URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11937
[ Назад ]

Исходное сообщение
"Access list"
Отправлено den68 , 10-Ноя-06 02:03

Есть ли в природе метод хранения acl листа в файле ? имееться в виду чтобы циска деномический его подчитывала с флеша или по tftp.
С dhcp сервером циска умеет хранить leases на tftp, а с acl документации я чего-то не нашел.
И возможно ли проводить авторизацию по ip клиента, не через VPN,pppd с помощью радиуса?
если можно, примеры плз.

Содержание

Access list,Az, 06:23 , 10-Ноя-06
Access list,Lacunacoil, 09:43 , 10-Ноя-06
- Access list,den68, 23:52 , 10-Ноя-06
  - Access list,Lacunacoil, 09:24 , 13-Ноя-06
    - Access list,den68, 00:13 , 15-Ноя-06
      - Access list,AlexFirst, 16:03 , 15-Ноя-06

Сообщения в этом обсуждении

"Access list"
Отправлено Az , 10-Ноя-06 06:23

>Есть ли в природе метод хранения acl листа в файле ? имееться
>в виду чтобы циска деномический его подчитывала с флеша или по
>tftp.
Насколько я знаю - нет.
>И возможно ли проводить авторизацию по ip клиента, не через VPN,pppd с
>помощью радиуса?
>если можно, примеры плз.
А если не секрет - какой смысл в авторизации по IP? Его же подменить - легче легкого...

"Access list"
Отправлено Lacunacoil , 10-Ноя-06 09:43

>Есть ли в природе метод хранения acl листа в файле ? имееться
>в виду чтобы циска деномический его подчитывала с флеша или по
>tftp.
Можно написать скрипт который будет это делать например на perl или на sh.
Все равно же кто то будет править твой текстовый файл, вот заодно может и скормить его цыске.
>
>С dhcp сервером циска умеет хранить leases на tftp, а с acl
>документации я чего-то не нашел.
>
>И возможно ли проводить авторизацию по ip клиента, не через VPN,pppd с
>помощью радиуса?
>если можно, примеры плз.

Не понятно авторизацию для доступа к чему ?

"Access list"
Отправлено den68 , 10-Ноя-06 23:52

>Можно написать скрипт который будет это делать например на perl или на
>sh.
>Все равно же кто то будет править твой текстовый файл, вот заодно
>может и скормить его цыске.
Это да, но непонятно как скармливать отдельный ACL не меняя весь лист данного ACL, поскольку последнее правило deny any.
А на 1000-2000 юзеров дерготня ACL может быть несколько раз в секунду. Как к этому отнесеться циска, я догадываюсь, но проверять на живых пользователях свою правоту не хочеться.
Или както возможно удалить конкретную запись и/или добавить конкретную запись?
Если есть пример, покажите плз.
>>И возможно ли проводить авторизацию по ip клиента, не через VPN,pppd с
>>помощью радиуса?
>
>Не понятно авторизацию для доступа к чему ?
При прохождении авторизации предположим меняеться ACL с deny на permit, а далее, сняв фильтр доступ к сети в соответствии с роутингом, натом, и т.д.

"Access list"
Отправлено Lacunacoil , 13-Ноя-06 09:24

>>Можно написать скрипт который будет это делать например на perl или на
>>sh.
>>Все равно же кто то будет править твой текстовый файл, вот заодно
>>может и скормить его цыске.
>
>Это да, но непонятно как скармливать отдельный ACL не меняя весь лист
>данного ACL, поскольку последнее правило deny any.
>
>А на 1000-2000 юзеров дерготня ACL может быть несколько раз в секунду.
>Как к этому отнесеться циска, я догадываюсь, но проверять на живых
>пользователях свою правоту не хочеться.
>
>Или както возможно удалить конкретную запись и/или добавить конкретную запись?
>Если есть пример, покажите плз.
Да это возможно есть расширеные нумерованные АКЛи  в них можно, такой АКЛ если посмотреть то он будет с номер на каждое правило.
пример:
#conf t
#ip access-list extended IMYA
#?
Ext Access List configuration commands:
  <1-2147483647>  Sequence Number                        < вот то что тебе нужно
  default         Set a command to its defaults
  deny            Specify packets to reject
  dynamic         Specify a DYNAMIC list of PERMITs or DENYs
  evaluate        Evaluate an access list
  exit            Exit from access-list configuration mode
  no              Negate a command or set its defaults
  permit          Specify packets to forward
  remark          Access list entry comment
>
>>>И возможно ли проводить авторизацию по ip клиента, не через VPN,pppd с
>>>помощью радиуса?
>>
>>Не понятно авторизацию для доступа к чему ?
>
>При прохождении авторизации предположим меняеться ACL с deny на permit, а далее,
>сняв фильтр доступ к сети в соответствии с роутингом, натом, и
>т.д.
На вскидку нечего сказать не могу но с помощью радиуса можно все :)

А может совсем будет проще описать всю задачу и тогда всем будет легче на нее ответить ?

"Access list"
Отправлено den68 , 15-Ноя-06 00:13

>Да это возможно есть расширеные нумерованные АКЛи в них можно, такой
>АКЛ если посмотреть то он будет с номер на каждое правило.
>
>пример:
>
>#conf t
>#ip access-list extended IMYA
>#?
>Ext Access List configuration commands:
> <1-2147483647> Sequence Number < вот то что тебе нужно
Во, спасибо, это самое и требовалось - пойду скрипты писать ..

"Access list"
Отправлено AlexFirst , 15-Ноя-06 16:03

>>Да это возможно есть расширеные нумерованные АКЛи в них можно, такой
>>АКЛ если посмотреть то он будет с номер на каждое правило.
>>
>>пример:
>>
>>#conf t
>>#ip access-list extended IMYA
>>#?
>>Ext Access List configuration commands:
>> <1-2147483647> Sequence Number < вот то что тебе нужно
>
>Во, спасибо, это самое и требовалось - пойду скрипты писать ..
Могу предложить еще вот так:
- Прописать айпишник в ACL
acce 100 permit ip host 11.11.11.11 any
- выписать айпишник из ACL:
ip acce ex 100
no permit ip host 11.11.11.11 any
exit