abon_acl_cisco_noshape

Skip to end of metadata
Go to start of metadata
configure terminal

!!! acl для тех кому разрешен весь Интернет
no ip access-list extended ACL_ACCEPT
ip access-list extended ACL_ACCEPT
 permit ip any any


!!! Пример acl для внешней сети
no ip access-list extended Internet_Out
ip access-list extended Internet_Out
 deny   ip any host 77.77.77.7
 permit ip any any

no ip access-list extended Internet_In
ip access-list extended Internet_In
 deny   ip host 77.77.77.7 any
 permit ip any any


!!! Пример acl для локальной сети без ограничения скорости
no ip access-list extended Peering_Out
ip access-list extended Peering_Out
 permit ip any 192.168.0.0 0.3.255.255

no ip access-list extended Peering_In
ip access-list extended Peering_In
 permit ip 192.168.0.0 0.3.255.255 any



!!! acl какие сайты разрешены при отрицательном балансе
no ip access-list extended ACL_NEGBAL_TRUSTED
ip access-list extended ACL_NEGBAL_TRUSTED
@@@ for net in trusted_negbal
  permit ip any {{net}}
  permit ip {{net}} any
@@@ endfor
  permit udp any any eq domain
  permit ip any host {{cabinet_ip}}
  permit ip host {{cabinet_ip}} any

!!! Классифицируем(маркируем) трафик попадающий в ACL_ACCEPT  маркером с именем "CLS_ACCEPT"
class-map type traffic match-any CLS_ACCEPT
 match access-group output name ACL_ACCEPT
 match access-group input name ACL_ACCEPT


!!! Классифицируем(маркируем) внешний трафик
class-map type traffic match-any Internet
 match access-group input name Internet_Out
 match access-group output name Internet_In

!!! Классифицируем(маркируем) локальный трафик без ограничения скорости
class-map type traffic match-any Peering
 match access-group output name Peering_In
 match access-group input name Peering_Out





!!! Классифицируем(маркируем) трафик попадающий в ACL_NEGBAL_TRUSTED  маркером с именем "CLS_NEGBAL_TRUSTED"
class-map type traffic match-any CLS_NEGBAL_TRUSTED
 match access-group input name ACL_NEGBAL_TRUSTED
 match access-group output name ACL_NEGBAL_TRUSTED

!!! acl какой трафик редиректить на страницу с отрицательным балансом
no ip access-list extended ACL_NEGBAL_REDIRECT
ip access-list extended ACL_NEGBAL_REDIRECT
!!! Здесь мы вынуждены продублировать правила сайтов доступных при отрицательном балансе
!!! тк приоритет сервисов на asr 1000 задать ну получается, при этом на 7200 и без этого работает.
!!! deny - означает не блокировку, а "не маркировать"
@@@ for net in trusted_negbal
 deny ip any {{net}}
 deny ip {{net}} any
@@@ endfor
 deny ip any host {{cabinet_ip}}
 deny ip host {{cabinet_ip}} any
!!! Здесь указано какой трафик маркировать для редиректа на отрицательный баланс
 permit tcp any any eq www
!!! остальной трафик игнорируем
 deny ip any any

!!! Классифицируем(маркируем) Входящий трафик попадающий в ACL_NEGBAL_REDIRECT маркером с именем "CLS_NEGBAL_REDIRECT"
class-map type traffic match-any CLS_NEGBAL_REDIRECT
 match access-group input name ACL_NEGBAL_REDIRECT

!!! acl какие сайты разрешены при блокировке администратором
no ip access-list extended ACL_BLOCKED_TRUSTED
ip access-list extended ACL_BLOCKED_TRUSTED
@@@ for net in trusted_blocked
  permit ip any {{net}}
  permit ip {{net}} any
@@@ endfor
  permit udp any any eq domain
  permit ip any host {{cabinet_ip}}
  permit ip host {{cabinet_ip}} any

!!! acl какой трафик без ограничения скорости
ip access-list extended ACL_NOSHAPE
@@@ for src in noshape_net+local_net
    @@@ for dst in noshape_net+local_net
        permit ip {{src}} {{dst}}
        permit ip {{dst}} {{src}}
    @@@ endfor
@@@ endfor

!!! классификация трафика без ограничения скорости
class-map type traffic match-any CLS_NOSHAPE
 match access-group output name ACL_NOSHAPE
 match access-group input name ACL_NOSHAPE

!!! классификация трафика разрешенного при блокировке админом
class-map type traffic match-any CLS_BLOCKED_TRUSTED
 match access-group input name ACL_BLOCKED_TRUSTED
 match access-group output name ACL_BLOCKED_TRUSTED

!!! acl редирект на страницу блокировки админом
no ip access-list extended ACL_BLOCKED_REDIRECT
ip access-list extended ACL_BLOCKED_REDIRECT
@@@ for net in trusted_blocked
 deny ip any {{net}}
 deny ip {{net}} any
@@@ endfor
 deny ip any host {{cabinet_ip}}
 deny ip host {{cabinet_ip}} any
 permit tcp any any eq www
 deny ip any any

!!! классифицируем трафик редиректа при блокировке админом
class-map type traffic match-any CLS_BLOCKED_REDIRECT
 match access-group input name ACL_BLOCKED_REDIRECT



end
exit
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.