Есть железяка, с белыми IP
нужно следующее , если в аксес листе нету IP то весь трафик перенаправлялся на указаный мною хост. в частности например WWW трафик.
т.е. например:
Extended IP access list vlan20_in
192.168.0.5
192.168.0.6
192.168.0.7
для них всё проходит трафик нормально.
но для остальных адресов не состоящих в этом аксес листе весть трафик редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о www трафике)
остальной трафик дропается.

• Редирект трафика на маршрутизаторе,Andrey, 13:25 , 07-Фев-14
  • Редирект трафика на маршрутизаторе,nikulich, 13:59 , 07-Фев-14
    • Редирект трафика на маршрутизаторе,Apple, 13:31 , 11-Фев-14
      • Редирект трафика на маршрутизаторе,nikulich, 11:24 , 12-Фев-14
    • Редирект трафика на маршрутизаторе,Apple, 13:41 , 11-Фев-14
      • Редирект трафика на маршрутизаторе,ShyLion, 14:08 , 11-Фев-14
        • Редирект трафика на маршрутизаторе,Apple, 14:40 , 11-Фев-14
          • Редирект трафика на маршрутизаторе,ShyLion, 15:24 , 11-Фев-14
            • Редирект трафика на маршрутизаторе,Apple, 15:44 , 11-Фев-14
• Редирект трафика на маршрутизаторе,ShyLion, 08:33 , 10-Фев-14
  • Редирект трафика на маршрутизаторе,ShyLion, 08:36 , 10-Фев-14
    • Редирект трафика на маршрутизаторе,ShyLion, 16:16 , 11-Фев-14
      • Редирект трафика на маршрутизаторе,Apple, 05:25 , 12-Фев-14
        • Редирект трафика на маршрутизаторе,ShyLion, 08:42 , 12-Фев-14
          • Редирект трафика на маршрутизаторе,Apple, 14:48 , 12-Фев-14
      • Редирект трафика на маршрутизаторе,nikulich, 11:28 , 12-Фев-14
        • Редирект трафика на маршрутизаторе,ShyLion, 13:35 , 12-Фев-14

>[оверквотинг удален]
> т.е. например:
> Extended IP access list vlan20_in
> 192.168.0.5
> 192.168.0.6
> 192.168.0.7
> для них всё проходит трафик нормально.
> но для остальных адресов не состоящих в этом аксес листе весть трафик
> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
> www трафике)
> остальной трафик дропается.

Policy Based Routing?

>[оверквотинг удален]
>> Extended IP access list vlan20_in
>> 192.168.0.5
>> 192.168.0.6
>> 192.168.0.7
>> для них всё проходит трафик нормально.
>> но для остальных адресов не состоящих в этом аксес листе весть трафик
>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
>> www трафике)
>> остальной трафик дропается.
> Policy Based Routing?

чем это мне поможет ?
мне нужно чтобы у людей которых нет в аксес листе при попытке открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у тех кто есть в аксес листе полный доступ в интернет.

>[оверквотинг удален]
>>> для них всё проходит трафик нормально.
>>> но для остальных адресов не состоящих в этом аксес листе весть трафик
>>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
>>> www трафике)
>>> остальной трафик дропается.
>> Policy Based Routing?
> чем это мне поможет ?
> мне нужно чтобы у людей которых нет в аксес листе при попытке
> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
> тех кто есть в аксес листе полный доступ в интернет.

И при этом трафик кроме www должен маршрутизироваться, как положено? Тоесть те остальные кому не повезло, должны ходить куда нужно, только трафик на www нужно редиректить?

>[оверквотинг удален]
>>>> www трафике)
>>>> остальной трафик дропается.
>>> Policy Based Routing?
>> чем это мне поможет ?
>> мне нужно чтобы у людей которых нет в аксес листе при попытке
>> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
>> тех кто есть в аксес листе полный доступ в интернет.
> И при этом трафик кроме www должен маршрутизироваться, как положено? Тоесть те
> остальные кому не повезло, должны ходить куда нужно, только трафик на
> www нужно редиректить?

вот есть лист

ip access-list extended vlan40_in
permit ip host 192.168.0.2 any
permit ip host 192.168.0.5 any
permit ip host 192.168.0.10 any
permit ip host 192.168.0.12 any

у них нормальный выход в инет. ничего не ограничивается.

но если например машина с IP 192.168.0.100 захочет что то открыть в браузере в инете у себя, у него тупо будет открываться только внутренний портал который находится на ip 192.168.1.2 , какой бы запрос он не отправил.

>[оверквотинг удален]
>>> для них всё проходит трафик нормально.
>>> но для остальных адресов не состоящих в этом аксес листе весть трафик
>>> редиректится например на адрес 192.168.1.1 ( конечно же речь идёт о
>>> www трафике)
>>> остальной трафик дропается.
>> Policy Based Routing?
> чем это мне поможет ?
> мне нужно чтобы у людей которых нет в аксес листе при попытке
> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
> тех кто есть в аксес листе полный доступ в интернет.

Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него тех, кого нет в первом, там сделайте матч по порту 80, 443 и route-map на нужный айпи после этого. Или нужно не применено так, как сейчас, с одним ACL?

