Подскажите как реализовать следующию схему на cisco 7200
Есть пользователь интернета, при нулевом балансе его блокирует в access-list на cisco 7200.
Хотелось бы что-бы пользователь набирая любой адрес был перенаправлен на страницу, где
написано что он заблокирован.

• Редирект заблокированного пользователя на web-страницу,Аноним, 14:15 , 13-Янв-09
  • Редирект заблокированного пользователя на web-страницу,sclif13, 14:20 , 13-Янв-09
    • Редирект заблокированного пользователя на web-страницу,Аноним, 18:08 , 13-Янв-09
      • Редирект заблокированного пользователя на web-страницу,Andrei_V, 21:53 , 20-Янв-09
        • Редирект заблокированного пользователя на web-страницу,sclif13, 07:15 , 21-Янв-09
          • Редирект заблокированного пользователя на web-страницу,Andrei_V, 12:28 , 21-Янв-09
            • Редирект заблокированного пользователя на web-страницу,sclif13, 13:43 , 21-Янв-09
              • Редирект заблокированного пользователя на web-страницу,Andrei_V, 09:04 , 24-Фев-09
    • Редирект заблокированного пользователя на web-страницу,avallac, 19:40 , 13-Янв-09
      • Редирект заблокированного пользователя на web-страницу,sclif13, 14:09 , 14-Янв-09
        • Редирект заблокированного пользователя на web-страницу,Аноним, 15:39 , 14-Янв-09

>Подскажите как реализовать следующию схему на cisco 7200
>Есть пользователь интернета, при нулевом балансе его блокирует в access-list на cisco
>7200.
>Хотелось бы что-бы пользователь набирая любой адрес был перенаправлен на страницу, где
>
>написано что он заблокирован.

ну перебростьте его на http-proxy, например черз wccp

хотя я делаю сразу группу таких пользователей и для них уже работает безусловная пересылка на proxy-сервер

а через policy routing можно это сделать?
просто лишний прокси сервер ненужен

>а через policy routing можно это сделать?
>просто лишний прокси сервер ненужен

match ->
permit any any eq http

action ->
set ip next-hop <...>

>match ->
>permit any any eq http
>
>action ->
>set ip next-hop <...>

т.е. например заблокированным пользователям выдаем ip адреса из пула:

ip local pool blocked_users 10.1.4.2 10.1.4.254

access-list 4 permit 10.1.4.0 0.0.0.255

route-map you_are_blocked permit 10
match ip address 4
set ip next-hop 10.1.4.1

А на адресе 10.1.4.1 стоит сервер со страничкой - "Вы заблокированы".
Так примерно? Или что-то упустил?

Все так только на сервере надо заворачивать весь траф, который адресован на 80 порт серверов в инете на 80 порт.

>Все так только на сервере надо заворачивать весь траф, который адресован на
>80 порт серверов в инете на 80 порт.

что-то не пойму - что в моем фрагменте конфига надо поправить?

в конфиге cisco все правильно, на сервере надо через firewall надо завернуть траффик на 80 порт!

>в конфиге cisco все правильно, на сервере надо через firewall надо завернуть
>траффик на 80 порт!

ip local pool blocked_users 10.1.4.2 10.1.4.254

ip access-list extended blocked_users_acl
permit 10.1.4.0 0.0.0.255  any eq www
deny   tcp any any

route-map you_are_blocked permit 10
match ip address blocked_users_acl
set ip next-hop 10.1.4.1

так?

>а через policy routing можно это сделать?
>просто лишний прокси сервер ненужен

Тебе все равно нужен будет прокси. А WCCP даст тебе большую гибкость в настройке. Например необъязательно чтобы маршрутизатор и прокси были в одной IP сети. Настройка чучуть сложнее, но как правило оно того стоит.

С помощью policy routing получилось переправить на linux машину, где я добавил правило  
iptables -t nat -A PREROUTING -d ! 80.91.26.7 -p tcp --dport 80 -j DNAT --to-destination 80.91.26.7:80
Схема заработала, но вот хочется исключить linux и nat реализовать на cisco.
Есть какие-нибудь идеи?

>С помощью policy routing получилось переправить на linux машину, где я добавил
>правило
>iptables -t nat -A PREROUTING -d ! 80.91.26.7 -p tcp --dport 80
>-j DNAT --to-destination 80.91.26.7:80
>Схема заработала, но вот хочется исключить linux и nat реализовать на cisco.
>
>Есть какие-нибудь идеи?

wccp