Cisco 1941 не работает route-map

[AlKov]

Cisco 1941

Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.2(2)T, RELEASE SOFTWARE (fc1)

.

Конфиг:

!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.3
description management
encapsulation dot1Q 3
ip address 192.168.6.133 255.255.252.0
!
interface GigabitEthernet0/0.7
description blocked users gateway
encapsulation dot1Q 7
ip address 10.254.213.252 255.255.255.0
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1000
encapsulation dot1Q 1000
ip address 11.22.33.129 255.255.255.252
ip policy route-map blocked_users
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip route 0.0.0.0 0.0.0.0 10.254.213.253
ip route 192.168.2.0 255.255.255.0 192.168.7.254
!
ip access-list standard VTY_ACCESS
permit 192.168.7.254
permit 192.168.2.0 0.0.0.255
deny   any
!
ip access-list extended blocked_users_acl
permit tcp 11.22.33.128 0.0.0.3 any eq www
!
!
route-map blocked_users permit 10
match ip address blocked_users_acl
set ip next-hop 10.254.213.8
!

Border-2#sh route-map
route-map blocked_users, permit, sequence 10
 Match clauses:
   ip address (access-lists): blocked_users_acl
 Set clauses:
   ip next-hop 10.254.213.8
Nexthop tracking current: 0.0.0.0
10.254.213.8, fib_nh:0,oce:0,status:0

 Policy routing matches: 0 packets, 0 bytes

Конфигурация - Vlan-per-user, "белая" /30 подсеть. Хочу перенаправлять заблокированных на страничку с информацией о балансе (10.254.213.8).

Не работает.. Клиент преспокойно ходит в Инет. На 10.254.213.8 tcpdump ни одного пакета от 11.22.33.130 (IP клиента) не попадает..

В логе:

May 24 09:56:21.594: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=92.243.167.175, len 40, FIB policy rejected(no match) - normal forwarding
May 24 09:56:22.162: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=92.243.167.175, len 40, FIB policy rejected(no match) - normal forwarding
May 24 09:56:43.786: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 726, FIB policy rejected(no match) - normal forwarding
May 24 09:56:43.818: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 40, FIB policy rejected(no match) - normal forwarding
May 24 09:57:43.770: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 726, FIB policy rejected(no match) - normal forwarding
May 24 09:57:43.798: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 40, FIB policy rejected(no match) - normal forwarding
May 24 09:58:05.909: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 40, FIB policy rejected(no match) - normal forwarding

Что не так??

[zi_rus]

Интересная задачка, никогда до такого не опускался

думаю дело в ACL

permit tcp 11.22.33.128 0.0.0.3 any eq www

матчится tcp, попробовать удалить и сделать просто ip

permit ip 11.22.33.128 0.0.0.3 any

[AlKov]

матчится tcp, попробовать удалить и сделать просто ip

permit ip 11.22.33.128 0.0.0.3 any

Не помогает. Пакет от пользователя явно не попадает в ацл.

ACL пробовал даже permit ip any any - результат аналогичный.

[AlKov]

Вообще какая-то чертовщина...

Независимо от действия правила в acl (permit/deny) не работает, но если в route-map указать несуществующий acl,

или тупо удалить "правильный" acl, или убрать match, то весь трафик начинает заворачиваться на next-hop..

Ничего не понимаю...

 

P.S. И вообще, с ACL какие-то непонятки. Например, если повесить на in Gi0/1.1000

interface GigabitEthernet0/1.1000
encapsulation dot1Q 1000
ip address 11.22.33.129 255.255.255.252
ip access-group 121 in

вот такой ACL

access-list 121 permit ip host 11.22.33.130 any
access-list 121 deny   ip any any
!

, трафик от клиента (11.22.33.130) полностью блокируется..

Edited May 26, 2014 by AlKov

[AlKov]

Мдааа.. Будь проклят тот день, когда я сел за баранку этого пылесоса!! (с) "Кавказская пленница".

Вообщем, заканчивая лирическое отступление хочу сообщить, что дело было, как это не прискорбно для такого крутого вендора, в банально кривом IOS..

Залил другой, первый попавшийся в гугле, и всё чудесным образом заработало..

Говорила же мне мама - не гонись за цисками, бери дилинк! Не всё золото, что блестит! :-)

 

P.S. С редиректом проблема решилась. Осталось совсем чуть-чуть - как бы объяснить циске отправлять всё на порт 8088?

На Linux делаю сие элементарно -

iptables -t nat -A PREROUTING -p tcp -s 11.22.33.128/30 -m multiport --dport 80,443,3128,8080 -j DNAT --to-destination 10.254.213.8:8088

Каким образом реализуется это на циске и реализуемо ли вообще?

Предполагаю, что с помощью "static nat", но пока не вкурю, как конкретно..

Господа цисководы, поделитесь пожалуйста, проверенным решением!

[s.lobanov]

ну в гугле же первая ссылка по запросу cisco ios port forwarding https://supportforums.cisco.com/discussion/11786016/ios-port-forwarding-commands-port-forwarding

[AlKov]

ну в гугле же первая ссылка по запросу cisco ios port forwarding https://supportforums.cisco.com/discussion/11786016/ios-port-forwarding-commands-port-forwarding

Вроде не мой случАй там.. Во всяком случае, то что хотелось, не получилось.

А получился конфликт IP (10.254.213.8)... :-(

Или банально кривой /dev/hands ? :-)

 

P.S. Вот вроде нашел на sysadmins.ru ответ на мой вопрос

systemroot

 

у Cisco есть route-map

 

metaler

Если вам не надо переписывать порт' date=' тогда простой route-map справится

[b']Если вы именно хотите переписать еще и порт, тогда надо строить конструкцию с NAT через Loopback и route-map[/b]

А вот как это реализовать, не вкуриваю.. Слишком мало опыта общения с cisco.. :(

Edited May 27, 2014 by AlKov

[FATHER_FBI]

На некоторых прошивках есть глюк с acl, если acl даешь remark, она становиться не рабочей.