Muszę zrobić pewną route-map (w końcu mam 6500, więc nie muszę sobie
żałować ). Otóż w tej chwili jeśli dany delikwent ma zablokowany dostęp do internetu
to go wrzucam do odpowiedniej ACL i za pomocą route-map to zmieniam mu next-hop.
Kod: Zaznacz cały
route-map ZABLOKOWANI permit 10
match ip address ZABLOKOWANI
set ip next-hop A.B.C.D
!
ip access-list standard ZABLOKOWANI
permit A.B.C.D
permit A.B.C.D
permit A.B.C.D
permit A.B.C.D
...
8080 i 53 trafiają do odpowiedniego next-hop, a reszta z tych adresów IP trafia
do Null0.
Oczywiście najprościej da się to zrobić robiąc ACLkę w rodzaju
Kod: Zaznacz cały
ip access-list extended ZABLOKOWANI-porty
permit tcp A.B.C.D any eq 8080
permit tcp A.B.C.D any eq 8080
permit tcp A.B.C.D any eq 53
...
Kod: Zaznacz cały
route-map ZABLOKOWANI permit 10
match ip address ZABLOKOWANI-port
set ip next-hop A.B.C.D
!
route-map ZABLOKOWANI permit 20
match ip address ZABLOKOWANI
set interface Null0
!
mam jedną stałą ACLkę z listą portów, a drugą z listą adresów IP? Pytam dlatego,
że aktualizuje to z poziomu odpowiednich skryptów, których nie chciałbym przerabiać
aż tak mocno, poza tym zamiast jednej ACLki z 300 wpisami, miałbym dwie, które
miałyby takich wpisów aż 1200.
Mam dziwne przeczucie, że się da . Pod Linuksem robię to za pomocą łańcuchów
i markowania pakietów, ale tutaj nie mam takich rozbudowanych możliwości (za to
mam potęgę wydajności). Mam nadzieję, że coś z tych moich wypocin zrozumieliście.
Z góry dziękuje i pozdrawiam