Jump to content
Калькуляторы

Cisco ASR1001X - вопрос по ACL

Есть BRAS ASR1001X, на котором терминируются абоненты по PPPoE.

Абонентам выделяется публичный IP, у абонентов с отрицательным балансом сильно лимитируется скорость.

Внезапно выяснилось, что у абонентов, терминируемых на данном BRAS, отсутствует доступ к домофонному серверу.

Домофонный сервер имеет IP-адрес AAA.BBB.CCC.197. С ним нормально работают пользователи из внешних сетей (абоненты других операторов связи) и абоненты на других BRAS. Да и на данном BRAS, если включить VPN, тоже работают.

 

На BRAS примерно такая конфигурация:

hostname BRAS15-ASR1001X
...
class-map type traffic match-any LOCAL
 match access-group input name LOCAL-IN
 match access-group output name LOCAL-OUT
!
class-map type traffic match-any INTERNET
 match access-group input name PUBLIC-IN
 match access-group output name PUBLIC-OUT
!
class-map type traffic match-any NO-MONEY
 match access-group input name EXTERNAL-WEB
!
class-map type control match-all CLS-USERDROP
 match timer 5min 
 match authen-status unauthenticated 
!
!
class-map match-any NO-MONEY
policy-map type service LOCAL-ACCT
 class type traffic LOCAL
  accounting aaa list PPPOE
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service INTERNET-ACCT
 class type traffic INTERNET
  accounting aaa list PPPOE
 !
 class type traffic default in-out
  drop
 !
!
policy-map type service NO-MONEY-REDIRECT
 class type traffic NO-MONEY
  redirect to group NO-MONEY
 !
...
interface Virtual-Template1
 mtu 1492
 ip unnumbered Loopback1
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 peer default ip address pool CLIENT-PPP
 ppp authentication pap PPPOE
 ppp authorization PPPOE
 ppp accounting PPPOE
 ppp timeout idle 60
!
interface BDI400
 no ip address
 vlan-range dot1q 400 499
  pppoe enable group global
 !
...
ip access-list extended EXTERNAL-WEB
 deny   ip any AAA.BBB.ZZZ.0 0.0.0.127
 permit tcp any any eq www 443
ip access-list extended LOCAL-IN
 permit icmp any AAA.BBB.ZZZ.0 0.0.0.127
 permit tcp any host AAA.BBB.ZZZ.1 eq domain
 permit tcp any host AAA.BBB.ZZZ.124 eq domain
 permit tcp any host AAA.BBB.ZZZ.100 eq www 443 8080
ip access-list extended LOCAL-OUT
 permit ip AAA.BBB.ZZZ.0 0.0.0.127 any
ip access-list extended PUBLIC-IN
 deny   ip any 10.0.0.0 0.255.255.255
 deny   ip any 172.16.0.0 0.15.255.255
 deny   ip any 192.168.0.0 0.0.255.255
 permit ip any any
ip access-list extended PUBLIC-OUT
 deny   ip 10.0.0.0 0.255.255.255 any
 deny   ip 172.16.0.0 0.15.255.255 any
 deny   ip 192.168.0.0 0.0.255.255 any
 permit ip any any
ip access-list extended VPN-IN
 permit icmp any AAA.BBB.ZZZ.0 0.0.0.127
 permit tcp any host AAA.BBB.ZZZ.1 eq domain
 permit tcp any host AAA.BBB.ZZZ.124 eq domain
 permit tcp any host AAA.BBB.ZZZ.100 eq www 443 8080
 permit gre any AAA.BBB.XXX.0 0.0.0.255
 permit tcp any AAA.BBB.XXX.0 0.0.0.255 eq 1723
ip access-list extended VPN-OUT
 permit ip AAA.BBB.ZZZ.0 0.0.0.127 any
 permit gre AAA.BBB.XXX.0 0.0.0.255 any
 permit tcp AAA.BBB.XXX.0 0.0.0.255 eq 1723 any
ip access-list extended WAN_ACCESS
 permit icmp any host AAA.BBB.ZZZ.247 echo
 permit icmp any host AAA.BBB.ZZZ.247 echo-reply
 permit icmp any host AAA.BBB.ZZZ.247 ttl-exceeded
 deny   ip any host AAA.BBB.ZZZ.247
 permit ip any any

IP-адреса и подсети:

AAA.BBB.ZZZ.1, AAA.BBB.ZZZ.124 - операторский DNS
AAA.BBB.ZZZ.100 - личный кабинет (веб-сервер)
AAA.BBB.XXX.0/0.0.0.255 - специальная подсеть, в которой разрешен VPN PPTP
AAA.BBB.ZZZ.247 - транспортный интерфейс BRAS
 

AAA.BBB.CCC.197 в списках не фигурирует, но по идее к нему доступ и не должен ограничиваться.

С самого BRAS этот адрес доступен.

Однако для абонентов BRAS этот адрес почему-то недоступен.

Share this post


Link to post
Share on other sites

1 час назад, alibek сказал:

Однако для абонентов BRAS этот адрес почему-то недоступен

недоступен - как?
пинг, трейс, телнет на 80/443? 
Банально, но проверяли сами или со слов абонента? 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.