отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .

Не работает access-list на интерфейсе

Не работает access-list на  интерфейсе

есть router 3925 c3900-universalk9-mz.SPA.154-3.M1.bin на нем поднять Gre over ipsec

на tunnel интерфейсе есть access-list на входящий трафик но он не работает, но на на 3825 c3725-adventerprisek9-mz124-25.bin работал.

 

спасибо

1 ОТВЕТ
Cisco Employee

Добрый день,Tunnel трафик

Добрый день,

Tunnel трафик приходит через какой-то физический интерфейс.
Если на нем есть так же Ingress ACL, в котором есть permit-ы,
то возможно проявление следующего дефекта:

CSCur01042 Deny ACL on tunnel bypassed if ACL on physical interface allows it
-----
Symptom:
Packets explicitly denied by an ACL at the Tunnel interface are allowed to enter as they were previously allowed by another ACL, based on the GRE headers, on the physical interface,

Conditions:
A router running a fixed version of CSCul68263.

The ACL is applied to the physical interface through which the tunnel gets created.

Workaround:
- Don't filter at the physical interface level
- Probably use another filtering method on the physical interface would work (policing with drop action or PBR with set null0 action) haven't tested it though.
-----

Финальное исправление есть в 15.2(04)M8 и будет в 15.4(3)M4.

Спасибо,
Сергей

 

 

39
Просмотры
5
Полезный материал
1
Ответы