Hi!
Есть кошка
cisco 7140-8T (EGR) processor (revision A) with 229376K/98304K bytes of memory.
Processor board ID 12723804
R7000 CPU at 262Mhz, Implementation 39, Rev 1.0, 256KB L2, 2048KB L3 Cache
на ней крутится
Cisco Internetwork Operating System Software
IOS (tm) EGR Software (C7100-IS-M), Version 12.2(7c), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2002 by cisco Systems, Inc.
Compiled Sat 11-May-02 22:42 by pwade
Image text-base: 0x600089C0, data-base: 0x616C2000
у нее есть два интерфейса, Fas0/0 и Fas0/1.
На Fas0/1 принимается мир, на приеме с означенного мира хочется фильтровать
некоторый траффик, пишем access-list:
ip access-list extended BLOCK-IN
deny udp any host 62.244.4.166 eq 2001
permit ip any any
апплаим, смотрим на интерфейс:
Inbound access list is BLOCK-IN
IP fast switching is enabled
IP fast switching on the same interface is disabled
IP Flow switching is enabled
IP CEF switching is enabled
IP Flow switching turbo vector
IP Flow CEF switching turbo vector
IP multicast fast switching is enabled
IP multicast distributed fast switching is disabled
IP route-cache flags are Fast, Flow, CEF
все типа пучком.
Смотрим на hit-ы в access-list:
deny udp any host 62.244.4.166 eq 2001 (2453 matches)
permit ip any any (4610520 matches)
их типа есть.
Смотрим в сюда:
sh ip cache flow | inc 62.244.4.166
Fa0/1 195.224.253.5 Null 62.244.4.166 11 07D1 07D1 1787
Fa0/1 213.147.54.50 Null 62.244.4.166 11 07D1 07D1 106
Fa0/1 210.188.160.251 Null 62.244.4.166 11 07D1 07D1 21K
Fa0/1 194.67.35.196 Fa0/0.10 62.244.4.166 06 0050 0440 1
Fa0/1 194.67.35.196 Fa0/0.10 62.244.4.166 06 0050 0440 5
Fa0/1 212.61.24.42 Null 62.244.4.166 11 07D1 07D1 3467
Fa0/1 213.180.194.129 Fa0/0.10 62.244.4.166 06 0050 043F 5
Fa0/1 216.234.115.10 Null 62.244.4.166 11 07D1 07D1 23K
Fa0/1 62.242.36.37 Null 62.244.4.166 11 07D1 07D1 2582
Fa0/1 210.110.39.44 Null 62.244.4.166 11 07D1 07D1 1477
Fa0/1 209.139.212.21 Null 62.244.4.166 11 07D1 07D1 3832
Fa0/1 207.19.136.11 Null 62.244.4.166 11 07D1 07D1 6
Fa0/1 210.134.86.9 Null 62.244.4.166 11 07D1 07D1 4311
Fa0/1 163.20.91.138 Null 62.244.4.166 11 07D1 07D1 540
Fa0/1 62.4.68.137 Null 62.244.4.166 11 07D1 07D1 1025
Fa0/1 194.67.23.231 Null 62.244.4.166 11 07D1 07D1 12K
Fa0/1 163.20.82.11 Null 62.244.4.166 11 07D1 07D1 11K
Fa0/1 202.172.112.2 Null 62.244.4.166 11 07D1 07D1 5220
Fa0/1 200.10.27.77 Null 62.244.4.166 11 07D1 07D1 11K
Fa0/1 209.139.247.31 Fa0/0.10 62.244.4.166 11 07D1 07D1 3676
Fa0/1 212.74.30.20 Null 62.244.4.166 11 07D1 07D1 529
Fa0/1 211.133.251.156 Null 62.244.4.166 11 07D1 07D1 53K
и видим, что часть пакетов таки пролазит. Не верим, идем на соседний роутер
(у которого route-cache flow выключен) и фильтруем на нем:
Extended IP access list BLOCK-IN
deny udp any host 62.244.4.166 eq 2001 (941251 matches)
permit ip any any (14971070 matches)
таки да. Таки пролазит.
На исходном роутере к этой самой матери убираем ip route-cache flow на
входящем интерфейсе, hit-ы на access-list-е следующего по дороге роутера
прекращаются.
Внимание вопрос - в каком из 12.2(хрен-его-знает) долбанные Индусы это
наконец починили?
--
Regards,
Vladimir.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
