[inet-admins] Re: [inet-admins] Re: [inet-admins] netflow export и ACL

["Denis V. Schapov" <dschapov@dsi.ru>]

> > >  VS> Насколько я понимаю, пакеты, порожденные самим роутером, ни при 
>каких
> > >  VS> условиях под ACL попадать не должны? 213.59.238.2/26 - это сама 
>кошка
> > >  VS> 3662, IOS 12.2(5a). Баг или фича?
> > > 
> > > 
> > >         213.59.238.25 в ARP таблице есть? Сделай ping.
> > 
> > По "sh arp" он есть. И пинг ходит. 
> > 
> > В общем я workaround, конечно, нашел - разрешил 9991/udp на
> > 213.59.238.25 в исходящем access-list интерфейса.  Убирание
> > соответствующего permit прекращает export. Воспроизводимо.
> > 
> > Конечно, workaround это хорошо, но первопричину бы интересно знать.
> > 
> 
> Плохо это. Как я понял, оригинальная идея была - защита от спуфа netflow 
> packets. То, что родилось на рутере - пропускаем. То, что пришло снаружи - 
> (spoofed) режем.. Плохо, что не работает.

Нет, скорее оригинальная идея была в fast/cef свитчинге netflow packets с 
роутера, вместо process level.
Для performance.


----
Denis V. Schapov
JSC "DSI"
Irkutsk, Russia
dschapov@dsi.ru
+7 3952 510506



"²КZvh╖╟┴Мz╧ч╣╖zк&j)b· 
b╡с┼{Z┼w²o!╡п╗·w°╤*'!#лj)n·к⌡╠йБmХ╖zж² )Л╤┐▌┼щ╒j"²Зjкk╨'Р╒Л·шh╙Х╜╥!┼В╒╠╖zк"nW╗·m╖ЪБ²Зjкk╩ЗНЁЬ╖zж² f