Jump to content

Cisco PBR на заглушку

h1vs2
 Share

Recommended Posts

h1vs2

h1vs2

Posted
Posted

Добрый день!

 

Есть в одном укромном месте 3560. Использую ip unnumbered и vlan на дом. Назрела необходимость через PBR залоченых юзеров перенаправлять на заглушку. Если вешаю route-map на абонентский VLAN - на заглушку попадают все.

 

 

!
interface Loopback2
description ipunn_network
ip address aa.aa.aa.250 255.255.254.0
no ip redirects
no ip unreachables
!
!
interface Vlan1300
description vlantest_1
ip unnumbered Loopback2
ip helper-address aa.aa.aa.253
ip policy route-map BLOCKED
ip route-cache policy
!
!
access-list 198 dynamic BADBOYS permit ip any any
access-list 198 deny   ip any any
!
!
route-map BLOCKED permit 10
match ip address 198
set ip next-hop zz.zz.zz.1
!

 

#sh access-lists 198
Extended IP access list 198
   10 Dynamic BADBOYS permit ip any any
   10   permit ip host aa.aa.aa.14 any (1 match)
   100 deny ip any any

 

Подозреваю, что дело в dynamic acl. Потому, что когда тестил через standart вида: permit ip - все было нормально.

 

Подскажите пожалуйста.

h1vs2

h1vs2

Posted
  • Author
Posted

Сам спросил - сам ответил. Через dynamic acl - никак.

 

Попадает в правило :

access-list 198 dynamic BADBOYS permit ip any any

У циски недоработка в это плане.

 

Сделал костылем через обычные ACL.

Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит.

kww

kww

Posted
Posted

Сам спросил - сам ответил. Через dynamic acl - никак.

 

Попадает в правило :

access-list 198 dynamic BADBOYS permit ip any any

У циски недоработка в это плане.

 

Сделал костылем через обычные ACL.

Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит.

Примерчик приведите пожалуйста ...

Тоже похожая проблема.

h1vs2

h1vs2

Posted
  • Author
Posted

Сам спросил - сам ответил. Через dynamic acl - никак.

 

Попадает в правило :

access-list 198 dynamic BADBOYS permit ip any any

У циски недоработка в это плане.

 

Сделал костылем через обычные ACL.

Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит.

Примерчик приведите пожалуйста ...

Тоже похожая проблема.

Да собственно и приводить нечего

Костыль генерит с биллинга конфиг вида: 

no access-list 55
access-list 55 permit host IP
и тд..

и по tftp мержится к циске

 

Единственное, что добавил - permit на левых хост, иначе, как и писал выше - при пустом туда попадают все.

Привожу кусок конфига :

!
interface Vlan1301
description nameA
ip unnumbered Loopback2
ip helper-address xx.xx.xx.253
ip route-cache policy
ip policy route-map BLOCKED
arp timeout 300
!
interface Vlan1302
description nameB
ip unnumbered Loopback2
ip helper-address xx.xx.xx.253
ip route-cache policy
ip policy route-map BLOCKED
arp timeout 300
!
и тд...
route-map BLOCKED permit 10
match ip address 55
set ip next-hop yy.yy.yy.1
!
access-list 55 permit 10.11.11.11 - это и есть тот самый левый
access-list 55 permit xx.xx.xx.12
и тд
!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.