h1vs2 Опубликовано 7 февраля, 2012 · Жалоба Добрый день! Есть в одном укромном месте 3560. Использую ip unnumbered и vlan на дом. Назрела необходимость через PBR залоченых юзеров перенаправлять на заглушку. Если вешаю route-map на абонентский VLAN - на заглушку попадают все. ! interface Loopback2 description ipunn_network ip address aa.aa.aa.250 255.255.254.0 no ip redirects no ip unreachables ! ! interface Vlan1300 description vlantest_1 ip unnumbered Loopback2 ip helper-address aa.aa.aa.253 ip policy route-map BLOCKED ip route-cache policy ! ! access-list 198 dynamic BADBOYS permit ip any any access-list 198 deny ip any any ! ! route-map BLOCKED permit 10 match ip address 198 set ip next-hop zz.zz.zz.1 ! #sh access-lists 198 Extended IP access list 198 10 Dynamic BADBOYS permit ip any any 10 permit ip host aa.aa.aa.14 any (1 match) 100 deny ip any any Подозреваю, что дело в dynamic acl. Потому, что когда тестил через standart вида: permit ip - все было нормально. Подскажите пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 8 февраля, 2012 · Жалоба UP Коллеги, нет идей никаких ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 10 февраля, 2012 · Жалоба Сам спросил - сам ответил. Через dynamic acl - никак. Попадает в правило : access-list 198 dynamic BADBOYS permit ip any any У циски недоработка в это плане. Сделал костылем через обычные ACL. Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 10 февраля, 2012 · Жалоба Сам спросил - сам ответил. Через dynamic acl - никак. Попадает в правило : access-list 198 dynamic BADBOYS permit ip any any У циски недоработка в это плане. Сделал костылем через обычные ACL. Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит. Примерчик приведите пожалуйста ... Тоже похожая проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h1vs2 Опубликовано 10 февраля, 2012 · Жалоба Сам спросил - сам ответил. Через dynamic acl - никак. Попадает в правило : access-list 198 dynamic BADBOYS permit ip any any У циски недоработка в это плане. Сделал костылем через обычные ACL. Причем если акссесс лист пустой - в роут мап попадают тоже все. Пришлось добавить левый пермит. Примерчик приведите пожалуйста ... Тоже похожая проблема. Да собственно и приводить нечего Костыль генерит с биллинга конфиг вида: no access-list 55 access-list 55 permit host IP и тд.. и по tftp мержится к циске Единственное, что добавил - permit на левых хост, иначе, как и писал выше - при пустом туда попадают все. Привожу кусок конфига : ! interface Vlan1301 description nameA ip unnumbered Loopback2 ip helper-address xx.xx.xx.253 ip route-cache policy ip policy route-map BLOCKED arp timeout 300 ! interface Vlan1302 description nameB ip unnumbered Loopback2 ip helper-address xx.xx.xx.253 ip route-cache policy ip policy route-map BLOCKED arp timeout 300 ! и тд... route-map BLOCKED permit 10 match ip address 55 set ip next-hop yy.yy.yy.1 ! access-list 55 permit 10.11.11.11 - это и есть тот самый левый access-list 55 permit xx.xx.xx.12 и тд ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kww Опубликовано 10 февраля, 2012 · Жалоба Спасибо большое. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...