ACL и Route map

@father_fbi · Регистрация: 29.10.2012

Студворк — интернет-сервис помощи студентам

Всем привет.
Есть железка Cisco Catalyst 3550

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
catalyst#show run
Building configuration...
 
Current configuration : 1808 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname catalyst
!
!
ip subnet-zero
ip routing
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
interface GigabitEthernet0/1
 switchport mode dynamic desirable
!
interface GigabitEthernet0/2
 switchport mode dynamic desirable
!
interface GigabitEthernet0/3
 switchport mode dynamic desirable
!
interface GigabitEthernet0/4
 switchport mode dynamic desirable
!
interface GigabitEthernet0/5
 switchport mode dynamic desirable
!
interface GigabitEthernet0/6
 switchport mode dynamic desirable
!
interface GigabitEthernet0/7
 switchport mode dynamic desirable
!
interface GigabitEthernet0/8
 switchport mode dynamic desirable
!
interface GigabitEthernet0/9
 switchport mode dynamic desirable
!
interface GigabitEthernet0/10
 switchport mode dynamic desirable
!
interface GigabitEthernet0/11
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 9-12
 switchport mode trunk
 no cdp enable
!
interface GigabitEthernet0/12
 switchport access vlan 11
 switchport mode dynamic desirable
!
interface Vlan1
 no ip address
!
interface Vlan9
 ip address 10.170.1.1 255.255.255.0
!
interface Vlan10
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan11
 ip address 192.168.1.1 255.255.255.0
!
interface Vlan12
 ip address 192.168.0.1 255.255.255.0
!
interface Vlan330
 no ip address
!
interface Vlan331
 no ip address
!
ip classless
ip http server
!
!
!
!
line con 0
line vty 0 4
 login
line vty 5 15
 login
!
end

Есть 2 сервер в сети с Ip 10.170.1.100 и 10.170.1.200
Задача такая. Если пользователь обращается на сервер 10.170.1.100 по порту 3000 нужно что бы его перекинуло на 10.170.1.200. Все остальные порты которые пользователь будет запрашивать на сервере 10.170.1.100 направлялись на 10.170.1.100

Jabbson · 30.10.2012, 00:56

Destination NAT

@father_fbi · 30.10.2012, 10:53 **[ТС]**

Сообщение от Jabbson

Destination NAT

На Cisco Catalyst????
Тему можно закрывать, так как недельное копание гугла дало свои плоды))

Jabbson · 30.10.2012, 14:45

Сообщение от father_fbi

На Cisco Catalyst????

хотя да, действительно, чего это я)

Сообщение от father_fbi

недельное копание гугла дало свои плоды))

так делитесь, может поможет же кому

@father_fbi · 30.10.2012, 15:08 **[ТС]**

Для перенаправление трафика. Нужно создать ACL
Примерное такого содержания

Code
1
access-list 100 permit any any 80

acl мы не вешаем на интерфейс. Хотя на многих сайтах пишут что нужно вешать, это все лож. acl создается для route-map которые будет брать правила из acl
Пример

Code
1
2
3
route-map test
match ip address 100
set ip next hop 8.8.8.8

Я создал route-map с именем test, далее я указал что матчить нужно IP адреса из ACL под номером 100. Перед этим я прописал в acl вместо IP адреса any (тоесть все). И в route-map в строке set ip next-hop мы прописываем куда перекидывать пакеты.
Дальше мы заходим на нужный нам vlan и вешаем наш route-map
ip policy route-map test
В итоге мы получаем что все пакеты которые будут обращатся на 80 порт и проходить через vlan на котором висит route-map буду перекидываться на 8.8.8.8

Jabbson · 30.10.2012, 15:25

Тогда у меня будет пара вопросов -

1) у вас 8.8.8.8 - это действительно next-hop? Эта команда определяет следующий hop, куда будет направлен Ваш пакет. Это должен быть соседний роутер (next-hop).
2) если переправить пакет, который направляется на (предположим) 7.7.7.7 в сторону next-hop 8.8.8.8, то это ни в коем рази не поменяет графу destination ip пакета, и когда он придет на 8.8.8.8 тот не будет знать что с ним делать, потому что он не по адресу. Как Вы решили эту проблему?

