problem (chyba) z CBACiem
Use the show ip inspect session and show ip access lists commands to verify CBAC operation. These commands display the dynamic ACL entries and the established connections for a multimedia session.
problem w tym ze u mnie tych dynamicznych wpisow nie widac...The following example illustrates the result of the show ip access-list command. It shows that two dynamic entries (permit statements) were added to ACL 100
ten drugi cytat tez dotyczy CBACa, oba z security configuration guide 12.4
Ostatnio zmieniony 05 lis 2005, 17:15 przez em_er, łącznie zmieniany 1 raz.
state table jest i ona wlasnie reguluje tworzenie wpisow w aclkach
CBAC dynamically creates and deletes access list entries at the firewall interfaces, according to the information maintained in the state tables. These access list entries are applied to the interfaces to examine traffic flowing back into the internal network. These entries create temporary openings in the firewall to permit only traffic that is part of a permissible session.
wlasnie
bredzisz cos...
a softu bardziej wywalonego nie znajadziesz: :c2600-adventerprisek9_ivs-mz.124-4.T1.bin
bredzisz cos...
Kod: Zaznacz cały
BB1#sh ip nbar RE
BB1#sh ip nbar REsources
% Error: NBAR has not been activated
BB1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
BB1(config)#in fa0/0
BB1(config-if)#ip nb
BB1(config-if)#ip nbar pro
BB1(config-if)#ip nbar protocol-discovery
BB1(config-if)#^Z
BB1#sh ip nbar REsources
NBAR memory usage for tracking Stateful sessions
Max-age : 120 secs
Initial memory : 2351 KBytes
Max initial memory : 7837 KBytes
Memory expansion : 68 KBytes
Max memory expansion : 68 KBytes
Memory in use : 2351 KBytes
Max memory allowed : 15675 KBytes
Active links : 0
Total links : 34577
co oznacza ze to nie odpala funkcjonalnosci nbara stricte - jest tylko do statystyk - nie wiem dokladnie jak dziala sh ip nbar resources - ale nie sadze zeby ten blad byl oznaka ze nbarem jest cos nie takProtocol discovery can be used to monitor both input and output traffic and may be applied with or without a service policy enabled
A CCIE does not necessarily make someone a good engineer. NOT having a CCIE does not necessarily make someone a bad engineer (or not as good). All we can do is strive to make ourselves individually better! (SM)
szkoda ze nie zacytowales calosci...
Usage Guidelines
Use the ip nbar protocol-discovery command to configure NBAR to keep traffic statistics for all protocols known to NBAR. Protocol discovery provides an easy way to discover application protocols transiting an interface so that QoS policies can be developed and applied. The Protocol Discovery feature discovers any protocol traffic supported by NBAR. Protocol discovery can be used to monitor both input and output traffic and may be applied with or without a service policy enabled.
czytalem dokladnie ten opis... nadal nie widze zwiazku
z tego co pamietam jak testowalem nbara - discovery bylo zbedne do funkcjonalnosci nbara ... zreszta potwierdzaja to na GS oraz ludzie oceniajacy laba
z tego co pamietam jak testowalem nbara - discovery bylo zbedne do funkcjonalnosci nbara ... zreszta potwierdzaja to na GS oraz ludzie oceniajacy laba
A CCIE does not necessarily make someone a good engineer. NOT having a CCIE does not necessarily make someone a bad engineer (or not as good). All we can do is strive to make ourselves individually better! (SM)
Z moich obserwacji wychodzi, że na 2600XM w sofcie 12.2 było widać te dynamiczne wpisy w ACL, po update do jakiegoś 12.3 wpisy zniknęły, ale sam CBAC działa (sh ip ins ses)em_er pisze:no wiec wyglada na to ze polecenie sh access-l powinno wywalic zarowno wpisy wprowadzone statycznie jak i te dynamicznie utworzone przez CBACa. niestety w tym przypadku wpisy dynamiczne sie nie pojawiaja.
mozna by wiec wnioskowac ze jakakolwiek komunikacja bedzie nie mozliwa a jednak...cos tam dziala, powoli ale jakas komunikacja jest.
What the fuck?
Rzowiązywanie problemu zacząłbym od początku, mniej więcej w takiej kolejności:
- sam routing, bez acl, nat i cbac 0 musi śmigać,
- dorzucasz nat - też musi smigać
- dorzucasz acl na int zewn na in, uwzględniając ruch powrotny (np, permit tcp any eq 80 host Twoje_IP lub cosik z established) - też musi śmigać
- robisz prostego inspecta dla tcp/udp/icmp, zarzucasz na zewnętrzny interface routera na out, no modernizujesz acl, usuwając wpisy dla ruchu powrotnego
(ip inspect name INSPECT1 tcp
ip inspect name INSPECT1 udp
ip inspect name INSPECT1 icmp)
- jak jest potrzeba to w międzyczasie dorabiasz sobie vpn
Odpalałem coś takiego (taki kombajn ze wszystkim) niedawno na 18xx i śmigało, że aż miło
Ewentualnie jak nie będzie Ci działało wg mojego przepisu®, spróbuj IOS update, bo cudów nie ma
No nie zapomnij też o "magicznych" właściwościach wykrywania i usuwania problemów przez użycie komend:
- logging console|monitor deb (ewentualnie buff i trap)
- deb ip insp
- deb ip nat
- last wpis w acl "deny ip any any log"
problem zostal juz jakis czas temu rozwiazany. trwalo to troche bo troubleshooting byl nieco utrudniony nie mialem dostepu zdalnego i wygladalo to na zasadzie:
rozmowa tel.