>[оверквотинг удален]
>>>> остальной трафик дропается.
>>> Policy Based Routing?
>> чем это мне поможет ?
>> мне нужно чтобы у людей которых нет в аксес листе при попытке
>> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
>> тех кто есть в аксес листе полный доступ в интернет.
> Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него
> тех, кого нет в первом, там сделайте матч по порту 80,
> 443 и route-map на нужный айпи после этого. Или нужно не
> применено так, как сейчас, с одним ACL?

Этим можно зароутить куда либо, но не поменять дестинейшен айпи. Там должен стоять прозрачный прокси и уже он должен что-либо отвечать.

>[оверквотинг удален]
>>> чем это мне поможет ?
>>> мне нужно чтобы у людей которых нет в аксес листе при попытке
>>> открыть любую страницу www его перекидывало на сервер 192.168.1.1, а у
>>> тех кто есть в аксес листе полный доступ в интернет.
>> Тогда PBR на основе порта, создайте второй аксесс лист, добавьте в него
>> тех, кого нет в первом, там сделайте матч по порту 80,
>> 443 и route-map на нужный айпи после этого. Или нужно не
>> применено так, как сейчас, с одним ACL?
> Этим можно зароутить куда либо, но не поменять дестинейшен айпи. Там должен
> стоять прозрачный прокси и уже он должен что-либо отвечать.

Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси, где и произведёт с ним манипуляции.

> Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси,
> где и произведёт с ним манипуляции.

Да, но это добавляет отдельный компонент.

>> Правильно, автор таким образом и зароутит нужный ему трафик на прозрачный прокси,
>> где и произведёт с ним манипуляции.
> Да, но это добавляет отдельный компонент.

Так он у него уже есть, на 192.168.1.1, там и подымет, что ему нужно.

Это задача контент-фильтра. Без сторонней железки не обойтись.

> Это задача контент-фильтра. Без сторонней железки не обойтись.

Еще вариант:
http://wiki.nil.com/Local_Content_Filtering_in_Cisco_IOS
Как там с редиректом на нужную страницу - не уверен, копай в этом направлении.

>> Это задача контент-фильтра. Без сторонней железки не обойтись.
> Еще вариант:
> http://wiki.nil.com/Local_Content_Filtering_in_Cisco_IOS
> Как там с редиректом на нужную страницу - не уверен, копай в
> этом направлении.

Собсно сам копнул в этом направлении, ради интереса.
Делается классический Zone Based Firewall.
Далее для http траффика отдельный класс-мап, который кроме протокола может дополнительно матчить любой аксес лист.
В параметер-мапе можно задать любой адрес для редиректа:

parameter-map type urlfpolicy local LOCAL_POL
block-page redirect-url http://www.yandex.ru
!
parameter-map type urlf-glob bad_domains
pattern google.com
pattern *.google.com
pattern google.ru
pattern *.google.ru
parameter-map type urlf-glob ANY
pattern *
!
class-map type urlfilter match-any zc_url_ANY
match server-domain urlf-glob ANY
class-map type urlfilter match-any zc_url_BAD
match server-domain urlf-glob bad_domains
!
!
!
policy-map type inspect urlfilter zpol_url_BAD
parameter type urlfpolicy local LOCAL_POL
class type urlfilter zc_url_BAD
  reset
  log
class type urlfilter zc_url_ANY
  allow
!
!
policy-map type inspect zpol_LAN2INET
class type inspect zc_http
  inspect
  service-policy urlfilter zpol_url_BAD

>[оверквотинг удален]
>   reset
>   log
>  class type urlfilter zc_url_ANY
>   allow
> !
> !
> policy-map type inspect zpol_LAN2INET
>  class type inspect zc_http
>   inspect
>   service-policy urlfilter zpol_url_BAD

А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать или на ASIC отработают?

>[оверквотинг удален]
>>  class type urlfilter zc_url_ANY
>>   allow
>> !
>> !
>> policy-map type inspect zpol_LAN2INET
>>  class type inspect zc_http
>>   inspect
>>   service-policy urlfilter zpol_url_BAD
> А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать
> или на ASIC отработают?

Не проверял. У нас проблема с инет подключением - много out of order пакетов, от DPI пришлось отказаться, иначе сбрасываются подключения.

>[оверквотинг удален]
>>> !
>>> !
>>> policy-map type inspect zpol_LAN2INET
>>>  class type inspect zc_http
>>>   inspect
>>>   service-policy urlfilter zpol_url_BAD
>> А как оно на производительности скажется? Не проверяли? Они CPU будут дёргать
>> или на ASIC отработают?
> Не проверял. У нас проблема с инет подключением - много out of
> order пакетов, от DPI пришлось отказаться, иначе сбрасываются подключения.

Понятно, спасибо.

>[оверквотинг удален]
>   reset
>   log
>  class type urlfilter zc_url_ANY
>   allow
> !
> !
> policy-map type inspect zpol_LAN2INET
>  class type inspect zc_http
>   inspect
>   service-policy urlfilter zpol_url_BAD

тут конкретный список, мне нужно что по дефолту шло на конкретный адрес, без указания конкретных адресов которые запрещены

> тут конкретный список, мне нужно что по дефолту шло на конкретный адрес,
> без указания конкретных адресов которые запрещены

Голова на плечах для чего? Тебе рыбку не только поймать, но еще и зажарить и разжевать?