Buongiorno a tutti,
ho due access-list UGUALI...la 130 e la 135...una collegata ad una interfaccia attiva, l'altra collegata ad un'interfaccia in backup..
Eccone il codice:
access-list 130 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 permit ip 192.168.0.0 0.0.0.255 any
access-list 135 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 135 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 135 permit ip 192.168.0.0 0.0.0.255 any
La domanda è: perchè la terza acl del gruppo 135 non viene mai matchata???
Ecco uno "show access-list":
Extended IP access list 130
10 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 (6 matches)
20 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (24570 matches)
30 permit ip 192.168.0.0 0.0.0.255 any (985 matches)
Extended IP access list 135
10 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255 (6 matches)
20 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 (24570 matches)
30 permit ip 192.168.0.0 0.0.0.255 any
Grazie
Marco
cosa bizzarra su access-list
Moderatore: Federico.Lagni
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Perche non ci sono a transitare i pachetti da altre reti oltre alla 14.1.1.0 e 192.168.1.0.
Ciao
Ciao
-=] MaiO [=-
-
- n00b
- Messaggi: 11
- Iscritto il: gio 29 giu , 2006 8:28 am
Esistono dei pacchetti che transitano dalla 192.168.0.x verso l'esterno e i 985 matches della regola 30 per la access-list 130 lo dimostra.
Quello che non riesco a capire è perchè non ottengo lo stesso numero di matches per la access-list 135, essendo uguale. Infatti le regoe 10 e 20 hanno lo stesso numero di matches....
Quello che non riesco a capire è perchè non ottengo lo stesso numero di matches per la access-list 135, essendo uguale. Infatti le regoe 10 e 20 hanno lo stesso numero di matches....
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Ma fammi capire dove e come sono mappate queste acl?
Fai dei esempi di codice.
Ciao
Fai dei esempi di codice.
Ciao
-=] MaiO [=-
-
- n00b
- Messaggi: 11
- Iscritto il: gio 29 giu , 2006 8:28 am
Ecco la configurazione. La Ethernet0 è l'interfaccia di backup della Dialer0.
ip nat inside source list 130 interface Dialer0 overload
ip nat inside source list 135 interface Ethernet0 overload
!
access-list 108 permit ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 115 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 permit ip 192.168.0.0 0.0.0.255 any
access-list 135 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 135 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 135 permit ip 192.168.0.0 0.0.0.255 any
Grazie
Marco
ip nat inside source list 130 interface Dialer0 overload
ip nat inside source list 135 interface Ethernet0 overload
!
access-list 108 permit ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 115 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 130 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 130 permit ip 192.168.0.0 0.0.0.255 any
access-list 135 deny ip 192.168.0.0 0.0.0.255 14.1.1.0 0.0.0.255
access-list 135 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 135 permit ip 192.168.0.0 0.0.0.255 any
Grazie
Marco
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
Non ci siamo!!! non le applichi come access list, ma come il traffico interessante per il nat.
Chierisci gli intenti o i concetti.
Ciao
Chierisci gli intenti o i concetti.
Ciao
-=] MaiO [=-
-
- n00b
- Messaggi: 11
- Iscritto il: gio 29 giu , 2006 8:28 am
L'intento è quello di fornire alta disponibilità.
Quando la Dialer0 perde la portante del provider si attiva la Ethernet 0 che dovrebbe fare le stesse politiche di nat della Dialer0. Purtroppo non mi succede così perchè quando la Ethernet 0 diventa up la access-list 135, riga 30, non venendo mai matchata non mi natta il traffico verso Internet e gli utenti delle rete locale non navigano.
Invece, per quanto riguarda la riga 20 delle 2 access-list, che è relativa ad una vpn site-to-site e che viene sempre matchata pari pari (lo si nota dal numero di matches) tutto funziona regolarmente quando si attiva l'interfaccia di backup.
Ciao
Marco
Quando la Dialer0 perde la portante del provider si attiva la Ethernet 0 che dovrebbe fare le stesse politiche di nat della Dialer0. Purtroppo non mi succede così perchè quando la Ethernet 0 diventa up la access-list 135, riga 30, non venendo mai matchata non mi natta il traffico verso Internet e gli utenti delle rete locale non navigano.
Invece, per quanto riguarda la riga 20 delle 2 access-list, che è relativa ad una vpn site-to-site e che viene sempre matchata pari pari (lo si nota dal numero di matches) tutto funziona regolarmente quando si attiva l'interfaccia di backup.
Ciao
Marco
-
- n00b
- Messaggi: 1
- Iscritto il: gio 21 set , 2006 5:20 pm
Ciao,
puoi postare la configurazione per intero?
puoi postare la configurazione per intero?
-
- Cisco power user
- Messaggi: 101
- Iscritto il: ven 21 ott , 2005 10:47 am
- Contatta:
modifica la wildcard e vedrai fiumi di match