prosze wpisac: sh odpowiednia komenda
i co widac?
ciezko bylo sie dogadac wiec dopiero po jakims czasie okazalo sie ze w sieci siedzi sobie cos zlosliwego i nawiązuje tysiace sesji. okazalo sie ze to nat przyblokowal router. moj blad ze nie dopisalem nat translation max-entries...
co dziwne sh ip ins sess nie pokazywalo tych setek nawiazywanych sesji i to chyba troche mnie zmylilo.
soft w miedzy czsaqie byl upgradeowany. niestety nadal nie doszedlem do tego dlaczego brakuje dynamicznych wpisow w access listach...
rozmowa tel.
prosze wpisac: sh odpowiednia komenda
i co widac?
ciezko bylo sie dogadac wiec dopiero po jakims czasie okazalo sie ze w sieci siedzi sobie cos zlosliwego i nawiązuje tysiace sesji. okazalo sie ze to nat przyblokowal router. moj blad ze nie dopisalem nat translation max-entries...
co dziwne sh ip ins sess nie pokazywalo tych setek nawiazywanych sesji i to chyba troche mnie zmylilo.
soft w miedzy czsaqie byl upgradeowany. niestety nadal nie doszedlem do tego dlaczego brakuje dynamicznych wpisow w access listach...
Zgodnie z tym co napisałemem_er pisze: soft w miedzy czsaqie byl upgradeowany. niestety nadal nie doszedlem do tego dlaczego brakuje dynamicznych wpisow w access listach...
jest najprawdopodobniej związane z tym jak to dana wersja IOS pokazuje.Z moich obserwacji wychodzi, że na 2600XM w sofcie 12.2 było widać te dynamiczne wpisy w ACL, po update do jakiegoś 12.3 wpisy zniknęły, ale sam CBAC działa (sh ip ins ses)
Sh ip inspect sess nie pokazywało CI za wiele sesji, bo NAT następuje wcześniej, a skoro osiągnął maksa to i inspect już nic nie widział. Zobacz sobie dokumencik NAT Order of Operation , a wszystko stanie się jasne.
Najważniejsze jednak, że w końcu zadziałało
co prawda sporo po czasie ale pomocne wiec dorzucilem ci punkcik przy wskazniku pomocy
dziwna sprawa z tymi dynamicznymi wpisami jeśli już zdecydowali sie to zmienić w nowszym sofcie to mogliby chociaz zamiescic jakies info przy dokumencie dotyczacym konfiguracji CBACa, bo wprowadza to w błąd.
BTW.
Seba, pisałeś że robiłeś taki "kombajn" na 18xx. co sądzisz o tego typu zabezpieczeniu dla mniejszych firm, ktore niekoniecznie maja $$ na sensowny router i sensownego firewalla? Klienci w mojej firmie to głównie ten segment właśnie i jak sie dowiaduja ze 10k na router i drugie tyle na firewalla to miękną troche.
dziwna sprawa z tymi dynamicznymi wpisami jeśli już zdecydowali sie to zmienić w nowszym sofcie to mogliby chociaz zamiescic jakies info przy dokumencie dotyczacym konfiguracji CBACa, bo wprowadza to w błąd.
BTW.
Seba, pisałeś że robiłeś taki "kombajn" na 18xx. co sądzisz o tego typu zabezpieczeniu dla mniejszych firm, ktore niekoniecznie maja $$ na sensowny router i sensownego firewalla? Klienci w mojej firmie to głównie ten segment właśnie i jak sie dowiaduja ze 10k na router i drugie tyle na firewalla to miękną troche.
Ogólnie jestem zwolennikiem rozdzielania funkcjonalności, przynajmniej częsciowego, ale u mnie raczej dla "większych" klientów się rzeźbi i nie ma z tym większego problemu.em_er pisze: Seba, pisałeś że robiłeś taki "kombajn" na 18xx. co sądzisz o tego typu zabezpieczeniu dla mniejszych firm, ktore niekoniecznie maja $$ na sensowny router i sensownego firewalla? Klienci w mojej firmie to głównie ten segment właśnie i jak sie dowiaduja ze 10k na router i drugie tyle na firewalla to miękną troche.
Ostatecznie jak trzeba to się odpala taki kombajn, ale staramy się tego unikać. Trzeba pamiętać, że Cisco i nie tylko, podaje pewne informacje związane z performance oddzielnie dla poszczególnych funkcjonalności, a zapinając routing, fw, nat, ids, vpn na jednym klocku może się okazać, że wszystko staje dęba. Dodatkowo jak wdrażasz kilka funkcjonalności równocześnie, to pojawiają się problemy wspołpracy poszczególnych funkcjonalności na pojedynczym klocku, każda z osobna działa wyśmienicie, ale połączenie wszystkiego, uwględniająć czasami dziwne oczekiwania klientów, może stać się koszmarkiem.
Chociaż z drugiej strony lepiej sprzedać "kombajn" niż nie sprzedać nic