Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 10:16



Ответить на тему  [ Сообщений: 3 ] 
ACL и 2 ISP 
Автор Сообщение

Зарегистрирован: 30 июл 2018, 17:09
Сообщения: 5
Добрый день.Есть роутер 3845 и к нему подключены 2 провайдера через свитч (cisco 2960(vlan 2 и 3)).

Имеем:

1)Резервирование второго провайдера через ip sla

2)На WAN (vlan 2 и 3) интерфейсах висят ACL (на in и out)

Проблема:

Если включено 2 интерфейса vlan 2 и 3, то замечаю в Nat трансляции следующее (Трансляций такого рода много, ниже представлен всего один из них)

x.x.x.x - первый провайде

y.y.y.y - второй провайдер

5.188.10.180 - Неизвестный мне ip

tcp x.x.x.x:22 y.y.y.y:22 5.188.10.180:37744 5.188.10.180:37744

Получается что ACL не отрабатывает.



Мой ACL

Extended IP access list inet_in
10 deny tcp any any eq 22 telnet (784 matches)
20 deny udp any any eq 22 23
30 deny tcp any eq 22 telnet any
40 deny udp any eq 22 23 any
50 deny tcp any any eq 22
60 deny tcp any any eq telnet

70 permit icmp host 8.8.8.8 any

80 deny ip any any log



Extended IP access list inet_out
10 deny tcp any eq 22 telnet any
20 deny udp any eq 22 23 any
30 deny tcp any any eq 22 telnet
40 deny udp any any eq 22 23

50 permit icmp any host 8.8.8.8 log

60 deny ip any any log



Настройка интерфейсов

interface GigabitEthernet0/1.2
description ##WAN##
encapsulation dot1Q 2
ip address x.x.x.x
ip access-group inet_in in
ip access-group inet_out out
ip flow ingress
ip flow egress
ip nat outside

interface GigabitEthernet0/1.3
description ##WAN_2##
encapsulation dot1Q 3
ip address y.y.y.y

ip access-group inet_in in
ip access-group inet_out out

ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly in



Собственно вопрос - Почему не отрабатывает ACL,как заставить дропать ненужный трафик при одновременно включенном интерфейсе второго провайдера.


09 окт 2018, 12:09
Профиль

Зарегистрирован: 16 фев 2018, 18:46
Сообщения: 16
Я бы разделил так

ip acce ext in_conn_xx
per tcp any host x.x.x.x estab
per udp host 8.8.8.8 eq dom host x.x.x.x
per <ваши вхождения> host x.x.x.x
1000 den ip any any log
тоже самое для 2-ого провайдера

Исходящий acl, имхо, лишнее.


16 окт 2018, 13:32
Профиль

Зарегистрирован: 12 июл 2012, 17:44
Сообщения: 841
А мне одному кажется, что указанные ACL никакой полезный трафик вообще не пропускают?
Кроме того я не увидел, что на втором сабынте используется NAT.


18 окт 2018, 16:58
Профиль WWW
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 3 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 63


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB