форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Редирект трафика на маршрутизаторе"	+/–
Сообщение от nikulich (ok) on 07-Фев-14, 12:30
Есть железяка, с белыми IP нужно следующее , если в аксес листе нету IP то весь трафик перенаправлялся на указаный мною хост. в частности например WWW трафик. т.е. например: Extended IP access list vlan20_in 192.168.0.5 192.168.0.6 192.168.0.7 для них всё проходит трафик нормально. но для остальных адресов не состоящих в этом аксес листе весть трафик редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о www трафике) остальной трафик дропается.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Редирект трафика на маршрутизаторе"	+/–
Сообщение от Andrey (??) on 07-Фев-14, 13:25
>[оверквотинг удален] > т.е. например: > Extended IP access list vlan20_in > 192.168.0.5 > 192.168.0.6 > 192.168.0.7 > для них всё проходит трафик нормально. > но для остальных адресов не состоящих в этом аксес листе весть трафик > редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о > www трафике) > остальной трафик дропается. Policy Based Routing?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от nikulich (ok) on 07-Фев-14, 13:59
	>[оверквотинг удален] >> Extended IP access list vlan20_in >> 192.168.0.5 >> 192.168.0.6 >> 192.168.0.7 >> для них всё проходит трафик нормально. >> но для остальных адресов не состоящих в этом аксес листе весть трафик >> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о >> www трафике) >> остальной трафик дропается. > Policy Based Routing? чем это мне поможет ? мне нужно чтобы у людей которых нет в аксес листе при попытке открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у тех кто есть в аксес листе полный доступ в интернет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от Apple on 11-Фев-14, 13:31
	>[оверквотинг удален] >>> для них всё проходит трафик нормально. >>> но для остальных адресов не состоящих в этом аксес листе весть трафик >>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о >>> www трафике) >>> остальной трафик дропается. >> Policy Based Routing? > чем это мне поможет ? > мне нужно чтобы у людей которых нет в аксес листе при попытке > открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у > тех кто есть в аксес листе полный доступ в интернет. И при этом трафик кроме www должен маршрутизироваться, как положено? Тоесть те остальные кому не повезло, должны ходить куда нужно, только трафик на www нужно редиректить?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	14. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от nikulich (ok) on 12-Фев-14, 11:24
	>[оверквотинг удален] >>>> www трафике) >>>> остальной трафик дропается. >>> Policy Based Routing? >> чем это мне поможет ? >> мне нужно чтобы у людей которых нет в аксес листе при попытке >> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у >> тех кто есть в аксес листе полный доступ в интернет. > И при этом трафик кроме www должен маршрутизироваться, как положено? Тоесть те > остальные кому не повезло, должны ходить куда нужно, только трафик на > www нужно редиректить? вот есть лист ip access-list extended vlan40_in permit ip host 192.168.0.2 any permit ip host 192.168.0.5 any permit ip host 192.168.0.10 any permit ip host 192.168.0.12 any у них нормальный выход в инет. ничего не ограничивается. но если например машина с IP 192.168.0.100 захочет что то открыть в браузере в инете у себя, у него тупо будет открываться только внутренний портал который находится на ip 192.168.1.2 , какой бы запрос он не отправил.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	6. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от Apple on 11-Фев-14, 13:41
	>[оверквотинг удален] >>> для них всё проходит трафик нормально. >>> но для остальных адресов не состоящих в этом аксес листе весть трафик >>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о >>> www трафике) >>> остальной трафик дропается. >> Policy Based Routing? > чем это мне поможет ? > мне нужно чтобы у людей которых нет в аксес листе при попытке > открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у > тех кто есть в аксес листе полный доступ в интернет. Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него тех, кого нет в первом, там сделайте матч по порту 80, 443 и route-map на нужный айпи после этого. Или нужно не применено так, как сейчас, с одним ACL?
