Hello Vladimir,
Wednesday, July 10, 2002, 2:03:25 PM, you wrote:
VAJ> Есть кошка
[skip]
VAJ> на ней крутится
VAJ> IOS (tm) EGR Software (C7100-IS-M), Version 12.2(7c), RELEASE SOFTWARE
(fc1)
[skip]
VAJ> На Fas0/1 принимается мир, на приеме с означенного мира хочется
фильтровать
VAJ> некоторый траффик, пишем access-list:
VAJ> ip access-list extended BLOCK-IN
VAJ> deny udp any host 62.244.4.166 eq 2001
VAJ> permit ip any any
VAJ> апплаим, смотрим на интерфейс:
VAJ> Inbound access list is BLOCK-IN
VAJ> IP fast switching is enabled
VAJ> IP fast switching on the same interface is disabled
VAJ> IP Flow switching is enabled
VAJ> IP CEF switching is enabled
VAJ> IP Flow switching turbo vector
VAJ> IP Flow CEF switching turbo vector
VAJ> IP multicast fast switching is enabled
VAJ> IP multicast distributed fast switching is disabled
VAJ> IP route-cache flags are Fast, Flow, CEF
VAJ> все типа пучком.
VAJ> Смотрим на hit-ы в access-list:
VAJ> deny udp any host 62.244.4.166 eq 2001 (2453 matches)
VAJ> permit ip any any (4610520 matches)
[skip]
VAJ> и видим, что часть пакетов таки пролазит. Не верим, идем на соседний
роутер
VAJ> (у которого route-cache flow выключен) и фильтруем на нем:
VAJ> Extended IP access list BLOCK-IN
VAJ> deny udp any host 62.244.4.166 eq 2001 (941251 matches)
VAJ> permit ip any any (14971070 matches)
VAJ> таки да. Таки пролазит.
VAJ> На исходном роутере к этой самой матери убираем ip route-cache flow на
VAJ> входящем интерфейсе, hit-ы на access-list-е следующего по дороге роутера
VAJ> прекращаются.
VAJ> Внимание вопрос - в каком из 12.2(хрен-его-знает) долбанные Индусы это
VAJ> наконец починили?
Nu, s etim ta vse prosto, dazhe ne baga, a ficha ;)
In conventional switching at the network layer, each incoming packet is
handled on an individual basis with a series of functions to perform access
list checks, capture accounting data, and switch the packet. With NetFlow
switching, after a flow has been identified and access list processing of
the first packet in the flow has been performed, all subsequent packets are
handled on a "connection-oriented" basis as part of the flow, where access
list checks are bypassed and packet switching and statistics capture are
performed in tandem.
snachala nado vyrubitj netflow na interface a tolko potom applajitj
access-listi ;)
Raimond Treimanis , answer.
--
Best regards,
Alex mailto:sysman@iem.gov.lv
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
