https://opennet.ru/openforum/vsluhforumID6/17961.html Нужно весь хттп-трафик завернуть принудительно за проксю.<br>Но никаких попаданий в acl нет, полиси роутинг не отрабатывает.<br>Железка 6509 c sup32. Аналогичную схему собрал на 7200, все отрабатывает на ура.<br>Включить дебаг на железке пока нет возможности. <br>Может быть что-то еще нужно включить на sup32 что бы заработал полиси роутинг? <br><br>Cisco Internetwork Operating System Software<br>IOS (tm) s3223_rp Software (s3223_rp-ADVIPSERVICESK9_WAN-M), Version 12.2(18)SXF9, RELEASE SOFTWARE (fc1)<br>WS-SUP32-GE-3B<br><br>interface Vlan100<br>###Интерфейс в Интернет########<br> ip address 172.16.100.2 255.255.255.248<br> no ip proxy-arp<br> ip policy route-map pbr_map_from_inet<br><br>interface Vlan1606<br>###Интерфейс в локалку########<br> ip address 172.16.101.1 255.255.255.0<br> ip policy route-map pbr_map_to_inet<br><br>ip access-list extended pbr_acl_from_inet<br> permit tcp any eq www host 172.16.100.15<br> permit tcp any eq 443 host 172.16.100.15<br> permit tcp any eq ftp host 172.16.100.15<br>ip access-list extended pbr_acl_to_inet<br> permit tcp hos https://opennet.ru/openforum/vsluhforumID6/17961.html#8 Tue, 13 Jan 2009 16:36:03 GMT &gt;<br>&gt;to: avallac <br>&gt;Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая <br>&gt;паранояc ;)). <br>&gt;Про полиси роутинг на свиче - ну свич свичу рознь. Я <br>&gt;доверяю циска фича нафигатору в котором говорится что на sup32 PBR <br>&gt;есть. <br>&gt;<br><br>Я и говорил, что будет работать. Только свичи обычно каунтеры не рисуют, вот и все. И все же я вам рекомендовал бы WCCP ) Более красивая для этого технология.<br> https://opennet.ru/openforum/vsluhforumID6/17961.html#7 Tue, 13 Jan 2009 16:31:26 GMT &gt;Вот примерчег: <br>&gt;<br>&gt;(net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24) <br>&gt;<br>&gt;Broadcast 172.16.100.15 отсутствует... <br><br>А потом такие ... кхм ... лезут на форум: "ОЙ!!! Циско - говно. Не работает". При такой сети я бы посоветовал вначале навести порядок в голове, а уже потом браться что-то настраивать.<br> https://opennet.ru/openforum/vsluhforumID6/17961.html#6 Tue, 13 Jan 2009 07:06:30 GMT &gt;&gt;<br>&gt;&gt;Это шутко такое? <br>&gt;&gt;<br>&gt;<br>&gt;А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или <br>&gt;/29 или /30. <br>&gt;172.16.100.8/29 (Broadcast 172.16.100.15) <br>&gt;или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15) <br><br>Вот примерчег:<br><br>(net 172.16.100.0/29)-R1-(net 10.0.0.0/30)-R2-(net 172.16.100.0/24)<br><br>Broadcast 172.16.100.15 отсутствует...<br> https://opennet.ru/openforum/vsluhforumID6/17961.html#5 Tue, 13 Jan 2009 06:45:04 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;to: sh_ <br>&gt;самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю. <br>&gt;Я просто проверял через sh acl, перед НГ не успел посмотреть <br>&gt;что на проксе творится. Сейчас трафик идет через проксю как и <br>&gt;прописано в полиси роутинге. Но counters в acl не увеличивается (точнее <br>&gt;там все по нулям), в sh route-map тоже нули. <br>&gt;Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса <br>&gt;(внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не <br>&gt;получается, приходится делать разный изврат. <br><br>Я даже тикет заводил в Циско-саппорте по поводу неприбывающих каунтеров в АЦЛ.<br>Циска сказала, что это фича-баг, и на функциональность сие не влияет, типа в ближайших ИОСах поправим, если руки дойдут.<br>А ПБР на sup32 действительно работает.<br> https://opennet.ru/openforum/vsluhforumID6/17961.html#4 Tue, 13 Jan 2009 06:23:16 GMT &gt;&gt;<br>&gt;&gt;Это шутко такое? <br>&gt;&gt;<br>&gt;<br>&gt;А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или <br>&gt;/29 или /30. <br>&gt;172.16.100.8/29 (Broadcast 172.16.100.15) <br>&gt;или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15) <br><br>to: avallac<br>Ошибки с адресами не смотрите - я ошибся при чистке примера (небольшая паранояc ;)). <br>Про полиси роутинг на свиче - ну свич свичу рознь. Я доверяю циска фича нафигатору в котором говорится что на sup32 PBR есть.<br><br>to: sh_<br>самое интересное что оно вроде даже работает. Т.е. трафик заворачивается на проксю. Я просто проверял через sh acl, перед НГ не успел посмотреть что на проксе творится. Сейчас трафик идет через проксю как и прописано в полиси роутинге. Но counters в acl не увеличивается (точнее там все по нулям), в sh route-map тоже нули. <br>Почему разные интерфейсы - там хитрая прокся - у нее два интерфейса (внутренний, внешний) т.к. по хорошему должна ставиться в разрыв. Но не получается, приходится делать разный изврат.<br><br> https://opennet.ru/openforum/vsluhforumID6/17961.html#3 Tue, 30 Dec 2008 07:11:20 GMT &gt;<br>&gt;Это шутко такое? <br>&gt;<br><br>А ты сам посчитай. 172.16.100.0/29 занят. Значит следующие сети с маской или /29 или /30.<br>172.16.100.8/29 (Broadcast 172.16.100.15)<br>или 172.16.100.8/30 + 172.16.100.12/30 (Broadcast 172.16.100.15)<br> https://opennet.ru/openforum/vsluhforumID6/17961.html#2 Tue, 30 Dec 2008 07:07:06 GMT <br>&gt;У тебя <br>&gt;interface Vlan100 <br>&gt;ip address 172.16.100.2 255.255.255.248 <br>&gt;Значит как ни крути, но получается, что 172.16.100.15 - бродкаст. <br><br>Это шутко такое?<br><br>2ilya<br><br>А пакетеги приходят на прокси? Что сниффер показывает? И почему next-hop разные для входящего и исходящего трафегов?<br> https://opennet.ru/openforum/vsluhforumID6/17961.html#1 Mon, 29 Dec 2008 21:23:06 GMT 7200 - Маршрутизатор<br>6500 - Свитч<br><br>Чувствуешь разницу, счетчики acl на свиче не должны расти, только если он не гонит трафик через центральный проц. Но при этом он должен работать. В свое время мне удавалось запустить WCCP на 7606. Это более красивое решение, чем вот так вот грубо мапить.<br><br>И это... твой IP в Acl - 172.16.100.15.<br><br>У тебя <br>interface Vlan100<br>ip address 172.16.100.2 255.255.255.248<br>Значит как ни крути, но получается, что 172.16.100.15 - бродкаст.<br>