Привет всем!!!

СХЕМКА      >>>>>>>  LAN ==> cisco 3725 <===>INET<===> cisco2801     <<<<<<<<<

1) по причине версии ios c2801-ipbase-mz (отсутствует ssh) присутствует только telnet
2) задача состоит в том чтобы к консоли  vty(2801)  можно было только заходя с 3725
3) пробовал ставить ACL на line vty 0 4 но неработает :-(

a) IP LAN 192.168.1.1
b) IP 3725 2.2.2.2  
c) IP 2801 1.1.1.1

Алгоритм: я захожу на 3725, потом набираю telnet 1.1.1.1 и должно меня спрашивать логин и пароль. Если я пытаюсь зайти с какогонить другого ip мне не показывают месагу с логином и поролем.

Пример конфига 2801

interface FastEthernet0/0.2
description smotrit_v_inet
encapsulation dot1Q 2
ip address 1.1.1.1 255.255.255.224

(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ)
access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq telnet

line vty 0 4
privilege level 15
access-class 100 in
transport preferred none
transport input telnet
______________________________________________________________

ПОДСКАЖИТЕ ГДЕ КОПАТЬ ПЛИЗ!!!  :-)

• Доступ к консоли (line vty 0 4) только с определенных IP,vg, 17:56 , 31-Июл-08
  • Доступ к консоли (line vty 0 4) только с определенных IP,vanek82, 08:00 , 01-Авг-08
    • Доступ к консоли (line vty 0 4) только с определенных IP,sh_, 10:19 , 01-Авг-08
  • Доступ к консоли (line vty 0 4) только с определенных IP,vanek82, 10:28 , 01-Авг-08
    • Доступ к консоли (line vty 0 4) только с определенных IP,sh_, 11:04 , 01-Авг-08
      • Доступ к консоли (line vty 0 4) только с определенных IP,vanek82, 19:59 , 01-Авг-08
• Доступ к консоли (line vty 0 4) только с определенных IP,Telesis, 13:05 , 01-Авг-08
  • Доступ к консоли (line vty 0 4) только с определенных IP,vanek82, 20:03 , 01-Авг-08
    • Доступ к консоли (line vty 0 4) только с определенных IP,Ночной админ, 17:20 , 02-Авг-08
    • Доступ к консоли (line vty 0 4) только с определенных IP,sh_, 09:49 , 04-Авг-08
      • Доступ к консоли (line vty 0 4) только с определенных IP,vanek82, 11:33 , 04-Авг-08
        • Доступ к консоли (line vty 0 4) только с определенных IP,sh_, 12:22 , 04-Авг-08
          • Доступ к консоли (line vty 0 4) только с определенных IP,vanek82, 13:33 , 04-Авг-08
            • Доступ к консоли (line vty 0 4) только с определенных IP,sh_, 14:38 , 04-Авг-08
              • Доступ к консоли (line vty 0 4) только с определенных IP,vanek82, 09:44 , 05-Авг-08

>
>(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ)
>access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1
>eq telnet
>

При соединении телнет, клиент открывает порт выше 1023!
убрать первый "eq telnet"

>>
>>(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ)
>>access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1
>>eq telnet
>>
>
>При соединении телнет, клиент открывает порт выше 1023!
>убрать первый "eq telnet"

Убрал, неработает :-(

Не думаю, что вам нужен dynamic acl. Опишите конкретно, что хотите сделать...

>>
>>(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ)
>>access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1
>>eq telnet
>>
>
>При соединении телнет, клиент открывает порт выше 1023!
>убрать первый "eq telnet"

Вот конф:
interface FastEthernet0/0
description to_LinkSys
no ip address
duplex auto
speed auto
no snmp trap link-status
no cdp enable
no mop enabled
!
interface FastEthernet0/0.2
description LOCAL_NET
encapsulation dot1Q 2
ip address 192.168.2.1 255.255.255.248
ip access-group 103 in
ip nat inside
!
interface FastEthernet0/0.3
description ISP
encapsulation dot1Q 3
ip address 2.2.2.2 255.255.255.224
ip access-group 100 in
ip nat outside
!
access-list 100 permit ip 2.2.2.0 0.0.0.15 any
access-list 100 permit ip host x.x.x.x host 2.2.2.2
access-list 100 permit ip host y.y.y.y host 2.2.2.2
access-list 100 deny   ip any any
access-list 103 permit ip host 192.168.2.2 any
access-list 103 permit ip host 192.168.2.3 any
access-list 103 deny   ip any any
!
line vty 0 4
privilege level 15
transport preferred none
transport input telnet
============================================
1) попытка прикрутить ACL к line vty 0 4 провалилась
2) на конфиге выше вторая попытка создать доступ по телнет снаружи к циске для администрирования, но когда я добавляю ACL 100 на подинтерфейс 0/0.3 пропадает инет в локально сети, хотя я могу по прежнему заходить с инета telnet"ом на этот подинтерфейс.

