{code}
configure terminal
!!! acl для тех кому разрешен весь Интернет
no ip access-list extended ACL_ACCEPT
ip access-list extended ACL_ACCEPT
permit ip any any
!!! Пример acl для внешней сети
no ip access-list extended Internet_Out
ip access-list extended Internet_Out
deny ip any host 77.77.77.7
permit ip any any
no ip access-list extended Internet_In
ip access-list extended Internet_In
deny ip host 77.77.77.7 any
permit ip any any
!!! Пример acl для локальной сети без ограничения скорости
no ip access-list extended Peering_Out
ip access-list extended Peering_Out
permit ip any 192.168.0.0 0.3.255.255
no ip access-list extended Peering_In
ip access-list extended Peering_In
permit ip 192.168.0.0 0.3.255.255 any
!!! acl какие сайты разрешены при отрицательном балансе
no ip access-list extended ACL_NEGBAL_TRUSTED
ip access-list extended ACL_NEGBAL_TRUSTED
@@@ for net in trusted_negbal
permit ip any {{net}}
permit ip {{net}} any
@@@ endfor
permit udp any any eq domain
permit ip any host {{cabinet_ip}}
permit ip host {{cabinet_ip}} any
!!! Классифицируем(маркируем) трафик попадающий в ACL_ACCEPT маркером с именем "CLS_ACCEPT"
class-map type traffic match-any CLS_ACCEPT
match access-group output name ACL_ACCEPT
match access-group input name ACL_ACCEPT
!!! Классифицируем(маркируем) внешний трафик
class-map type traffic match-any Internet
match access-group input name Internet_Out
match access-group output name Internet_In
!!! Классифицируем(маркируем) локальный трафик без ограничения скорости
class-map type traffic match-any Peering
match access-group output name Peering_In
match access-group input name Peering_Out
!!! Классифицируем(маркируем) трафик попадающий в ACL_NEGBAL_TRUSTED маркером с именем "CLS_NEGBAL_TRUSTED"
class-map type traffic match-any CLS_NEGBAL_TRUSTED
match access-group input name ACL_NEGBAL_TRUSTED
match access-group output name ACL_NEGBAL_TRUSTED
!!! acl какой трафик редиректить на страницу с отрицательным балансом
no ip access-list extended ACL_NEGBAL_REDIRECT
ip access-list extended ACL_NEGBAL_REDIRECT
!!! Здесь мы вынуждены продублировать правила сайтов доступных при отрицательном балансе
!!! тк приоритет сервисов на asr 1000 задать ну получается, при этом на 7200 и без этого работает.
!!! deny - означает не блокировку, а "не маркировать"
@@@ for net in trusted_negbal
deny ip any {{net}}
deny ip {{net}} any
@@@ endfor
deny ip any host {{cabinet_ip}}
deny ip host {{cabinet_ip}} any
!!! Здесь указано какой трафик маркировать для редиректа на отрицательный баланс
permit tcp any any eq www
!!! остальной трафик игнорируем
deny ip any any
!!! Классифицируем(маркируем) Входящий трафик попадающий в ACL_NEGBAL_REDIRECT маркером с именем "CLS_NEGBAL_REDIRECT"
class-map type traffic match-any CLS_NEGBAL_REDIRECT
match access-group input name ACL_NEGBAL_REDIRECT
!!! acl какие сайты разрешены при блокировке администратором
no ip access-list extended ACL_BLOCKED_TRUSTED
ip access-list extended ACL_BLOCKED_TRUSTED
@@@ for net in trusted_blocked
permit ip any {{net}}
permit ip {{net}} any
@@@ endfor
permit udp any any eq domain
permit ip any host {{cabinet_ip}}
permit ip host {{cabinet_ip}} any
!!! acl какой трафик без ограничения скорости
ip access-list extended ACL_NOSHAPE
@@@ for src in noshape_net+local_net
@@@ for dst in noshape_net+local_net
permit ip {{src}} {{dst}}
permit ip {{dst}} {{src}}
@@@ endfor
@@@ endfor
!!! классификация трафика без ограничения скорости
class-map type traffic match-any CLS_NOSHAPE
match access-group output name ACL_NOSHAPE
match access-group input name ACL_NOSHAPE
!!! классификация трафика разрешенного при блокировке админом
class-map type traffic match-any CLS_BLOCKED_TRUSTED
match access-group input name ACL_BLOCKED_TRUSTED
match access-group output name ACL_BLOCKED_TRUSTED
!!! acl редирект на страницу блокировки админом
no ip access-list extended ACL_BLOCKED_REDIRECT
ip access-list extended ACL_BLOCKED_REDIRECT
@@@ for net in trusted_blocked
deny ip any {{net}}
deny ip {{net}} any
@@@ endfor
deny ip any host {{cabinet_ip}}
deny ip host {{cabinet_ip}} any
permit tcp any any eq www
deny ip any any
!!! классифицируем трафик редиректа при блокировке админом
class-map type traffic match-any CLS_BLOCKED_REDIRECT
match access-group input name ACL_BLOCKED_REDIRECT
end
exit
