Jump to content
Калькуляторы

Cisco ASR + url filtering

Здравствуйте!

Коллеги, помогите пожалуйста. Имею cisco asr где терминируются pppoe сессии. Поставлена задача для ограничения доступа на определенные web сайты.

По ip это не реально, т.к. у одного ресурса может быть 10-20 ip адресов. NAT не применять. Как быть ?

Edited by Phantom Lord

Share this post


Link to post
Share on other sites

Помогите плиз настроить wccp + прозрачный squid. На asr роутере терминируются pppoe сессии. Для этого создан интерфейс virtual-template 1. TenGig интефейс смотрит в мир.

Что я сделал: Интерфейс с адресом 10.1.110.1 смотрит в сторону squid сервера. Адрес сервера 10.1.110.3

Из всех pppoe сессий, на squid надо отправлять только адреса из 2-ух сеток (24 бит каждая)

Для дальнейших действий жду от вас помощи.

Edited by Phantom Lord

Share this post


Link to post
Share on other sites

Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент?

Share this post


Link to post
Share on other sites

Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент?

А чему там получаться то ? всё прекрасно работает, единственный момент - далеко не на всех IOS

у нас заработало на asr1000rp1-adventerprisek9.03.07.00.S.152-4.S.bin

ip wccp check services all
ip wccp outbound-acl-check
ip wccp source-interface GigabitEthernet0/0/0.2
ip wccp web-cache redirect-list l_wccp_redirect group-list l_wccp_service

interface GigabitEthernet0/0/1.10
description 'Uplink'
encapsulation dot1Q 10
ip address XXX.XXX.XXX.XXX 255.255.255.0
ip wccp web-cache redirect out

ip access-list standard l_wccp_service
permit XXX.XXX.XXX.8

ip access-list extended l_wccp_redirect
deny   tcp host XXX.XXX.XXX.8 any
permit tcp XXX.XXX.XXX.0 0.0.0.255 any eq www
deny   ip any any

2-й влан - подсетка с белыми адресами, 10-й - аплинк.

Остальные пользователи раскиданы по разным вланам.

Share this post


Link to post
Share on other sites

Делали как -то так, пока нас не купил один из трёх толстяков (у них есть своя система, принцип работы тот же):

Описание решения по фильтрации трафика в соответствии с законодательством.

 

Сервер FLT периодически обновляет список запрещенных пар IP/URL и анонсирует в IP Backbone (Service-PE, vrf Abonents) по протоколу eBGP (используется Quagga) маршруты к этим IP-адресам. Для предотвращения возможных петель, на данные маршруты на Service-PE ставится атрибут community “no-advertise”, по которому также осуществляется фильтрация при route-leaking между vrf. Next-hop анонсируемых маршрутов указывает на сервер FLT.

 

Сервер FLT анализирует проходящий через него аплинк-трафик с помощью модуля strings для iptables. Трафик, не подпадающий под правила фильтров, маршрутизируется данным сервером в IP Backbone (Service-PE, vrf Inet), откуда, в свою очередь, либо отправляется на NAT/PAT при помощи PBR (если src-адрес абонента приватный), либо маршрутизируется по умолчанию в Internet (если src-адрес абонента публичный). Для TCP-пакетов, в которых найдено соответствие запрещённому URL, осуществляется перехват TCP-сессии (hijacking), исходный пакет сбрасывается, и генерируется ТСР-пакет от имени удалённого сервера, содержащий сообщение HTTP “301 REDIRECT”, указывающее на сервер страниц-заглушек. Получение данного пакета вынуждает браузер абонента показать страницу-заглушку. Для шифрованного трафика на запрещённые ресурсы (HTTPS) осуществляется фильтрация по IP.

 

Стоит отметить, что на всем пути source ip абонента сохраняется, и через сервер FLT проходит только Uplink трафик. Кроме того, данное решение хорошо масштабируется : в частности, при установке нескольких серверов FLT, возможно как указать несколько next-hop в eBGP сессии, так и анонсировать часть списка IP с каждого из серверов, а также комбинировать оба способа.

 

А начиналось с этого:

http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=773865

:)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.