|
|
|
|
Страница 1 из 1
|
[ Сообщений: 3 ] |
|
Автор |
Сообщение |
snake4503
Зарегистрирован: 30 июл 2018, 17:09 Сообщения: 5
|
Добрый день.Есть роутер 3845 и к нему подключены 2 провайдера через свитч (cisco 2960(vlan 2 и 3)).
Имеем:
1)Резервирование второго провайдера через ip sla
2)На WAN (vlan 2 и 3) интерфейсах висят ACL (на in и out)
Проблема:
Если включено 2 интерфейса vlan 2 и 3, то замечаю в Nat трансляции следующее (Трансляций такого рода много, ниже представлен всего один из них)
x.x.x.x - первый провайде
y.y.y.y - второй провайдер
5.188.10.180 - Неизвестный мне ip
tcp x.x.x.x:22 y.y.y.y:22 5.188.10.180:37744 5.188.10.180:37744
Получается что ACL не отрабатывает.
Мой ACL
Extended IP access list inet_in 10 deny tcp any any eq 22 telnet (784 matches) 20 deny udp any any eq 22 23 30 deny tcp any eq 22 telnet any 40 deny udp any eq 22 23 any 50 deny tcp any any eq 22 60 deny tcp any any eq telnet
70 permit icmp host 8.8.8.8 any
80 deny ip any any log
Extended IP access list inet_out 10 deny tcp any eq 22 telnet any 20 deny udp any eq 22 23 any 30 deny tcp any any eq 22 telnet 40 deny udp any any eq 22 23
50 permit icmp any host 8.8.8.8 log
60 deny ip any any log
Настройка интерфейсов
interface GigabitEthernet0/1.2 description ##WAN## encapsulation dot1Q 2 ip address x.x.x.x ip access-group inet_in in ip access-group inet_out out ip flow ingress ip flow egress ip nat outside
interface GigabitEthernet0/1.3 description ##WAN_2## encapsulation dot1Q 3 ip address y.y.y.y
ip access-group inet_in in ip access-group inet_out out
ip flow ingress ip flow egress ip nat outside ip virtual-reassembly in
Собственно вопрос - Почему не отрабатывает ACL,как заставить дропать ненужный трафик при одновременно включенном интерфейсе второго провайдера.
|
09 окт 2018, 12:09 |
|
|
cloudcrab
Зарегистрирован: 16 фев 2018, 18:46 Сообщения: 16
|
Я бы разделил так
ip acce ext in_conn_xx per tcp any host x.x.x.x estab per udp host 8.8.8.8 eq dom host x.x.x.x per <ваши вхождения> host x.x.x.x 1000 den ip any any log тоже самое для 2-ого провайдера
Исходящий acl, имхо, лишнее.
|
16 окт 2018, 13:32 |
|
|
Black Fox
Зарегистрирован: 12 июл 2012, 17:44 Сообщения: 841
|
А мне одному кажется, что указанные ACL никакой полезный трафик вообще не пропускают? Кроме того я не увидел, что на втором сабынте используется NAT.
|
18 окт 2018, 16:58 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 3 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 80 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|
|