Aleksey Sosnin wrote:
> > Коллеги, не встречался ли кто с таким фактом, что netflow пакеты,
> > экспортируемые с Cisco, попадают под ACL?
> >
> > Jun 19 11:20:40 <local5.info> gateway.tomsk.su 212: %SEC-6-IPACCESSLOGP:
>list PROTECT_SERVERS denied udp 213.59.238.2(56997) -> 213.59.238.25(9991), 1
>packet
> >
> > Насколько я понимаю, пакеты, порожденные самим роутером, ни при каких
> > условиях под ACL попадать не должны? 213.59.238.2/26 - это сама кошка
> > 3662, IOS 12.2(5a). Баг или фича?
> На то он и ACL, чтобы под него все попадало.
Нет, я уже цитировал учебник в ответе Alexander Trotsai.
> Вы, случайно, с ip accounting
> не путаете? Там действительно не учитываются пакеты сгенеренные самой
> киской.
Поставьте эксперимент, если мне не верите. Packets locally generated
on the router под access-list не попадают.
А вот некоторые детали проблемы:
Flow export is enabled
Exporting flows to 213.59.238.25 (9991)
Exporting using source IP address 213.59.238.2
Version 5 flow records
312783 flows exported in 10427 udp datagrams
0 flows failed due to lack of export packet
4200 export packets were sent up to process level
0 export packets were dropped due to no fib
0 export packets were dropped due to adjacency issues
0 export packets were dropped due to fragmentation failures
0 export packets were dropped due to encapsulation fixup failures
Jun 19 15:19:22 <local5.info> gateway.tomsk.su 2195: %SEC-6-IPACCESSLOGP: list
PROTECT_SERVERS permitted udp 213.59.238.2(56997) -> 213.59.238.25(9991), 135
packets
Jun 19 15:24:22 <local5.info> gateway.tomsk.su 2196: %SEC-6-IPACCESSLOGP: list
PROTECT_SERVERS permitted udp 213.59.238.2(56997) -> 213.59.238.25(9991), 136
packets
По-моему, это ненормально.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
