Andrei Posted March 2, 2021 Posted March 2, 2021 Разбираюсь в конфиге циски, который делался в разное время разными людьми. И вот такая странность. Есть ACL-и: ASR1002_core# sh access-lists Extended IP access list 100 10 permit ip 172.21.40.0 0.0.0.255 any (3 matches) 20 permit ip 172.21.41.0 0.0.0.255 any 30 permit ip 172.21.39.0 0.0.0.255 any Extended IP access list 101 10 permit ip 172.21.30.0 0.0.0.255 any (1216 matches) Extended IP access list 102 10 permit ip 172.21.43.0 0.0.0.255 any (339 matches) 20 permit ip 172.21.42.0 0.0.0.255 any (21 matches) 30 permit ip 172.21.44.0 0.0.0.255 any Extended IP access list 111 10 permit ip 10.10.10.0 0.0.0.255 any (3176 matches) 20 deny ip any any (2184 matches) которые потом используются в route-map: ASR1002_core#show route-map route-map nat_to_sovintel, permit, sequence 10 Match clauses: ip address (access-lists): 100 Set clauses: ip next-hop 62.141.99.89 Policy routing matches: 4466231 packets, 266390612 bytes route-map nat_to_sovintel, permit, sequence 40 Match clauses: ip address (access-lists): 111 Set clauses: ip next-hop 172.21.36.2 Policy routing matches: 242783 packets, 29274957 bytes route-map nat_to_sovintel, permit, sequence 50 Match clauses: ip address (access-lists): 102 Set clauses: ip next-hop 188.130.171.33 Policy routing matches: 54401645 packets, 15359060812 bytes route-map nat_to_sovintel, permit, sequence 51 Match clauses: ip address (access-lists): 101 Set clauses: ip next-hop 188.130.171.65 Policy routing matches: 60564028 packets, 13084390720 bytes route-map nat_to_sovintel, permit, sequence 52 Match clauses: ip address (access-lists): 104 Set clauses: ip next-hop 188.130.171.33 Policy routing matches: 15193892 packets, 5863386698 bytes и тут видно acl 104, которого нет в списке acl-ей, который я привел выше. Причем пакеты этим acl-ем матчатся! Циску перегружал (думал, что где-то залипли ранее удаленные acl), но все осталось без изменений. Как так? Вставить ник Quote
asteroid Posted March 2, 2021 Posted March 2, 2021 Ну в фантазиях можно представить, что в ip address (access-lists): 104 попадает все что не попало в правила какие выше. типо permit ip any any Я бы проверил сие, просто написав ip address (access-lists): 105 а 104 убрать. Будет ли туда че то попадать. Вставить ник Quote
Andrei Posted March 2, 2021 Author Posted March 2, 2021 4 минуты назад, asteroid сказал: а 104 убрать Так его нигде в конфиге и нет. Вставить ник Quote
asteroid Posted March 2, 2021 Posted March 2, 2021 6 minutes ago, Andrei said: Так его нигде в конфиге и нет. Ну так попробовать применить как то так. Не задав никаких правил. Возможно в matches попадают все, без правил, если не указано ниче то permit ip any any ip address (access-lists): 105 Set clauses: ip next-hop 188.130.171.33 Вставить ник Quote
Andrei Posted March 2, 2021 Author Posted March 2, 2021 Т.е. предлагается добавить что-то типа access-list 105 permit ip any any route-map nat_to_sovintel permit 53 match ip address 105 set ip next-hop 188.130.171.33 Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.