Банальная ситуация - периодически необходимо отключать/подключать пользователей в ACL. Как подключить я знаю, но вот когда пытаюсь отключить командой:
no access-list 1 permit 192.168.0.10
то удаляется весь access-list 1
а мне нужно только что бы удалилась запись:
access-list 1 permit 192.168.0.10
Подскажите как грамотно организовать данный процесс отключения- подключения (впоследствии предполагается его автоматизировать при помощи программы, которая будет это делать автоматически)?
Вроде слышал можно заливать команды из файла? Если да, то как это сделать?
>Банальная ситуация - периодически необходимо отключать/подключать пользователей в ACL. Как подключить я
>знаю, но вот когда пытаюсь отключить командой:
>no access-list 1 permit 192.168.0.10
>то удаляется весь access-list 1
>а мне нужно только что бы удалилась запись:
>access-list 1 permit 192.168.0.10
>Подскажите как грамотно организовать данный процесс отключения- подключения (впоследствии предполагается его автоматизировать
>при помощи программы, которая будет это делать автоматически)?
>Вроде слышал можно заливать команды из файла? Если да, то как это
>сделать?Править ацлы построчно нельзя. Пробуй делать проще - правишь в файле на удаленной системе, и потом просто удаляшеь старый acl и втыкаешь новый. Ну разные терминалки (putty?) позволяют работать с буфером обмена. Или аналогично, только вливать рабочий конфиг по tftp или ftp.
#copy tftp://<servername-or-ip>/<filename> running-configHint: При вливании нового конфига, можно ничего не удалять.
>Править ацлы построчно нельзя. Пробуй делать проще - правишь в файле на
>удаленной системе, и потом просто удаляшеь старый acl и втыкаешь новый.
>Ну разные терминалки (putty?) позволяют работать с буфером обмена. Или аналогично,
>только вливать рабочий конфиг по tftp или ftp.
>#copy tftp://<servername-or-ip>/<filename> running-config
>
>Hint: При вливании нового конфига, можно ничего не удалять.Спасибо за ответ.
Можно ли вместо использования терминалки накорябать какой-нибудь скриптик? Что бы этот скриптик сам удалял старый ACL и добавлял новый ACL?
Был бы рад за примерчик такого скрипта.
>>Править ацлы построчно нельзя. Пробуй делать проще - правишь в файле на
>>удаленной системе, и потом просто удаляшеь старый acl и втыкаешь новый.
>>Ну разные терминалки (putty?) позволяют работать с буфером обмена. Или аналогично,
>>только вливать рабочий конфиг по tftp или ftp.
>>#copy tftp://<servername-or-ip>/<filename> running-config
>>
>>Hint: При вливании нового конфига, можно ничего не удалять.
>
>Спасибо за ответ.
>Можно ли вместо использования терминалки накорябать какой-нибудь скриптик? Что бы этот скриптик
>сам удалял старый ACL и добавлял новый ACL?
>Был бы рад за примерчик такого скрипта.Он "на коленке" за полчаса пишется. думаю что rsh тебе пригодится ;)
А вообще вопрос к местным гуру есть, можно ли по SNMP править acl?
>Можно ли вместо использования терминалки накорябать какой-нибудь скриптик? Что бы этот скриптик
>сам удалял старый ACL и добавлял новый ACL?
>Был бы рад за примерчик такого скрипта.
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tec...
http://www.lanbilling.ru/acl_solution.htmlТолько учти, что уже установленные соединения убиваться не будут.
Т. е. например есть ACL котрый позволяет юзеру качать из инета. Он запускает файл на скачку. Ты удаляешь ACL а юзер продолжает качать. Но новые соединения уже не сможет установить.
Не помню лечится ли это отключением netflow, но вроде нет.
Еще AFAIK для того чтоб динамически обрубать соединения нужен IOS с FW feature set
>Только учти, что уже установленные соединения убиваться не будут.
>
>Т. е. например есть ACL котрый позволяет юзеру качать из инета. Он
>запускает файл на скачку. Ты удаляешь ACL а юзер продолжает качать.
>Но новые соединения уже не сможет установить.это какэто?
