Помогите, пожалуйста, ламеру (жизнь заставила путем "научного тыка" попытаться настроивать Циски). Более-менее получалось, пока не столкнулся с проблемой закомментированных настроек ВПН-канала. Необходимо раскомментировать настройки crypto isakmp и crypto map типа:
!crypto isakmp key ... address ...
и
!crypto map ... ipsec-isakmp
+ закоммент. настройки к crypto map
>Помогите, пожалуйста, ламеру (жизнь заставила путем "научного тыка" попытаться настроивать Циски). Более-менее
>получалось, пока не столкнулся с проблемой закомментированных настроек ВПН-канала. Необходимо раскомментировать
>настройки crypto isakmp и crypto map типа:
>!crypto isakmp key ... address ...
>и
>!crypto map ... ipsec-isakmp
>+ закоммент. настройки к crypto mapПри заливке конфигурации все строки начинающиеся с "!" игнорируются. Комментировать
таком образом можно только текстовые файлы конфигурации слитые на комп.
В рабочем конфиге комментарии не предусмотрены.
Предлагаю кусок кода:
crypto isakmp key metaSD45 address IP1
!crypto isakmp key metaSD45 address IP2
!
!
crypto ipsec transform-set meta esp-3des esp-sha-hmac
!
crypto map meta local-address Ethernet1
crypto map meta 1 ipsec-isakmp
set peer IP1
set transform-set meta
set pfs group1
match address 100
!crypto map meta 2 ipsec-isakmp
! Incomplete
! set peer IP2
! set transform-set meta
! set pfs group1
! match address 101Я конечно могу попробывать настроить ч/з команду "no" или вобще оставить закомментированное, но это как-то коряво и поэтому интересует есть ли команда, которая раскоментирует (убирает !)? Если нету, что ж...
Ладно, видно никто не знает как раскомментировать настройки.
Вопрос №2:
Начнем с листинга:
access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 103 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 104 permit ip 192.168.1.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 105 permit ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 106 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 107 permit ip 192.168.1.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 111 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.11.0 0.0.0.255Подскажите как настроить так, чтобы
access-list 111 permit ip 192.168.1.0 0.0.0.255 any
было в конце access-lista ? Как не мучаюсь - не получается...
Еще один дурацкий вопрос:
Насколько работоспособен access-list, если к конце него будет ?
access-list 112 permit ip 192.168.1.0 0.0.0.255 any
Просто я не совсем понимаю назначение команд access-lista...
access-list отрабатывается с первой по последнюю строчку
если первой будет deny any any то остальные не отработаются
удалите лист и перепешите заново
не помню с какой но с IOS 12.4 или 12.3 можно вставлять в лист посередине
покажите
sh ip acc
если ИОС поддерживает то вставлять можно в нужное место строчки, напр
ip access-list extended 111
5 deny ip any any
>Еще один дурацкий вопрос:
>Насколько работоспособен access-list, если к конце него будет ?
>access-list 112 permit ip 192.168.1.0 0.0.0.255 any
>Просто я не совсем понимаю назначение команд access-lista...В конце всегда будет access-list 112 deny ip any any, соответственно следующий acl разрешает прохождение трафика из сети 192.168.1.0/24, остальное запрещено.
P.S. Может вам уже какие книжки почитать попроще? Вы на форумах ещё больше запутаетесь.
>Ладно, видно никто не знает как раскомментировать настройки.НИКАК, я ведь уже написал... вручную разве что убрать и залить.
>[оверквотинг удален]
>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.8.0 0.0.0.255
>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255
>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255
>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.11.0 0.0.0.255
>
>Подскажите как настроить так, чтобы
>access-list 111 permit ip 192.168.1.0 0.0.0.255 any
>было в конце access-lista ? Как не мучаюсь - не получается...Используйте именованые ACL -
ip access-list extended test
permit ...
deny ...
В них можно оперировать порядком строк по просто поменяв номер в последовательности,
в таком виде как вы хотите опять же НИКАК, только удалив acl и создав его заново в нужным порядком.