Добрый день.Схема сети.
Cisco 3825
2 провайдера, интернет от которых получаем по BGP.
Своя автономка.
Интернет клиентам раздаётся путём выделения каждому своего vlan-а.
На просторах интернета найден скрипт, забирающий и парсящий реестр раз в сутки и создающий на его основе два access-листа. Один для nginx, второй для cisco.
На cisco создан access-list "rzs" а так же route-map на основе данного листа, заворачивающий весть трафик до определённых IP на хост с nginx, который выступает прокси-сервером.
# show route-map rzs
route-map rzs, permit, sequence 1
Match clauses:
ip address (access-lists): rzs
Set clauses:
ip next-hop 1.2.3.4
Policy routing matches: 0 packets, 0 bytes# show ip access-lists rzs
Extended IP access list rzs
10 permit tcp any host 103.31.186.56 eq www 443
20 permit tcp any host 103.31.186.73 eq www 443
30 permit tcp any host 108.162.192.166 eq www 443
....
Задача.
Ограничить всем клиентам доступ к определённым ресурсам(реестр запрещённых сайтов).
Пробовал вешать данный route-map на интерфейсы провайдеров и на BGP-пиров, но результата не получил.
Необходимо из под линукс, при помощи TCL или expect повесить route-map на все существующие клиентские интерфейсы(Gi0/1.XXX), а так же автоматизировать пере-генерацию access-list.
Вариант с "interface range" не подходит, т.к. клиентские vlan-ы идут не по порядку и в результате выполнения этой команды создаются недостающие интерфейсы.
Перечитал много форумов и примеров tcl-скриптов, но сделать то что нужно не получается.
Если поможете повесить route-map на BGP, буду очень благодарен.
Останется тогда лишь автоматизировать пере-генерацию access-list на cisco.
Прошу помощи.
