на 3560 не работает динамик АКЛ

[weris]

Есть кошка -
Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(46)SE, RELEASE SOFTWARE

Есть проблема с динамическим списком доступа.

ДЕлаю так.

access-list 170 dynamic inet_out deny ip any any
access-list 170 permit ip any any

с удаленного хоста через rsh наполняю список адресами, которым нужно заблокировать интернет. список наполняется, все как надо.
    20 Dynamic inet_out deny ip any any
    20   deny ip host **.**.**.71 any
.......................
    20   deny ip host **.**.**.64 any
итд ...
access-list 170 permit ip any any

НО!
при включении данного АКЛ на интерфейс - ВСЕ пакеты лочатся, а не только те, что находятся в динамическом правиле.

если сделать наоборот -
access-list 170 dynamic inet_out permit ip any any
access-list 170 deny ip any any

- то все пакеты пропускаются, а не только те, что в динамическом списке.

причем пробовал по-разному,
АКЛ вешал и на интерфейс Vlan, и переводил порт в L3 (no switchport) - результат один,
либо всем разрешено, либо всем запрещено.
матчи в АКЛ странные ... выборочно на нескольких строках всего могут быть, могут только на последнем общем правиле ... случайным образом.

обычный, не динамический АКЛ - работает корректно.

исправимо ли это?

2й день бошка кипит ...

явного ответа работают ли динамик АКЛ на 3560 не нашел,
но команды есть - теоретически должно работать ... а не хочет.

[boombastic]

гыгы (простите вырвалось).
я эти грабли топтал.
Как говорится - RTFM внимательнее!

ftp://ciscodocs.tomsk.ru/cisco/gear/CAT35....conf.guide.pdf

страница 1041, Unsupported Commands in Cisco IOS Release 12.2(25)SEE

Unsupported Privileged EXEC Commands
access-template [access-list-number | name] [dynamic-name] [source] [destination] [timeout minutes]
clear access-template [access-list-number | name] [dynamic-name] [source] [destination].

Это было заявлено для 12.2.25SEE, поищи доку по своему релизу и смотри такой же раздел.
Скорее всего ничего не изменилось.

[weris]

угу, сенкс.
собственно я уже это понял ... только документального подтверждения не нашел сразу.

сделал через зад ... скриптом из базы по крону выдирается список лоченых ИП - проверяется с текущим, если поменялось -
пересоздается кусок конфига с отключением акл от интерфейса, обвлением акл, снова подключением к интерфейсу - и заливается на кошку ...
изврат конечно ... но работает.
надо норм рутер ставить ...

[boombastic]

Не вариант. Поверь мне (По опыту работы в Томтел)
1. Мало какой рутер сделает тебе производительность того же 3560 в плане чистый L3-forwarding.
Ну а те что смогут сделать такую производительность - стоят НЕмало.
2. практически было выяснено, что производительность любого роутера , начиная от 1700й до 7200й серий включительно, падает в 2-3 раза при обработке ACL > 2000 строк.
Отчасти, картину спасает Turbo QoS для 7200й, отчасти наличие PXF у них же.
но случае NPE-G1/NPE-G2 - PXF отсутствует.
Да и ВСЕ NSE объявлены EoL. Так что купишь тока б/у.

В свете всего этого - ACL лучше вешать на L3-свичах.
В 3560/3750 ты быстро упрёшься в потолок 2000 строк ёмкость TCAM для ACL.
Далее либо установка нескольких 3560, заливка на каждого свой ACL , и как следствие разруливание всех потоков трафика между этими 3560, либо покупка CAT4500/Sup4, либо CAT6500/SUP32.

[weris]

да тут сеточка, в 400 чел...

просто АКЛ скриптом целиком дергать - тоже некрасиво.
ибо применяется он не совсем мгновенно, и между -
int ...
no ip access-group

и до
int ...
ip access-group

проходит заметное время, секунды - но все же. нное кол-во пакетиков успеет пролететь ... да и от частых дерганий - опять же лишняя нагрузка.
юзверям не сидится спокойно - кто-нибудь постоянно инет дергает - приходится весь акл перезаливать

все таки динамик акл в моей ситуации был бы предпочтительным.
либо на внешку поставить писюк с фрихой, и дергать уже ипфв ... похоже так и придется сделать в итоге  факинг панталонэ

[boombastic]

просто АКЛ скриптом целиком дергать - тоже некрасиво.
ибо применяется он не совсем мгновенно, и между -
int ...
no ip access-group

и до
int ...
ip access-group

проходит заметное время, секунды - но все же. нное кол-во пакетиков успеет пролететь ...

Если дружить с языками програмирования - рассмотри другую схему.
Держишь 2 ACL (ACL_A & ACL_B)
ACL_A подвешен на интерфейс.
ACL_B формируется скриптом на основе ACL_A + все изменения в ACL_A прошедшие за требуемый интервал времени (скажем 5 минут)
спокойно без кипиша заливаешь в циску ACL_B и потом лёгкими командами:
int vlan X
no ip access-group $A
ip access-group $B

ставишь новый ACL  актуальным списком.
в следующий момент времени формируешь ACL_A на основе ACL_B плюс все изменения за последние 5 минут.
И так по циклу,меняешь ACL_A и ACL_B местами.

[weris]

о!
это идея.
сенкс! реализую без проблем.