Jump to content
Калькуляторы

Cisco PBR на заглушку

Добрый день!

 

Есть в одном укромном месте 3560. Использую ip unnumbered и vlan на дом. Назрела необходимость через PBR залоченых юзеров перенаправлять на заглушку. Если вешаю route-map на абонентский VLAN - на заглушку попадают все.

 

 

!
interface Loopback2
description ipunn_network
ip address aa.aa.aa.250 255.255.254.0
no ip redirects
no ip unreachables
!
!
interface Vlan1300
description vlantest_1
ip unnumbered Loopback2
ip helper-address aa.aa.aa.253
ip policy route-map BLOCKED
ip route-cache policy
!
!
access-list 198 dynamic BADBOYS permit ip any any
access-list 198 deny   ip any any
!
!
route-map BLOCKED permit 10
match ip address 198
set ip next-hop zz.zz.zz.1
!

 

#sh access-lists 198
Extended IP access list 198
   10 Dynamic BADBOYS permit ip any any
   10   permit ip host aa.aa.aa.14 any (1 match)
   100 deny ip any any

 

Подозреваю, что дело в dynamic acl. Потому, что когда тестил через standart вида: permit ip - все было нормально.

 

Подскажите пожалуйста.

Share this post


Link to post
Share on other sites

UP

Коллеги, нет идей никаких ?

Share this post


Link to post
Share on other sites

Сам спросил - сам ответил. Через dynamic acl - никак.

 

Попадает в правило :

access-list 198 dynamic BADBOYS permit ip any any

У циски недоработка в это плане.

 

Сделал костылем через обычные ACL.

Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит.

Share this post


Link to post
Share on other sites

Сам спросил - сам ответил. Через dynamic acl - никак.

 

Попадает в правило :

access-list 198 dynamic BADBOYS permit ip any any

У циски недоработка в это плане.

 

Сделал костылем через обычные ACL.

Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит.

Примерчик приведите пожалуйста ...

Тоже похожая проблема.

Share this post


Link to post
Share on other sites

Сам спросил - сам ответил. Через dynamic acl - никак.

 

Попадает в правило :

access-list 198 dynamic BADBOYS permit ip any any

У циски недоработка в это плане.

 

Сделал костылем через обычные ACL.

Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит.

Примерчик приведите пожалуйста ...

Тоже похожая проблема.

Да собственно и приводить нечего

Костыль генерит с биллинга конфиг вида:

no access-list 55
access-list 55 permit host IP
и тд..

и по tftp мержится к циске

 

Единственное, что добавил - permit на левых хост, иначе, как и писал выше - при пустом туда попадают все.

Привожу кусок конфига :

!
interface Vlan1301
description nameA
ip unnumbered Loopback2
ip helper-address xx.xx.xx.253
ip route-cache policy
ip policy route-map BLOCKED
arp timeout 300
!
interface Vlan1302
description nameB
ip unnumbered Loopback2
ip helper-address xx.xx.xx.253
ip route-cache policy
ip policy route-map BLOCKED
arp timeout 300
!
и тд...
route-map BLOCKED permit 10
match ip address 55
set ip next-hop yy.yy.yy.1
!
access-list 55 permit 10.11.11.11 - это и есть тот самый левый
access-list 55 permit xx.xx.xx.12
и тд
!

Share this post


Link to post
Share on other sites

Спасибо большое.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this