configure terminal !!! acl для тех кому разрешен весь Интернет no ip access-list extended ACL_ACCEPT ip access-list extended ACL_ACCEPT permit ip any any !!! acl какие сайты разрешены при отрицательном балансе no ip access-list extended ACL_NEGBAL_TRUSTED ip access-list extended ACL_NEGBAL_TRUSTED @@@ for net in trusted_negbal permit ip any {{net}} permit ip {{net}} any @@@ endfor permit udp any any eq domain permit ip any host {{cabinet_ip}} permit ip host {{cabinet_ip}} any !!! Классифицируем(маркируем) трафик попадающий в ACL_ACCEPT маркером с именем "CLS_ACCEPT" class-map type traffic match-any CLS_ACCEPT match access-group output name ACL_ACCEPT match access-group input name ACL_ACCEPT !!! Классифицируем(маркируем) трафик попадающий в ACL_NEGBAL_TRUSTED маркером с именем "CLS_NEGBAL_TRUSTED" class-map type traffic match-any CLS_NEGBAL_TRUSTED match access-group input name ACL_NEGBAL_TRUSTED match access-group output name ACL_NEGBAL_TRUSTED !!! acl какой трафик редиректить на страницу с отрицательным балансом no ip access-list extended ACL_NEGBAL_REDIRECT ip access-list extended ACL_NEGBAL_REDIRECT !!! Здесь мы вынуждены продублировать правила сайтов доступных при отрицательном балансе !!! тк приоритет сервисов на asr 1000 задать ну получается, при этом на 7200 и без этого работает. !!! deny - означает не блокировку, а "не маркировать" @@@ for net in trusted_negbal deny ip any {{net}} deny ip {{net}} any @@@ endfor deny ip any host {{cabinet_ip}} deny ip host {{cabinet_ip}} any !!! Здесь указано какой трафик маркировать для редиректа на отрицательный баланс permit tcp any any eq www !!! остальной трафик игнорируем deny ip any any !!! Классифицируем(маркируем) Входящий трафик попадающий в ACL_NEGBAL_REDIRECT маркером с именем "CLS_NEGBAL_REDIRECT" class-map type traffic match-any CLS_NEGBAL_REDIRECT match access-group input name ACL_NEGBAL_REDIRECT !!! acl какие сайты разрешены при блокировке администратором no ip access-list extended ACL_BLOCKED_TRUSTED ip access-list extended ACL_BLOCKED_TRUSTED @@@ for net in trusted_blocked permit ip any {{net}} permit ip {{net}} any @@@ endfor permit udp any any eq domain permit ip any host {{cabinet_ip}} permit ip host {{cabinet_ip}} any !!! acl какой трафик без ограничения скорости ip access-list extended ACL_NOSHAPE @@@ for src in noshape_net+local_net @@@ for dst in noshape_net+local_net permit ip {{src}} {{dst}} permit ip {{dst}} {{src}} @@@ endfor @@@ endfor !!! классификация трафика без ограничения скорости class-map type traffic match-any CLS_NOSHAPE match access-group output name ACL_NOSHAPE match access-group input name ACL_NOSHAPE !!! классификация трафика разрешенного при блокировке админом class-map type traffic match-any CLS_BLOCKED_TRUSTED match access-group input name ACL_BLOCKED_TRUSTED match access-group output name ACL_BLOCKED_TRUSTED !!! acl редирект на страницу блокировки админом no ip access-list extended ACL_BLOCKED_REDIRECT ip access-list extended ACL_BLOCKED_REDIRECT @@@ for net in trusted_blocked deny ip any {{net}} deny ip {{net}} any @@@ endfor deny ip any host {{cabinet_ip}} deny ip host {{cabinet_ip}} any permit tcp any any eq www deny ip any any !!! классифицируем трафик редиректа при блокировке админом class-map type traffic match-any CLS_BLOCKED_REDIRECT match access-group input name ACL_BLOCKED_REDIRECT end exit