@father_fbi · 30.10.2012, 15:38 **[ТС]**

Сообщение от Jabbson

Тогда у меня будет пара вопросов -

1) у вас 8.8.8.8 - это действительно next-hop? Эта команда определяет следующий hop, куда будет направлен Ваш пакет. Это должен быть соседний роутер (next-hop).
2) если переправить пакет, который направляется на (предположим) 7.7.7.7 в сторону next-hop 8.8.8.8, то это ни в коем рази не поменяет графу destination ip пакета, и когда он придет на 8.8.8.8 тот не будет знать что с ним делать, потому что он не по адресу. Как Вы решили эту проблему?

destination он не поменяет. И поэтому что бы 8.8.8.8 ответил. Там вернуть пакет обратно. Я сделал это с помощью iptables
У меня задача стояла вообще так.

Пользователь с диапазоном IP 10.1.0.0/16 при наборе любого сайта в браузере должны перекидываться на сервер с биллингом который любезно с помощью Apache и личного кабинета говорит пользователю что у того отрицательный баланс и что он сидит на сером IP который ведет только в личный кабинет.
Раньше это было реализовано через NAS сервера с помощью того же iptables. Но это был один огромный костыль.
А с помощью циски, которая является ядром для пользователей. Все это получилось с помощью 2 правил.

Code
1
2
3
4
5
access-list 100 permit tcp any any eq www
access-list 100 permit tcp any any eq 443
route-map redirect permit 10
 match ip address 100
 set ip next-hop "адрес биллинга"

route-map повесил на абонентский vlan. Если пользователь щимится через указаные в acl порты. Его перекидывает на биллинг.

Новые блоги и статьи Все статьи Все блоги /
Программная установка даты и запрет ее изменения Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: при создании документов установить период списания автоматически. . .	Вывод данных через динамический список в справочнике Maks 01.04.2026 Реализация из решения ниже выполнена на примере нетипового справочника "Спецтехника" разработанного в конфигурации КА2. Задача: вывести данные из ТЧ нетипового документа. . .	Функция заполнения текстового поля в реквизите формы документа Maks 01.04.2026 Алгоритм из решения ниже реализован на нетиповом документе "ВыдачаОборудованияНаСпецтехнику" разработанного в конфигурации КА2, в дополнении к предыдущему решению. На форме документа создается. . .	К слову об оптимизации kumehtar 01.04.2026 Вспоминаю начало 2000-х, университет, когда я писал на Delphi. Тогда среди программистов на форумах активно обсуждали аккуратную работу с памятью: нужно было следить за переменными, вовремя. . .
Идея фильтра интернета (сервер = слой+фильтр). Hrethgir 31.03.2026 Суть идеи заключается в том, чтобы запустить свой сервер, о чём я если честно мечтал давно и давно приобрёл книгу как это сделать. Но не было причин его запускать. Очумелые учёные напечатали на. . .	Модель здравосоХранения 6. ESG-повестка и устойчивое развитие; углублённый анализ кадрового бренда anaschu 31.03.2026 В прикрепленном документе раздумья о том, как можно поменять модель в будущем	10 пpимет, которые всегда сбываются Maks 31.03.2026 1. Чтобы, наконец, пришла маршрутка, надо закурить. Если сигарета последняя, маршрутка придет еще до второй затяжки даже вопреки расписанию. 2. Нaдоели зима и снег? Не надо переезжать. Достаточно. . .	Перемещение выделенных строк ТЧ из одного документа в другой Maks 31.03.2026 Реализация из решения ниже выполнена на примере нетипового документа "ВыдачаОборудованияНаСпецтехнику" с единственной табличной частью "ОборудованиеИКомплектующие" разработанного в конфигурации КА2. . . .

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	30.10.2012, 00:56
	Destination NAT 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	30.10.2012, 15:25
	Тогда у меня будет пара вопросов - 1) у вас 8.8.8.8 - это действительно next-hop? Эта команда определяет следующий hop, куда будет направлен Ваш пакет. Это должен быть соседний роутер (next-hop). 2) если переправить пакет, который направляется на (предположим) 7.7.7.7 в сторону next-hop 8.8.8.8, то это ни в коем рази не поменяет графу destination ip пакета, и когда он придет на 8.8.8.8 тот не будет знать что с ним делать, потому что он не по адресу. Как Вы решили эту проблему? 0