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от ShyLion (ok) on 11-Фев-14, 14:08
	>[оверквотинг удален] >>>> остальной трафик дропается. >>> Policy Based Routing? >> чем это мне поможет ? >> мне нужно чтобы у людей которых нет в аксес листе при попытке >> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у >> тех кто есть в аксес листе полный доступ в интернет. > Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него > тех, кого нет в первом, там сделайте матч по порту 80, > 443 и route-map на нужный айпи после этого. Или нужно не > применено так, как сейчас, с одним ACL? Этим можно зароутить куда либо, но не поменять дестинейшен айпи. Там должен стоять прозрачный прокси и уже он должен что-либо отвечать.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от Apple on 11-Фев-14, 14:40
	>[оверквотинг удален] >>> чем это мне поможет ? >>> мне нужно чтобы у людей которых нет в аксес листе при попытке >>> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у >>> тех кто есть в аксес листе полный доступ в интернет. >> Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него >> тех, кого нет в первом, там сделайте матч по порту 80, >> 443 и route-map на нужный айпи после этого. Или нужно не >> применено так, как сейчас, с одним ACL? > Этим можно зароутить куда либо, но не поменять дестинейшен айпи. Там должен > стоять прозрачный прокси и уже он должен что-либо отвечать. Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси, где и произведёт с ним манипуляции.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от ShyLion (ok) on 11-Фев-14, 15:24
	> Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси, > где и произведёт с ним манипуляции. Да, но это добавляет отдельный компонент.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от Apple on 11-Фев-14, 15:44
	>> Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси, >> где и произведёт с ним манипуляции. > Да, но это добавляет отдельный компонент. Так он у него уже есть, на 192.168.1.1, там и подымет, что ему нужно.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

3. "Редирект трафика на маршрутизаторе"	+/–
Сообщение от ShyLion (ok) on 10-Фев-14, 08:33
Это задача контент-фильтра. Без сторонней железки не обойтись.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от ShyLion (ok) on 10-Фев-14, 08:36
	> Это задача контент-фильтра. Без сторонней железки не обойтись. Еще вариант: http://wiki.nil.com/Local_Content_Filtering_in_Cisco_IOS Как там с редиректом на нужную страницу - не уверен, копай в этом направлении.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	11. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от ShyLion (ok) on 11-Фев-14, 16:16
	>> Это задача контент-фильтра. Без сторонней железки не обойтись. > Еще вариант: > http://wiki.nil.com/Local_Content_Filtering_in_Cisco_IOS > Как там с редиректом на нужную страницу - не уверен, копай в > этом направлении. Собсно сам копнул в этом направлении, ради интереса. Делается классический Zone Based Firewall. Далее для http траффика отдельный класс-мап, который кроме протокола может дополнительно матчить любой аксес лист. В параметер-мапе можно задать любой адрес для редиректа: parameter-map type urlfpolicy local LOCAL_POL block-page redirect-url http://www.yandex.ru ! parameter-map type urlf-glob bad_domains pattern google.com pattern *.google.com pattern google.ru pattern *.google.ru parameter-map type urlf-glob ANY pattern * ! class-map type urlfilter match-any zc_url_ANY match server-domain urlf-glob ANY class-map type urlfilter match-any zc_url_BAD match server-domain urlf-glob bad_domains ! ! ! policy-map type inspect urlfilter zpol_url_BAD parameter type urlfpolicy local LOCAL_POL class type urlfilter zc_url_BAD   reset   log class type urlfilter zc_url_ANY   allow ! ! policy-map type inspect zpol_LAN2INET class type inspect zc_http   inspect   service-policy urlfilter zpol_url_BAD
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	12. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от Apple on 12-Фев-14, 05:25
	>[оверквотинг удален] >   reset >   log >  class type urlfilter zc_url_ANY >   allow > ! > ! > policy-map type inspect zpol_LAN2INET >  class type inspect zc_http >   inspect >   service-policy urlfilter zpol_url_BAD А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать или на ASIC отработают?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	13. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от ShyLion (ok) on 12-Фев-14, 08:42
	>[оверквотинг удален] >>  class type urlfilter zc_url_ANY >>   allow >> ! >> ! >> policy-map type inspect zpol_LAN2INET >>  class type inspect zc_http >>   inspect >>   service-policy urlfilter zpol_url_BAD > А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать > или на ASIC отработают? Не проверял. У нас проблема с инет подключением - много out of order пакетов, от DPI пришлось отказаться, иначе сбрасываются подключения.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	17. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от Apple on 12-Фев-14, 14:48
	>[оверквотинг удален] >>> ! >>> ! >>> policy-map type inspect zpol_LAN2INET >>>  class type inspect zc_http >>>   inspect >>>   service-policy urlfilter zpol_url_BAD >> А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать >> или на ASIC отработают? > Не проверял. У нас проблема с инет подключением - много out of > order пакетов, от DPI пришлось отказаться, иначе сбрасываются подключения. Понятно, спасибо.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	15. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от nikulich (ok) on 12-Фев-14, 11:28
	>[оверквотинг удален] >   reset >   log >  class type urlfilter zc_url_ANY >   allow > ! > ! > policy-map type inspect zpol_LAN2INET >  class type inspect zc_http >   inspect >   service-policy urlfilter zpol_url_BAD тут конкретный список, мне нужно что по дефолту шло на конкретный адрес, без указания конкретных адресов которые запрещены
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	16. "Редирект трафика на маршрутизаторе"	+/–
	Сообщение от ShyLion (ok) on 12-Фев-14, 13:35
	> тут конкретный список, мне нужно что по дефолту шло на конкретный адрес, > без указания конкретных адресов которые запрещены Голова на плечах для чего? Тебе рыбку не только поймать, но еще и зажарить и разжевать?
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема