Phantom Lord Posted September 4, 2014 (edited) · Report post Здравствуйте! Коллеги, помогите пожалуйста. Имею cisco asr где терминируются pppoe сессии. Поставлена задача для ограничения доступа на определенные web сайты. По ip это не реально, т.к. у одного ресурса может быть 10-20 ip адресов. NAT не применять. Как быть ? Edited September 4, 2014 by Phantom Lord Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
himikrzn Posted September 4, 2014 · Report post "у меня ваз 2106, а мне поставили задачу, чтобы она ездила как bmw x6, как быть?" (С) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
darkagent Posted September 4, 2014 · Report post Cisco SCE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted September 4, 2014 · Report post https://supportforums.cisco.com/ru/discussion/11787181 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Phantom Lord Posted September 10, 2014 (edited) · Report post Помогите плиз настроить wccp + прозрачный squid. На asr роутере терминируются pppoe сессии. Для этого создан интерфейс virtual-template 1. TenGig интефейс смотрит в мир. Что я сделал: Интерфейс с адресом 10.1.110.1 смотрит в сторону squid сервера. Адрес сервера 10.1.110.3 Из всех pppoe сессий, на squid надо отправлять только адреса из 2-ух сеток (24 бит каждая) Для дальнейших действий жду от вас помощи. Edited September 10, 2014 by Phantom Lord Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zelfix Posted December 5, 2014 · Report post Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Dimonyga Posted December 11, 2014 · Report post Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент? А чему там получаться то ? всё прекрасно работает, единственный момент - далеко не на всех IOS у нас заработало на asr1000rp1-adventerprisek9.03.07.00.S.152-4.S.bin ip wccp check services all ip wccp outbound-acl-check ip wccp source-interface GigabitEthernet0/0/0.2 ip wccp web-cache redirect-list l_wccp_redirect group-list l_wccp_service interface GigabitEthernet0/0/1.10 description 'Uplink' encapsulation dot1Q 10 ip address XXX.XXX.XXX.XXX 255.255.255.0 ip wccp web-cache redirect out ip access-list standard l_wccp_service permit XXX.XXX.XXX.8 ip access-list extended l_wccp_redirect deny tcp host XXX.XXX.XXX.8 any permit tcp XXX.XXX.XXX.0 0.0.0.255 any eq www deny ip any any 2-й влан - подсетка с белыми адресами, 10-й - аплинк. Остальные пользователи раскиданы по разным вланам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yakov2000 Posted December 11, 2014 · Report post а для service policy, wccp можно прикрутить? есть пример ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Stak Posted December 11, 2014 · Report post Делали как -то так, пока нас не купил один из трёх толстяков (у них есть своя система, принцип работы тот же): Описание решения по фильтрации трафика в соответствии с законодательством. Сервер FLT периодически обновляет список запрещенных пар IP/URL и анонсирует в IP Backbone (Service-PE, vrf Abonents) по протоколу eBGP (используется Quagga) маршруты к этим IP-адресам. Для предотвращения возможных петель, на данные маршруты на Service-PE ставится атрибут community “no-advertise”, по которому также осуществляется фильтрация при route-leaking между vrf. Next-hop анонсируемых маршрутов указывает на сервер FLT. Сервер FLT анализирует проходящий через него аплинк-трафик с помощью модуля strings для iptables. Трафик, не подпадающий под правила фильтров, маршрутизируется данным сервером в IP Backbone (Service-PE, vrf Inet), откуда, в свою очередь, либо отправляется на NAT/PAT при помощи PBR (если src-адрес абонента приватный), либо маршрутизируется по умолчанию в Internet (если src-адрес абонента публичный). Для TCP-пакетов, в которых найдено соответствие запрещённому URL, осуществляется перехват TCP-сессии (hijacking), исходный пакет сбрасывается, и генерируется ТСР-пакет от имени удалённого сервера, содержащий сообщение HTTP “301 REDIRECT”, указывающее на сервер страниц-заглушек. Получение данного пакета вынуждает браузер абонента показать страницу-заглушку. Для шифрованного трафика на запрещённые ресурсы (HTTPS) осуществляется фильтрация по IP. Стоит отметить, что на всем пути source ip абонента сохраняется, и через сервер FLT проходит только Uplink трафик. Кроме того, данное решение хорошо масштабируется : в частности, при установке нескольких серверов FLT, возможно как указать несколько next-hop в eBGP сессии, так и анонсировать часть списка IP с каждого из серверов, а также комбинировать оба способа. А начиналось с этого: http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=773865 :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...