Andrei Опубликовано 2 марта, 2021 · Жалоба Разбираюсь в конфиге циски, который делался в разное время разными людьми. И вот такая странность. Есть ACL-и: ASR1002_core# sh access-lists Extended IP access list 100 10 permit ip 172.21.40.0 0.0.0.255 any (3 matches) 20 permit ip 172.21.41.0 0.0.0.255 any 30 permit ip 172.21.39.0 0.0.0.255 any Extended IP access list 101 10 permit ip 172.21.30.0 0.0.0.255 any (1216 matches) Extended IP access list 102 10 permit ip 172.21.43.0 0.0.0.255 any (339 matches) 20 permit ip 172.21.42.0 0.0.0.255 any (21 matches) 30 permit ip 172.21.44.0 0.0.0.255 any Extended IP access list 111 10 permit ip 10.10.10.0 0.0.0.255 any (3176 matches) 20 deny ip any any (2184 matches) которые потом используются в route-map: ASR1002_core#show route-map route-map nat_to_sovintel, permit, sequence 10 Match clauses: ip address (access-lists): 100 Set clauses: ip next-hop 62.141.99.89 Policy routing matches: 4466231 packets, 266390612 bytes route-map nat_to_sovintel, permit, sequence 40 Match clauses: ip address (access-lists): 111 Set clauses: ip next-hop 172.21.36.2 Policy routing matches: 242783 packets, 29274957 bytes route-map nat_to_sovintel, permit, sequence 50 Match clauses: ip address (access-lists): 102 Set clauses: ip next-hop 188.130.171.33 Policy routing matches: 54401645 packets, 15359060812 bytes route-map nat_to_sovintel, permit, sequence 51 Match clauses: ip address (access-lists): 101 Set clauses: ip next-hop 188.130.171.65 Policy routing matches: 60564028 packets, 13084390720 bytes route-map nat_to_sovintel, permit, sequence 52 Match clauses: ip address (access-lists): 104 Set clauses: ip next-hop 188.130.171.33 Policy routing matches: 15193892 packets, 5863386698 bytes и тут видно acl 104, которого нет в списке acl-ей, который я привел выше. Причем пакеты этим acl-ем матчатся! Циску перегружал (думал, что где-то залипли ранее удаленные acl), но все осталось без изменений. Как так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asteroid Опубликовано 2 марта, 2021 · Жалоба Ну в фантазиях можно представить, что в ip address (access-lists): 104 попадает все что не попало в правила какие выше. типо permit ip any any Я бы проверил сие, просто написав ip address (access-lists): 105 а 104 убрать. Будет ли туда че то попадать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 марта, 2021 · Жалоба 4 минуты назад, asteroid сказал: а 104 убрать Так его нигде в конфиге и нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
asteroid Опубликовано 2 марта, 2021 · Жалоба 6 minutes ago, Andrei said: Так его нигде в конфиге и нет. Ну так попробовать применить как то так. Не задав никаких правил. Возможно в matches попадают все, без правил, если не указано ниче то permit ip any any ip address (access-lists): 105 Set clauses: ip next-hop 188.130.171.33 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 2 марта, 2021 · Жалоба Т.е. предлагается добавить что-то типа access-list 105 permit ip any any route-map nat_to_sovintel permit 53 match ip address 105 set ip next-hop 188.130.171.33 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...