ацл каждый передаваемый байт проверяет вообщето
>это какэто?
>ацл каждый передаваемый байт проверяет вообщетокаждый только при process switching проверяется.
При использовании CEF и Netflow может не каждый проверяться.На 3640 с IOS IP PLUS сам наблюдал указанную картину:
http://groups.google.ru/groups?selm=c6j2oc%24683%2...
помоему в named access-listах можно удолять построчно.
>Банальная ситуация - периодически необходимо отключать/подключать пользователей в ACL. Как подключить я
>знаю, но вот когда пытаюсь отключить командой:
>no access-list 1 permit 192.168.0.10
>то удаляется весь access-list 1
>а мне нужно только что бы удалилась запись:
>access-list 1 permit 192.168.0.10
>Подскажите как грамотно организовать данный процесс отключения- подключения (впоследствии предполагается его автоматизировать
>при помощи программы, которая будет это делать автоматически)?
>Вроде слышал можно заливать команды из файла? Если да, то как это
>сделать?даешь команду ip access-list standart 1.
после этого чтобы добавить адресс - permit A.B.C.D
удалить адрес из access-lista - no permit A.B.C.D
Вот еще вопрос -
Знаю, что можно заливать ACL с помощью tftp сервера.
А где бы про это посмотреть и как это делать.?
Сколько не копался в инете - не смог разобраться.
>Вот еще вопрос -
>Знаю, что можно заливать ACL с помощью tftp сервера.
>А где бы про это посмотреть и как это делать.?
>Сколько не копался в инете - не смог разобраться.А читать то, что пишут в этом треде пробовал?
Я ужепостил ссылки
http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tec...
http://www.lanbilling.ru/acl_solution.html
Там все достаточно понятно написано. А если после прочтения этих док не смог разобраться, то подумай стоит ли тебе вообще заниматься цисками.
>Я ужепостил ссылки
>http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tec...
>http://www.lanbilling.ru/acl_solution.html
>Там все достаточно понятно написано. А если после прочтения этих док не
>смог разобраться, то подумай стоит ли тебе вообще заниматься цисками.Для спеца может и понятно, а я чайник. Что и отобразил в своем нике.
Решение вопроса по второму адресу подразумевает заливку всей конфигурации циско? Я вроде слышал, что можно только ACL заливать или это не так?
А насколько это хорошо постоянно перезаписывать всю конфигурацию циски? Или ей все равно?
>>Я ужепостил ссылки
>>http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tec...
>>http://www.lanbilling.ru/acl_solution.html
>>Там все достаточно понятно написано. А если после прочтения этих док не
>>смог разобраться, то подумай стоит ли тебе вообще заниматься цисками.
>
>Для спеца может и понятно, а я чайник. Что и отобразил в
>своем нике.
>Решение вопроса по второму адресу подразумевает заливку всей конфигурации циско? Я вроде
>слышал, что можно только ACL заливать или это не так?
>А насколько это хорошо постоянно перезаписывать всю конфигурацию циски? Или ей все
>равно?Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла?
>Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла?running-config это набор команд конфигурации.
когда заливаешь по tftp в running-config они обрабатываются так же, как если бы ты их вводил руками после configure terminal
чтоб пометь acl не трогая остальное делаешь файл вида
no acl 1
acl 1 ....
acl 1
и в доке по второй ссылке это есть.
>>Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла?
>
>running-config это набор команд конфигурации.
>когда заливаешь по tftp в running-config они обрабатываются так же, как если
>бы ты их вводил руками после configure terminal
>чтоб пометь acl не трогая остальное делаешь файл вида
>no acl 1
>acl 1 ....
>acl 1
>и в доке по второй ссылке это есть.Уговорил. Кусок текстового файла :)
>>Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла?
>
>running-config это набор команд конфигурации.
>когда заливаешь по tftp в running-config они обрабатываются так же, как если
>бы ты их вводил руками после configure terminal
>чтоб пометь acl не трогая остальное делаешь файл вида
>no acl 1
>acl 1 ....
>acl 1
>и в доке по второй ссылке это есть.ааа...
я думал, что это только часть файла описана, а заливать надо весь...