configure terminal !!! acl для тех кому разрешен весь Интернет no ip access-list extended ACL_ACCEPT ip access-list extended ACL_ACCEPT permit ip any any !!! Пример acl для внешней сети no ip access-list extended Internet_Out ip access-list extended Internet_Out deny ip any host 77.77.77.7 permit ip any any no ip access-list extended Internet_In ip access-list extended Internet_In deny ip host 77.77.77.7 any permit ip any any !!! Пример acl для локальной сети без ограничения скорости no ip access-list extended Peering_Out ip access-list extended Peering_Out permit ip any 192.168.0.0 0.3.255.255 no ip access-list extended Peering_In ip access-list extended Peering_In permit ip 192.168.0.0 0.3.255.255 any !!! acl какие сайты разрешены при отрицательном балансе no ip access-list extended ACL_NEGBAL_TRUSTED ip access-list extended ACL_NEGBAL_TRUSTED @@@ for net in trusted_negbal permit ip any {{net}} permit ip {{net}} any @@@ endfor permit udp any any eq domain permit ip any host {{cabinet_ip}} permit ip host {{cabinet_ip}} any !!! Классифицируем(маркируем) трафик попадающий в ACL_ACCEPT маркером с именем "CLS_ACCEPT" class-map type traffic match-any CLS_ACCEPT match access-group output name ACL_ACCEPT match access-group input name ACL_ACCEPT !!! Классифицируем(маркируем) внешний трафик class-map type traffic match-any Internet match access-group input name Internet_Out match access-group output name Internet_In !!! Классифицируем(маркируем) локальный трафик без ограничения скорости class-map type traffic match-any Peering match access-group output name Peering_In match access-group input name Peering_Out !!! Классифицируем(маркируем) трафик попадающий в ACL_NEGBAL_TRUSTED маркером с именем "CLS_NEGBAL_TRUSTED" class-map type traffic match-any CLS_NEGBAL_TRUSTED match access-group input name ACL_NEGBAL_TRUSTED match access-group output name ACL_NEGBAL_TRUSTED !!! acl какой трафик редиректить на страницу с отрицательным балансом no ip access-list extended ACL_NEGBAL_REDIRECT ip access-list extended ACL_NEGBAL_REDIRECT !!! Здесь мы вынуждены продублировать правила сайтов доступных при отрицательном балансе !!! тк приоритет сервисов на asr 1000 задать ну получается, при этом на 7200 и без этого работает. !!! deny - означает не блокировку, а "не маркировать" @@@ for net in trusted_negbal deny ip any {{net}} deny ip {{net}} any @@@ endfor deny ip any host {{cabinet_ip}} deny ip host {{cabinet_ip}} any !!! Здесь указано какой трафик маркировать для редиректа на отрицательный баланс permit tcp any any eq www !!! остальной трафик игнорируем deny ip any any !!! Классифицируем(маркируем) Входящий трафик попадающий в ACL_NEGBAL_REDIRECT маркером с именем "CLS_NEGBAL_REDIRECT" class-map type traffic match-any CLS_NEGBAL_REDIRECT match access-group input name ACL_NEGBAL_REDIRECT !!! acl какие сайты разрешены при блокировке администратором no ip access-list extended ACL_BLOCKED_TRUSTED ip access-list extended ACL_BLOCKED_TRUSTED @@@ for net in trusted_blocked permit ip any {{net}} permit ip {{net}} any @@@ endfor permit udp any any eq domain permit ip any host {{cabinet_ip}} permit ip host {{cabinet_ip}} any !!! acl какой трафик без ограничения скорости ip access-list extended ACL_NOSHAPE @@@ for src in noshape_net+local_net @@@ for dst in noshape_net+local_net permit ip {{src}} {{dst}} permit ip {{dst}} {{src}} @@@ endfor @@@ endfor !!! классификация трафика без ограничения скорости class-map type traffic match-any CLS_NOSHAPE match access-group output name ACL_NOSHAPE match access-group input name ACL_NOSHAPE !!! классификация трафика разрешенного при блокировке админом class-map type traffic match-any CLS_BLOCKED_TRUSTED match access-group input name ACL_BLOCKED_TRUSTED match access-group output name ACL_BLOCKED_TRUSTED !!! acl редирект на страницу блокировки админом no ip access-list extended ACL_BLOCKED_REDIRECT ip access-list extended ACL_BLOCKED_REDIRECT @@@ for net in trusted_blocked deny ip any {{net}} deny ip {{net}} any @@@ endfor deny ip any host {{cabinet_ip}} deny ip host {{cabinet_ip}} any permit tcp any any eq www deny ip any any !!! классифицируем трафик редиректа при блокировке админом class-map type traffic match-any CLS_BLOCKED_REDIRECT match access-group input name ACL_BLOCKED_REDIRECT end exit