route-map deny sequence

[kefear]

Zgodnie z tym co znalazłem to:

If the route map is being used for policy routing and a packet matches a statement with a deny action, the packet is not policy routed but is passed back to the normal routing process for forwarding.

W związku z tym mam pytanie:
Co dzieje się z pakietem, który nie jest "zmatchowany" ? Przechodzi do następnego sequence number ? A jeżeli nie ma nic dalej jest przekazywany do procesu routingu ?
Proszę o skorygowanie jeżeli się mylę
Pozdrawiam

[f2048r]

Moim zdaniem jest tak jak mowisz, pakiet jest obsługiwany wówczas według wpisów w tablicy routingu.

[miro20]

Jezeli jest match na deny to routuje wedlug tablicy , jezzeli permit do -> set , jezeli nic nie trafi to na koncu i tak masz deny

[kefear]

No właśnie chodzi mi szczególnie o przypadek kiedy route-map jest ustawiony na deny i pakiet przychodzący nie pasuje do żadnej ACL w tejże route mapie.

[dzogurt]

W takim przypadku jak piszesz, jesli masz deny i pakiet nie pasuje do zadnej aclki w match a na koncu nie dasz sequence permit any any to automatycznie na koncu jest sequence jak w ACL deny any any. Pakiet zostanie zablokowany. Dlatego tworzac route-map dla konkretnego ruchu, powinienes dac permit any any na koncu takiej route-mapy zeby przepuscic tez pozostaly ruch.

[kefear]

W takim przypadku jak piszesz, jesli masz deny i pakiet nie pasuje do zadnej aclki w match a na koncu nie dasz sequence permit any any to automatycznie na koncu jest sequence jak w ACL deny any any. Pakiet zostanie zablokowany. Dlatego tworzac route-map dla konkretnego ruchu, powinienes dac permit any any na koncu takiej route-mapy zeby przepuscic tez pozostaly ruch.

Zablokowany w sensie zdropowany ?

[dzogurt]

tak, zostanie zdropowany

[lukaszbw]

Ruch nie zostanie zdropowany jeżeli robisz policy based routing. Dodawanie ostatniego wpisu jako permit jest popularne przy routing policy przykładowo gdy dodajesz route-map jako filtr do BGP, wówczas deny oznacza filtrowanie prefixu.

W przypadku PBR (czyli jak dodajesz route-map do ip policy route-map na interface), ruch oznaczony deny lub nieoznaczony poleci według tego co masz w tablicy routingu. PBR nie służy do blokowania ruchu, no chyba, że dasz set interface null0.

[dzogurt]

to juz teraz sam sie potracilem. U mnie pozostaly ruch, ktory nie jest machtowany nie przechodzi jesli nie ma seq permit na koncu...

[kefear]

OK. Czyli w moim wypadku gdybym chcial robic policy routing w taki sposob , aby nie sprawdzal pakietow smtp i domain po blackliscie to mozna to zrobic w taki sposob:

Kod: Zaznacz cały

route-map mapa, deny, sequence 10
Match clauses: match ip address SMTP_DNS
Set clauses:
route-map mapa, permit, sequence 20
Match clauses: match ip address BLACKLIST
Set clauses: set interface null 0

gdzie SMTP_DNS to ACL:

Kod: Zaznacz cały

permit tcp any any eq smtp
permit udp any any eq domain

a BLACKLIST to blacklista na jakies ipki

Kod: Zaznacz cały

permit ip x.x.x.x y.y.y.y any 
...

Wówczas jeśli wchodzi pakiet z portem źródłowym lub docelowym STMP lub DNS jes matchowany na numerze sekwencyjnym 10 i nie jest sprawdzana dwudziestka. Natomiast jeśli jest to pakiet inny to jest przekazywany do numeru sekwencyjnego 20 tak ?
To że set clause w seq10 jest puste nie ma tutaj znaczenia ?

[lukaszbw]

Przy route-map deny, set clause nie ma znaczenia. Ruch po prostu nie jest oznaczany i leci według tego co w tablicy routingu. Czyli tak jak piszesz, ruch smtp i domain poleci niezależnie od tego co dasz w sequence 20.

Tak czy inaczej, nie ma sensu mieszać i użyć ACL do tego. Tym bardziej, że route-map na pewno nie będzie bardziej wydajna niż ACL. Dodatkowo set interface nie jest wspierane przez wiele platform.