{code}
configure terminal
!!! acl для тех кому разрешен весь Интернет
no ip access-list extended ACL_ACCEPT
ip access-list extended ACL_ACCEPT
permit ip any any
!!! Пример acl для внешней сети
no ip access-list extended Internet_Out
ip access-list extended Internet_Out
deny ip any host 77.77.77.7
permit ip any any
no ip access-list extended Internet_In
ip access-list extended Internet_In
deny ip host 77.77.77.7 any
permit ip any any
!!! Пример acl для локальной сети без ограничения скорости
no ip access-list extended Peering_Out
ip access-list extended Peering_Out
permit ip any 192.168.0.0 0.3.255.255
no ip access-list extended Peering_In
ip access-list extended Peering_In
permit ip 192.168.0.0 0.3.255.255 any
!!! acl какие сайты разрешены при отрицательном балансе
no ip access-list extended ACL_NEGBAL_TRUSTED
ip access-list extended ACL_NEGBAL_TRUSTED
@@@ for net in trusted_negbal
permit ip any {{net}}
permit ip {{net}} any
@@@ endfor
permit udp any any eq domain
permit ip any host {{cabinet_ip}}
permit ip host {{cabinet_ip}} any
!!! Классифицируем(маркируем) трафик попадающий в ACL_ACCEPT маркером с именем "CLS_ACCEPT"
class-map type traffic match-any CLS_ACCEPT
match access-group output name ACL_ACCEPT
match access-group input name ACL_ACCEPT
!!! Классифицируем(маркируем) внешний трафик
class-map type traffic match-any Internet
match access-group input name Internet_Out
match access-group output name Internet_In
!!! Классифицируем(маркируем) локальный трафик без ограничения скорости
class-map type traffic match-any Peering
match access-group output name Peering_In
match access-group input name Peering_Out
!!! Классифицируем(маркируем) трафик попадающий в ACL_NEGBAL_TRUSTED маркером с именем "CLS_NEGBAL_TRUSTED"
class-map type traffic match-any CLS_NEGBAL_TRUSTED
match access-group input name ACL_NEGBAL_TRUSTED
match access-group output name ACL_NEGBAL_TRUSTED
!!! acl какой трафик редиректить на страницу с отрицательным балансом
no ip access-list extended ACL_NEGBAL_REDIRECT
ip access-list extended ACL_NEGBAL_REDIRECT
!!! Здесь мы вынуждены продублировать правила сайтов доступных при отрицательном балансе
!!! тк приоритет сервисов на asr 1000 задать ну получается, при этом на 7200 и без этого работает.
!!! deny - означает не блокировку, а "не маркировать"
@@@ for net in trusted_negbal
deny ip any {{net}}
deny ip {{net}} any
@@@ endfor
deny ip any host {{cabinet_ip}}
deny ip host {{cabinet_ip}} any
!!! Здесь указано какой трафик маркировать для редиректа на отрицательный баланс
permit tcp any any eq www
!!! остальной трафик игнорируем
deny ip any any
!!! Классифицируем(маркируем) Входящий трафик попадающий в ACL_NEGBAL_REDIRECT маркером с именем "CLS_NEGBAL_REDIRECT"
class-map type traffic match-any CLS_NEGBAL_REDIRECT
match access-group input name ACL_NEGBAL_REDIRECT
!!! acl какие сайты разрешены при блокировке администратором
no ip access-list extended ACL_BLOCKED_TRUSTED
ip access-list extended ACL_BLOCKED_TRUSTED
@@@ for net in trusted_blocked
permit ip any {{net}}
permit ip {{net}} any
@@@ endfor
permit udp any any eq domain
permit ip any host {{cabinet_ip}}
permit ip host {{cabinet_ip}} any
!!! acl какой трафик без ограничения скорости
ip access-list extended ACL_NOSHAPE
@@@ for src in noshape_net+local_net
@@@ for dst in noshape_net+local_net
permit ip {{src}} {{dst}}
permit ip {{dst}} {{src}}
@@@ endfor
@@@ endfor
!!! классификация трафика без ограничения скорости
class-map type traffic match-any CLS_NOSHAPE
match access-group output name ACL_NOSHAPE
match access-group input name ACL_NOSHAPE
!!! классификация трафика разрешенного при блокировке админом
class-map type traffic match-any CLS_BLOCKED_TRUSTED
match access-group input name ACL_BLOCKED_TRUSTED
match access-group output name ACL_BLOCKED_TRUSTED
!!! acl редирект на страницу блокировки админом
no ip access-list extended ACL_BLOCKED_REDIRECT
ip access-list extended ACL_BLOCKED_REDIRECT
@@@ for net in trusted_blocked
deny ip any {{net}}
deny ip {{net}} any
@@@ endfor
deny ip any host {{cabinet_ip}}
deny ip host {{cabinet_ip}} any
permit tcp any any eq www
deny ip any any
!!! классифицируем трафик редиректа при блокировке админом
class-map type traffic match-any CLS_BLOCKED_REDIRECT
match access-group input name ACL_BLOCKED_REDIRECT
end
exit
{code}