Cisco ASR + url filtering

[Phantom Lord]

Здравствуйте!

Коллеги, помогите пожалуйста. Имею cisco asr где терминируются pppoe сессии. Поставлена задача для ограничения доступа на определенные web сайты.

По ip это не реально, т.к. у одного ресурса может быть 10-20 ip адресов. NAT не применять. Как быть ?

Edited September 4, 2014 by Phantom Lord

[himikrzn]

"у меня ваз 2106, а мне поставили задачу, чтобы она ездила как bmw x6, как быть?" (С)

[darkagent]

Cisco SCE.

[vurd]

https://supportforums.cisco.com/ru/discussion/11787181

[Phantom Lord]

Помогите плиз настроить wccp + прозрачный squid. На asr роутере терминируются pppoe сессии. Для этого создан интерфейс virtual-template 1. TenGig интефейс смотрит в мир.

Что я сделал: Интерфейс с адресом 10.1.110.1 смотрит в сторону squid сервера. Адрес сервера 10.1.110.3

Из всех pppoe сессий, на squid надо отправлять только адреса из 2-ух сеток (24 бит каждая)

Для дальнейших действий жду от вас помощи.

Edited September 10, 2014 by Phantom Lord

[zelfix]

Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент?

[Dimonyga]

Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент?

А чему там получаться то ? всё прекрасно работает, единственный момент - далеко не на всех IOS

у нас заработало на asr1000rp1-adventerprisek9.03.07.00.S.152-4.S.bin

ip wccp check services all
ip wccp outbound-acl-check
ip wccp source-interface GigabitEthernet0/0/0.2
ip wccp web-cache redirect-list l_wccp_redirect group-list l_wccp_service

interface GigabitEthernet0/0/1.10
description 'Uplink'
encapsulation dot1Q 10
ip address XXX.XXX.XXX.XXX 255.255.255.0
ip wccp web-cache redirect out

ip access-list standard l_wccp_service
permit XXX.XXX.XXX.8

ip access-list extended l_wccp_redirect
deny   tcp host XXX.XXX.XXX.8 any
permit tcp XXX.XXX.XXX.0 0.0.0.255 any eq www
deny   ip any any

2-й влан - подсетка с белыми адресами, 10-й - аплинк.

Остальные пользователи раскиданы по разным вланам.

[yakov2000]

а для service policy, wccp можно прикрутить? есть пример ?

[Stak]

Делали как -то так, пока нас не купил один из трёх толстяков (у них есть своя система, принцип работы тот же):

Описание решения по фильтрации трафика в соответствии с законодательством.

 

Сервер FLT периодически обновляет список запрещенных пар IP/URL и анонсирует в IP Backbone (Service-PE, vrf Abonents) по протоколу eBGP (используется Quagga) маршруты к этим IP-адресам. Для предотвращения возможных петель, на данные маршруты на Service-PE ставится атрибут community “no-advertise”, по которому также осуществляется фильтрация при route-leaking между vrf. Next-hop анонсируемых маршрутов указывает на сервер FLT.

 

Сервер FLT анализирует проходящий через него аплинк-трафик с помощью модуля strings для iptables. Трафик, не подпадающий под правила фильтров, маршрутизируется данным сервером в IP Backbone (Service-PE, vrf Inet), откуда, в свою очередь, либо отправляется на NAT/PAT при помощи PBR (если src-адрес абонента приватный), либо маршрутизируется по умолчанию в Internet (если src-адрес абонента публичный). Для TCP-пакетов, в которых найдено соответствие запрещённому URL, осуществляется перехват TCP-сессии (hijacking), исходный пакет сбрасывается, и генерируется ТСР-пакет от имени удалённого сервера, содержащий сообщение HTTP “301 REDIRECT”, указывающее на сервер страниц-заглушек. Получение данного пакета вынуждает браузер абонента показать страницу-заглушку. Для шифрованного трафика на запрещённые ресурсы (HTTPS) осуществляется фильтрация по IP.

 

Стоит отметить, что на всем пути source ip абонента сохраняется, и через сервер FLT проходит только Uplink трафик. Кроме того, данное решение хорошо масштабируется : в частности, при установке нескольких серверов FLT, возможно как указать несколько next-hop в eBGP сессии, так и анонсировать часть списка IP с каждого из серверов, а также комбинировать оба способа.

 

А начиналось с этого:

http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=773865

:)