cisco ACL немає лічильника

У нас є кілька списків доступу, і всі вони відображаються для counter , але один список доступу не містить нічого.

C3850#show access-lists 101
Extended IP access list 101
    5 permit ip 101.142.61.0 0.0.0.255 any (7 matches)
    10 deny ip any any fragments
    20 permit ip any any (202593 matches)

Будь-яка ідея, чому 10 deny ip будь-які фрагменти не має протилежного? Я намагався відправити великий пакет, і він впав, але немає лічильника.

1
Чи допомогла вам будь-яка відповідь? Якщо це так, ви повинні прийняти відповідь, щоб питання не виникало вічно, шукаючи відповідь. Крім того, ви можете надати власну відповідь і прийняти її.
додано Автор Ron Maupin, джерело

1 Відповіді

(Це недавно з'явилося на DSLR.)

Це пов'язано з тим, як трафік обробляється. Оскільки перший фрагмент несе повну інформацію про шар-4, він не обробляється як фрагмент. Таким чином, він буде відповідати правилу 20, і для нього буде створено запис NAT/CEF/потоку, і всі наступні фрагменти не пройдуть через ACL - це частина вже встановленого потоку, який вже перевірено. Якщо ви не вимкнете маршрут-кеш-пам'ять - це призведе до перемикання всіх процесів пакетів (дуже, дуже погана ідея) - кожен окремий пакет не проходить через ACL.

3
додано
@RonMaupin, просто тому, що фрагменти завжди були частиною IP, не робить фрагментацію нормальною ... є деякі погані фрагментації IP-атак, які ви могли використовувати для відправлення на машину, яка повністю заблокувала його (ref " Нестіа атака "для linux, або" атака сльози "для Windows). Дотепно, Cisco відмовляється спалювати фрагментацію в ASIC, оскільки існує безліч неприємних кутів для обробки, і вони бояться, що вони будуть спалювати в уразливості системи безпеки ... це легко зробити патч IOS, ніж відправити комусь новий маршрутизатор до стійки
додано Автор Mun, джерело
У сучасному Інтернеті ви не повинні бачити фрагменти. Я використовую ip virtual-reassembly drop-fragments на всіх інтернет-інтерфейсах. Якщо ви не можете поговорити зі мною без вилучення фрагментів, то мені не потрібно говорити з вами. :-)
додано Автор Neall, джерело
Це зробить саме те, що ваш ACL намагається зробити (мінус лічильник). Це призведе до розриву зв'язку з тими, хто абсолютно повинен фрагментувати трафік, але ці люди розбиті, і мені все одно, що ми не можемо говорити. (коротше кажучи, це ніколи не викликає мене проблеми)
додано Автор Neall, джерело
@ Сатіш, фрагменти вбудовані в ДНК ІР з самого початку. Тільки тому, що yout-мережа отримує фрагменти ззовні, це не означає, що щось не так, або що хто-небудь кидає погано на вас. RFC 791, INTERNET PROTOCOL , саме визначення IP, Розділ 1.4. Оператор , перше пропозиція читає: " Інтернет-протокол реалізує дві основні функції: адресація та фрагментація . "
додано Автор Ron Maupin, джерело
чи є в будь-якому випадку я бачу який-небудь лічильник, тому що я хочу бачити лічильник, коли хтось кидає лайно на нашому каналі, щоб побачити, наскільки це погано?
додано Автор jim, джерело
Чи є які-небудь впливи за допомогою команди ip virtual-reassembly drop-fragments ? Як це працює і скинути фрагмент пакет?
додано Автор jim, джерело
Я мав на увазі, що це безпечно для використання, оскільки він зупинить весь трафік фрагментів незалежно від TCP або UDP .. ми отримуємо NTP, DNS, Chargen IP fragment атаки більшу частину часу.
додано Автор jim, джерело