cosa bizzarra su access-list

mantonioli · lun 11 set , 2006 10:56 am

Buongiorno a tutti,
ho due access-list UGUALI...la 130 e la 135...una collegata ad una interfaccia attiva, l'altra collegata ad un'interfaccia in backup..

Eccone il codice:

access-list 130 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 permit ip 192.168.0.0 0.0.0.255 any
access-list 135 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 135 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 135 permit ip 192.168.0.0 0.0.0.255 any

La domanda è: perchè la terza acl del gruppo 135 non viene mai matchata???

Ecco uno "show access-list":

Extended IP access list 130
10 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 (6 matches)
20 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (24570 matches)
30 permit ip 192.168.0.0 0.0.0.255 any (985 matches)
Extended IP access list 135
10 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 (6 matches)
20 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (24570 matches)
30 permit ip 192.168.0.0 0.0.0.255 any

Grazie
Marco

MaiO · lun 11 set , 2006 11:03 am

Perche non ci sono a transitare i pachetti da altre reti oltre alla 14.1.1.0 e 192.168.1.0.

Ciao

mantonioli · lun 11 set , 2006 1:28 pm

Esistono dei pacchetti che transitano dalla 192.168.0.x verso l'esterno e i 985 matches della regola 30 per la access-list 130 lo dimostra.

Quello che non riesco a capire è perchè non ottengo lo stesso numero di matches per la access-list 135, essendo uguale. Infatti le regoe 10 e 20 hanno lo stesso numero di matches....

MaiO · lun 11 set , 2006 1:31 pm

Ma fammi capire dove e come sono mappate queste acl?

Fai dei esempi di codice.

Ciao

mantonioli · lun 11 set , 2006 1:46 pm

Ecco la configurazione. La Ethernet0 è l'interfaccia di backup della Dialer0.

ip nat inside source list 130 interface Dialer0 overload
ip nat inside source list 135 interface Ethernet0 overload

!

access-list 108 permit ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 115 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 permit ip 192.168.0.0 0.0.0.255 any
access-list 135 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 135 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 135 permit ip 192.168.0.0 0.0.0.255 any

Grazie
Marco

MaiO · mar 12 set , 2006 4:38 pm

Non ci siamo!!! non le applichi come access list, ma come il traffico interessante per il nat.

Chierisci gli intenti o i concetti.

Ciao

mantonioli · mer 13 set , 2006 7:44 am

L'intento è quello di fornire alta disponibilità.

Quando la Dialer0 perde la portante del provider si attiva la Ethernet 0 che dovrebbe fare le stesse politiche di nat della Dialer0. Purtroppo non mi succede così perchè quando la Ethernet 0 diventa up la access-list 135, riga 30, non venendo mai matchata non mi natta il traffico verso Internet e gli utenti delle rete locale non navigano.

Invece, per quanto riguarda la riga 20 delle 2 access-list, che è relativa ad una vpn site-to-site e che viene sempre matchata pari pari (lo si nota dal numero di matches) tutto funziona regolarmente quando si attiva l'interfaccia di backup.

Ciao
Marco

doctorblade · gio 21 set , 2006 5:22 pm

Ciao,
puoi postare la configurazione per intero?

Roberto82 · ven 06 ott , 2006 6:40 pm

modifica la wildcard e vedrai fiumi di match

cosa bizzarra su access-list

Login • Iscriviti