Нужно весь хттп-трафик завернуть принудительно за проксю.
Но никаких попаданий в acl нет, полиси роутинг не отрабатывает.
Железка 6509 c sup32. Аналогичную схему собрал на 7200, все отрабатывает на ура.
Включить дебаг на железке пока нет возможности.
Может быть что-то еще нужно включить на sup32 что бы заработал полиси роутинг?

Cisco Internetwork Operating System Software
IOS (tm) s3223_rp Software (s3223_rp-ADVIPSERVICESK9_WAN-M), Version 12.2(18)SXF9, RELEASE SOFTWARE (fc1)
WS-SUP32-GE-3B

interface Vlan100
###Интерфейс в Интернет########
ip address 172.16.100.2 255.255.255.248
no ip proxy-arp
ip policy route-map pbr_map_from_inet

interface Vlan1606
###Интерфейс в локалку########
ip address 172.16.101.1 255.255.255.0
ip policy route-map pbr_map_to_inet

ip access-list extended pbr_acl_from_inet
permit tcp any eq www host 172.16.100.15
permit tcp any eq 443 host 172.16.100.15
permit tcp any eq ftp host 172.16.100.15
ip access-list extended pbr_acl_to_inet
permit tcp host 172.16.100.15 any eq www
permit tcp host 172.16.100.15 any eq 443
permit tcp host 172.16.100.15 any eq ftp

route-map pbr_map_to_inet permit 10
match ip address pbr_acl_to_inet
set ip default next-hop 172.16.10.68
!
route-map pbr_map_from_inet permit 10
match ip address pbr_acl_from_inet
set ip next-hop 172.16.10.132

• не работает policy routing на 6509 ,avallac, 00:23 , 30-Дек-08
  • не работает policy routing на 6509 ,sh_, 10:07 , 30-Дек-08
    • не работает policy routing на 6509 ,avallac, 10:11 , 30-Дек-08
      • не работает policy routing на 6509 ,ilya, 09:23 , 13-Янв-09
        • не работает policy routing на 6509 ,rumochnaya, 09:45 , 13-Янв-09
        • не работает policy routing на 6509 ,avallac, 19:36 , 13-Янв-09
      • не работает policy routing на 6509 ,sh_, 10:06 , 13-Янв-09
        • не работает policy routing на 6509 ,avallac, 19:31 , 13-Янв-09

7200 - Маршрутизатор
6500 - Свитч

Чувствуешь разницу, счетчики acl на свиче не должны расти, только если он не гонит трафик через центральный проц. Но при этом он должен работать. В свое время мне удавалось запустить WCCP на 7606. Это более красивое решение, чем вот так вот грубо мапить.

И это... твой IP в Acl - 172.16.100.15.

У тебя
interface Vlan100
ip address 172.16.100.2 255.255.255.248
Значит как ни крути, но получается, что 172.16.100.15 - бродкаст.

>У тебя
>interface Vlan100
>ip address 172.16.100.2 255.255.255.248
>Значит как ни крути, но получается, что 172.16.100.15 - бродкаст.

Это шутко такое?

2ilya

А пакетеги приходят на прокси? Что сниффер показывает? И почему next-hop разные для входящего и исходящего трафегов?

>
>Это шутко такое?
>

А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или /29 или /30.
172.16.100.8/29 (Broadcast 172.16.100.15)
или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)

>>
>>Это шутко такое?
>>
>
>А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или
>/29 или /30.
>172.16.100.8/29 (Broadcast 172.16.100.15)
>или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)

to: avallac
Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая паранояc ;)).
Про полиси роутинг на свиче - ну свич  свичу рознь. Я доверяю циска фича нафигатору в котором говорится что на sup32 PBR есть.

to: sh_
самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю. Я просто проверял через sh acl, перед НГ не успел посмотреть что на проксе творится. Сейчас трафик идет через проксю как и прописано в полиси роутинге. Но counters в acl не увеличивается (точнее там все по нулям), в sh route-map тоже нули.
Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса (внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не получается, приходится делать разный изврат.

>[оверквотинг удален]
>
>to: sh_
>самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю.
>Я просто проверял через sh acl, перед НГ не успел посмотреть
>что на проксе творится. Сейчас трафик идет через проксю как и
>прописано в полиси роутинге. Но counters в acl не увеличивается (точнее
>там все по нулям), в sh route-map тоже нули.
>Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса
>(внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не
>получается, приходится делать разный изврат.

Я даже тикет заводил в Циско-саппорте по поводу неприбывающих каунтеров в АЦЛ.
Циска сказала, что это фича-баг, и на функциональность сие не влияет, типа в ближайших ИОСах поправим, если руки дойдут.
А ПБР на sup32 действительно работает.

>
>to: avallac
>Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая
>паранояc ;)).
>Про полиси роутинг на свиче - ну свич  свичу рознь. Я
>доверяю циска фича нафигатору в котором говорится что на sup32 PBR
>есть.
>

Я и говорил, что будет работать. Только свичи обычно каунтеры не рисуют, вот и все. И все же я вам рекомендовал бы WCCP ) Более красивая для этого технология.

>>
>>Это шутко такое?
>>
>
>А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или
>/29 или /30.
>172.16.100.8/29 (Broadcast 172.16.100.15)
>или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)

Вот примерчег:

(net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24)

Broadcast 172.16.100.15 отсутствует...

>Вот примерчег:
>
>(net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24)
>
>Broadcast 172.16.100.15 отсутствует...

А потом такие ... кхм ... лезут на форум: "ОЙ!!! Циско - говно. Не работает". При такой сети я бы посоветовал вначале навести порядок в голове, а уже потом браться что-то настраивать.