Jump to content
Калькуляторы

Cisco ASR + url filtering

Здравствуйте!

Коллеги, помогите пожалуйста. Имею cisco asr где терминируются pppoe сессии. Поставлена задача для ограничения доступа на определенные web сайты.

По ip это не реально, т.к. у одного ресурса может быть 10-20 ip адресов. NAT не применять. Как быть ?

Edited by Phantom Lord

Share this post


Link to post
Share on other sites

"у меня ваз 2106, а мне поставили задачу, чтобы она ездила как bmw x6, как быть?" (С)

Share this post


Link to post
Share on other sites

Помогите плиз настроить wccp + прозрачный squid. На asr роутере терминируются pppoe сессии. Для этого создан интерфейс virtual-template 1. TenGig интефейс смотрит в мир.

Что я сделал: Интерфейс с адресом 10.1.110.1 смотрит в сторону squid сервера. Адрес сервера 10.1.110.3

Из всех pppoe сессий, на squid надо отправлять только адреса из 2-ух сеток (24 бит каждая)

Для дальнейших действий жду от вас помощи.

Edited by Phantom Lord

Share this post


Link to post
Share on other sites

Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент?

Share this post


Link to post
Share on other sites

Phantom Lord, у вас что-нибудь получилось в связке wccp+squid ? Если нет, как осуществляете фильтрацию на данный момент?

А чему там получаться то ? всё прекрасно работает, единственный момент - далеко не на всех IOS

у нас заработало на asr1000rp1-adventerprisek9.03.07.00.S.152-4.S.bin

ip wccp check services all
ip wccp outbound-acl-check
ip wccp source-interface GigabitEthernet0/0/0.2
ip wccp web-cache redirect-list l_wccp_redirect group-list l_wccp_service

interface GigabitEthernet0/0/1.10
description 'Uplink'
encapsulation dot1Q 10
ip address XXX.XXX.XXX.XXX 255.255.255.0
ip wccp web-cache redirect out

ip access-list standard l_wccp_service
permit XXX.XXX.XXX.8

ip access-list extended l_wccp_redirect
deny   tcp host XXX.XXX.XXX.8 any
permit tcp XXX.XXX.XXX.0 0.0.0.255 any eq www
deny   ip any any

2-й влан - подсетка с белыми адресами, 10-й - аплинк.

Остальные пользователи раскиданы по разным вланам.

Share this post


Link to post
Share on other sites

Делали как -то так, пока нас не купил один из трёх толстяков (у них есть своя система, принцип работы тот же):

Описание решения по фильтрации трафика в соответствии с законодательством.

 

Сервер FLT периодически обновляет список запрещенных пар IP/URL и анонсирует в IP Backbone (Service-PE, vrf Abonents) по протоколу eBGP (используется Quagga) маршруты к этим IP-адресам. Для предотвращения возможных петель, на данные маршруты на Service-PE ставится атрибут community “no-advertise”, по которому также осуществляется фильтрация при route-leaking между vrf. Next-hop анонсируемых маршрутов указывает на сервер FLT.

 

Сервер FLT анализирует проходящий через него аплинк-трафик с помощью модуля strings для iptables. Трафик, не подпадающий под правила фильтров, маршрутизируется данным сервером в IP Backbone (Service-PE, vrf Inet), откуда, в свою очередь, либо отправляется на NAT/PAT при помощи PBR (если src-адрес абонента приватный), либо маршрутизируется по умолчанию в Internet (если src-адрес абонента публичный). Для TCP-пакетов, в которых найдено соответствие запрещённому URL, осуществляется перехват TCP-сессии (hijacking), исходный пакет сбрасывается, и генерируется ТСР-пакет от имени удалённого сервера, содержащий сообщение HTTP “301 REDIRECT”, указывающее на сервер страниц-заглушек. Получение данного пакета вынуждает браузер абонента показать страницу-заглушку. Для шифрованного трафика на запрещённые ресурсы (HTTPS) осуществляется фильтрация по IP.

 

Стоит отметить, что на всем пути source ip абонента сохраняется, и через сервер FLT проходит только Uplink трафик. Кроме того, данное решение хорошо масштабируется : в частности, при установке нескольких серверов FLT, возможно как указать несколько next-hop в eBGP сессии, так и анонсировать часть списка IP с каждого из серверов, а также комбинировать оба способа.

 

А начиналось с этого:

http://forum.nag.ru/forum/index.php?showtopic=79836&view=findpost&p=773865

:)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this