AlKov Опубликовано 24 мая, 2014 · Жалоба Cisco 1941 Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.2(2)T, RELEASE SOFTWARE (fc1) . Конфиг: ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.3 description management encapsulation dot1Q 3 ip address 192.168.6.133 255.255.252.0 ! interface GigabitEthernet0/0.7 description blocked users gateway encapsulation dot1Q 7 ip address 10.254.213.252 255.255.255.0 ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1000 encapsulation dot1Q 1000 ip address 11.22.33.129 255.255.255.252 ip policy route-map blocked_users ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip dns server ip route 0.0.0.0 0.0.0.0 10.254.213.253 ip route 192.168.2.0 255.255.255.0 192.168.7.254 ! ip access-list standard VTY_ACCESS permit 192.168.7.254 permit 192.168.2.0 0.0.0.255 deny any ! ip access-list extended blocked_users_acl permit tcp 11.22.33.128 0.0.0.3 any eq www ! ! route-map blocked_users permit 10 match ip address blocked_users_acl set ip next-hop 10.254.213.8 ! Border-2#sh route-map route-map blocked_users, permit, sequence 10 Match clauses: ip address (access-lists): blocked_users_acl Set clauses: ip next-hop 10.254.213.8 Nexthop tracking current: 0.0.0.0 10.254.213.8, fib_nh:0,oce:0,status:0 Policy routing matches: 0 packets, 0 bytes Конфигурация - Vlan-per-user, "белая" /30 подсеть. Хочу перенаправлять заблокированных на страничку с информацией о балансе (10.254.213.8). Не работает.. Клиент преспокойно ходит в Инет. На 10.254.213.8 tcpdump ни одного пакета от 11.22.33.130 (IP клиента) не попадает.. В логе: May 24 09:56:21.594: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=92.243.167.175, len 40, FIB policy rejected(no match) - normal forwarding May 24 09:56:22.162: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=92.243.167.175, len 40, FIB policy rejected(no match) - normal forwarding May 24 09:56:43.786: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 726, FIB policy rejected(no match) - normal forwarding May 24 09:56:43.818: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 40, FIB policy rejected(no match) - normal forwarding May 24 09:57:43.770: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 726, FIB policy rejected(no match) - normal forwarding May 24 09:57:43.798: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 40, FIB policy rejected(no match) - normal forwarding May 24 09:58:05.909: IP: s=11.22.33.130 (GigabitEthernet0/1.1000), d=213.180.193.247, len 40, FIB policy rejected(no match) - normal forwarding Что не так?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 24 мая, 2014 · Жалоба Интересная задачка, никогда до такого не опускался думаю дело в ACL permit tcp 11.22.33.128 0.0.0.3 any eq www матчится tcp, попробовать удалить и сделать просто ip permit ip 11.22.33.128 0.0.0.3 any Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 25 мая, 2014 · Жалоба матчится tcp, попробовать удалить и сделать просто ip permit ip 11.22.33.128 0.0.0.3 any Не помогает. Пакет от пользователя явно не попадает в ацл. ACL пробовал даже permit ip any any - результат аналогичный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 25 мая, 2014 (изменено) · Жалоба Вообще какая-то чертовщина... Независимо от действия правила в acl (permit/deny) не работает, но если в route-map указать несуществующий acl, или тупо удалить "правильный" acl, или убрать match, то весь трафик начинает заворачиваться на next-hop.. Ничего не понимаю... P.S. И вообще, с ACL какие-то непонятки. Например, если повесить на in Gi0/1.1000 interface GigabitEthernet0/1.1000 encapsulation dot1Q 1000 ip address 11.22.33.129 255.255.255.252 ip access-group 121 in вот такой ACL access-list 121 permit ip host 11.22.33.130 any access-list 121 deny ip any any ! , трафик от клиента (11.22.33.130) полностью блокируется.. Изменено 26 мая, 2014 пользователем AlKov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 26 мая, 2014 · Жалоба Мдааа.. Будь проклят тот день, когда я сел за баранку этого пылесоса!! (с) "Кавказская пленница". Вообщем, заканчивая лирическое отступление хочу сообщить, что дело было, как это не прискорбно для такого крутого вендора, в банально кривом IOS.. Залил другой, первый попавшийся в гугле, и всё чудесным образом заработало.. Говорила же мне мама - не гонись за цисками, бери дилинк! Не всё золото, что блестит! :-) P.S. С редиректом проблема решилась. Осталось совсем чуть-чуть - как бы объяснить циске отправлять всё на порт 8088? На Linux делаю сие элементарно - iptables -t nat -A PREROUTING -p tcp -s 11.22.33.128/30 -m multiport --dport 80,443,3128,8080 -j DNAT --to-destination 10.254.213.8:8088 Каким образом реализуется это на циске и реализуемо ли вообще? Предполагаю, что с помощью "static nat", но пока не вкурю, как конкретно.. Господа цисководы, поделитесь пожалуйста, проверенным решением! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 26 мая, 2014 · Жалоба ну в гугле же первая ссылка по запросу cisco ios port forwarding https://supportforums.cisco.com/discussion/11786016/ios-port-forwarding-commands-port-forwarding Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 27 мая, 2014 (изменено) · Жалоба ну в гугле же первая ссылка по запросу cisco ios port forwarding https://supportforums.cisco.com/discussion/11786016/ios-port-forwarding-commands-port-forwarding Вроде не мой случАй там.. Во всяком случае, то что хотелось, не получилось. А получился конфликт IP (10.254.213.8)... :-( Или банально кривой /dev/hands ? :-) P.S. Вот вроде нашел на sysadmins.ru ответ на мой вопрос systemroot у Cisco есть route-map metaler Если вам не надо переписывать порт' date=' тогда простой route-map справится [b']Если вы именно хотите переписать еще и порт, тогда надо строить конструкцию с NAT через Loopback и route-map[/b] А вот как это реализовать, не вкуриваю.. Слишком мало опыта общения с cisco.. :( Изменено 27 мая, 2014 пользователем AlKov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 27 мая, 2014 · Жалоба На некоторых прошивках есть глюк с acl, если acl даешь remark, она становиться не рабочей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...