permit 10 match ip address graynets set ip default next-hop 10.173.123.26 ! route-map NAT-GRAY permit 20 match ip address loosers set ip default next-hop 10.173.123.27 ip access-list standard graynets permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 permit 172.16.0.0 0.15.255.255 ip access-list standard loosers permit 10.173.123.55 permit 10.173.123.59 permit 10.173.123.33 Собственно, при изменении ACL loosers сама политика не меняется или меняется толи с задержкой, толи при непонятных обстоятельствах. Вопрос: При каких обстоятельствах после изменения ACL loosers железо узнаёт об этих изменениях и начинает форвардить пакеты по новому? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 21 марта, 2016 Ни при каких, т. к. всегда отрабатывает первое правило. Надо поменять их местами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 21 марта, 2016 ip выдуманы и, явно неудачно (( На самом деле должно выглядеть вот так: route-map NAT-GRAY permit 10 match ip address graynets set ip default next-hop 10.173.123.26 ! route-map NAT-GRAY permit 20 match ip address loosers set ip default next-hop 10.173.123.27 ip access-list standard graynets permit 10.0.0.0 0.255.255.255 permit 192.168.0.0 0.0.255.255 permit 172.16.0.0 0.15.255.255 ip access-list standard loosers permit 8.8.8.8 permit 8.8.4.4 permit <ещё какой нибудь несчасстный> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 21 марта, 2016 Да всё равно карта будет работать по первому совпадению. Т.е. всегда отправлять на нат всех с src из серых сетей. Вы хотите, чтобы только чуваки с выборочными белыми адресами попадали под второе правило что-ли? Непонятна задача. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 21 марта, 2016 Вы хотите, чтобы только чуваки с выборочными белыми адресами попадали под второе правило что-ли? Непонятна задача. Именно так. Да они попадают. Просто, кода они туда попадают - они почти сразу начинают ходить через новый next hop. А вот когда они исчезают из ACL - то они могут некоторое время ходить через неправильной next hop а потом РРААЗ! И начать ходить правильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 21 марта, 2016 править ACL-и на ходу на этих мамонтах опасно, на 76ых нарывался на глюки. лучше делать более безопасно - пилить новый ACL+PBR и применять его вместо старого. Логика скриптов чуть усложнится, но не так уж и сильно (предварительно пропарсить имя текущего pbr) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 21 марта, 2016 По идеи они где-то труться в cef-е. Можно их оттуда клирить попробовать. Но дело пахнет костылями. С другой стороны у себя на одной 3750, что держит unnumbered, я юзаю kron occurrence ots.fix.CSCtg53115 in 5 recurring policy-list ots.fix.CSCtg53115 ! kron policy-list ots.fix.CSCtg53115 cli clear adjacency cli exit ! и пока вроде никто не умер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 22 марта, 2016 kron policy-list ots.fix.CSCtg53115 cli clear adjacency и перерыва сервиса не вызывает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 22 марта, 2016 По идеи это ничем не отличается от "только включил пк", должна расти загрузка цпу от изучения первых пакетов, но на практике я не видел проблем, работает уже порядочно. К сожалению, другого способа решить CSCtg53115 я не нашел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 22 марта, 2016 Провёл серию экспериментов. 1. Добавляем в ACL нужный хост. 2. Этот хост пошёл через другой шлюз. 3. Убираем хост из ACL. Теперь ACL пуст. 4. Хост попрежнему ходит через другой шлюз. 5. Для очистки совести цистим смежность clear adjacency 6. Всё равно хост ходит через другой шлюз. 7. Добавляем в ACL любой левый ip, например, 10.90.90.90 8. Вуаля, хост ходит через первоначальный шлюз. Причём, такое яление возникает только, если ACL пуст. Если в нём есть ещё кто нибудь - хост меняет шлюзы мгновенно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Voronok Опубликовано 22 марта, 2016 sol, ну добавьте в ACL какой-нибудь 127.0.0.1 пускай висит там постоянно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 23 марта, 2016 (изменено) >3. Убираем хост из ACL. Теперь ACL пуст. Если acl пуст - матчится все. Изменено 23 марта, 2016 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 23 марта, 2016 >>Если acl пуст - матчится все. Не должно. Ведь в конце каждого ACL есть неявный deny all, разве нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 марта, 2016 >>Если acl пуст - матчится все. Не должно. Ведь в конце каждого ACL есть неявный deny all, разве нет? это когда вы вешаете ACL на интерфейс, а когда он часть PBR, то всё несколько иначе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 23 марта, 2016 А если я туда явный deny в конце напишу - это решит проблему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 марта, 2016 pbr-ы с deny вообще себя могут плохо весьти на этом старье влоть до ухода трафика на cpu... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 23 марта, 2016 Хм. Пожертвовать IP Главного Сервера Микрософта? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...