Перейти к содержимому
Калькуляторы

Cisco route-map

Разбираюсь в конфиге циски, который делался в разное время разными людьми.

И вот такая странность. Есть ACL-и:


ASR1002_core# sh access-lists
Extended IP access list 100
    10 permit ip 172.21.40.0 0.0.0.255 any (3 matches)
    20 permit ip 172.21.41.0 0.0.0.255 any
    30 permit ip 172.21.39.0 0.0.0.255 any
Extended IP access list 101
    10 permit ip 172.21.30.0 0.0.0.255 any (1216 matches)
Extended IP access list 102
    10 permit ip 172.21.43.0 0.0.0.255 any (339 matches)
    20 permit ip 172.21.42.0 0.0.0.255 any (21 matches)
    30 permit ip 172.21.44.0 0.0.0.255 any
Extended IP access list 111
    10 permit ip 10.10.10.0 0.0.0.255 any (3176 matches)
    20 deny ip any any (2184 matches)

которые потом используются в route-map:


ASR1002_core#show route-map
route-map nat_to_sovintel, permit, sequence 10
  Match clauses:
    ip address (access-lists): 100
  Set clauses:
    ip next-hop 62.141.99.89
  Policy routing matches: 4466231 packets, 266390612 bytes
route-map nat_to_sovintel, permit, sequence 40
  Match clauses:
    ip address (access-lists): 111
  Set clauses:
    ip next-hop 172.21.36.2
  Policy routing matches: 242783 packets, 29274957 bytes
route-map nat_to_sovintel, permit, sequence 50
  Match clauses:
    ip address (access-lists): 102
  Set clauses:
    ip next-hop 188.130.171.33
  Policy routing matches: 54401645 packets, 15359060812 bytes
route-map nat_to_sovintel, permit, sequence 51
  Match clauses:
    ip address (access-lists): 101
  Set clauses:
    ip next-hop 188.130.171.65
  Policy routing matches: 60564028 packets, 13084390720 bytes
route-map nat_to_sovintel, permit, sequence 52
  Match clauses:
    ip address (access-lists): 104
  Set clauses:
    ip next-hop 188.130.171.33
  Policy routing matches: 15193892 packets, 5863386698 bytes

и тут видно acl 104, которого нет в списке acl-ей, который я привел выше. Причем пакеты этим acl-ем матчатся! Циску перегружал (думал, что где-то залипли ранее удаленные acl), но все осталось без изменений.

Как так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну в фантазиях можно представить, что в ip address (access-lists): 104 попадает все что не попало в правила какие выше. типо  permit ip any any

Я бы проверил сие, просто написав ip address (access-lists): 105  а 104 убрать. Будет ли туда че то попадать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, asteroid сказал:

а 104 убрать

Так его нигде в конфиге и нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 minutes ago, Andrei said:

Так его нигде в конфиге и нет.

Ну так попробовать применить как то так. Не задав никаких правил.  Возможно в matches попадают все, без правил, если не указано ниче то permit ip any any

 ip address (access-lists): 105
  Set clauses:
    ip next-hop 188.130.171.33

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Т.е. предлагается добавить что-то типа

access-list 105 permit ip any any

route-map nat_to_sovintel permit 53
 match ip address 105
 set ip next-hop 188.130.171.33

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.