Ну тогда сначала сюда: http://segfault.kiev.ua/smart-questions-ru.html

>Ну тогда сначала сюда: http://segfault.kiev.ua/smart-questions-ru.html

Я хочу чтобы конфигурирование 2801 было возможно только с одного IP;
Вот у меня и возник вопрос: Толи нужно ACL настраивать на line vty 0 4 толи на интерфейсе который смотрит в интернет?
1) если я настраивал на line vty 0 4 то ничего неработало(я немог зайти на 2801, но сервис у клиентов был)
2) если я настраивал на интерфейсе который смотрит в инет, то пропадал сервис у клиентов.

access-list 1 permit 2.2.2.2
Этого достаточно.

>access-list 1 permit 2.2.2.2
>Этого достаточно.

Если я правильно понял то этот ACL нужно добавить к line vty 0 4?

>>access-list 1 permit 2.2.2.2
>>Этого достаточно.
>
>Если я правильно понял то этот ACL нужно добавить к line vty
>0 4?

access-list 1 permit *.*.*.* (ип с которого будем телнетится)

line vty 0 4
access-class 1 in
login local
transport input telnet
line vty 5 15
no login

>должно меня спрашивать логин и пароль.

Незабыть добавить юзера локального
username LOGIN privilege 15 password PASSWORD

>Если я пытаюсь зайти с какогонить другого ip мне не показывают месагу с логином и поролем.

acl закроет доступ к телнету и непокажутся Вам месаги.

>>access-list 1 permit 2.2.2.2
>>Этого достаточно.
>
>Если я правильно понял то этот ACL нужно добавить к line vty
>0 4?

Да. Только не забудьте, что по умолчанию в src адресе пакета будет стоять адрес интерфейса, через который будет уходить пакет. Если вам нужно использовать адрес другого интерфейса, пишите ip telnet source-interface

>>>access-list 1 permit 2.2.2.2
>>>Этого достаточно.
>>
>>Если я правильно понял то этот ACL нужно добавить к line vty
>>0 4?
>
>Да. Только не забудьте, что по умолчанию в src адресе пакета будет
>стоять адрес интерфейса, через который будет уходить пакет. Если вам нужно
>использовать адрес другого интерфейса, пишите ip telnet source-interface

А вот тут я совсем запутался :-(
это если у меня будет приходить пакет с источником 2.2.2.2 на один интерфейс а уходить с другого интерфейса?  То мне  нужно будет использовать дополнительно
команду
ip telnet source-interface

Нет. Я вот к чему. Допустим, вот твоя схема.

R1(ip1)------(ip2)R2(loopback ip3)

На R1 прописано:
access-l 10 perm ho ip3
line vty 0 15
ip access-class 10 in

В этом случае, если ты дашь с R2 команду telnet ip1, то доступ будет запрещен access-class'ом. Поэтому нужно будет добавить команду ip telnet source-int loopback, чтобы телнет пакеты уходящие с R2 имели в качестве src адреса ip3.

>Нет. Я вот к чему. Допустим, вот твоя схема.

Ок, давайте уточним схему  :

   R1(ip1)------(ip2)R2(loopback ip3)

>На R1 прописано:
>access-l 10 perm ho ip3
>line vty 0 15
>ip access-class 10 in
>

!!!!!!! при этом на R1 отсутсвует loopback!!!!!!!!!!!!
а на R2 он(loopback) присутсвует в виде 3,3,3,3 255,255,255,255

>В этом случае, если ты дашь с R2 команду telnet ip1, то
>доступ будет запрещен access-class'ом. Поэтому нужно будет добавить команду ip telnet
>source-int loopback, чтобы телнет пакеты уходящие с R2 имели в качестве
>src адреса ip3.

Значит окончательный вариант для R1 это:
access-l 10 perm ho ip2(внешний, который весит на интерфейсе)
или всетаки нужен только ip loopback"а ?
line vty 0 4
privilege level 15
transport preferred none
transport input telnet
ip access-class 10 in
ip telnet source-int loopback

>или всетаки нужен только ip loopback"а ?

нет. не нужен.

>
>>или всетаки нужен только ip loopback"а ?
>
>нет. не нужен.

Вобщем результаты таковы что добавление ACL работает прекрасно !!!1

А вот команда : ip telnet source-int loopback оказывается должна вводиться в режиме глобальной конфигурации а не line vty 0 4 :-)
Всем БОЛЬШОЕ СПАСИБО!!!