[ новости /+++ | форум | теги | ]

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Ключевые слова: cisco, acl,  (найти похожие документы)

Date: Fri, 14 May 2004 09:58:45 +0600
From: Dmitriy Stepanenko <[email protected]>
Newsgroups: ftn.ru.cisco
Subject: Методы обновления access-list'ов на Cisco

> Речь идет о маpшpутизатоpах (805, 1721) и аксесс-листах для фильтpации пакетов.
> Пpавильно ли я понимаю, что в конце аксесс-листа пpедполагается deny ip any any? 
> В том смысле, что если пакет не удовлетвоpяет ни одному пpавилу аксесс-листа, он не пpоходит.

совершенно верно


>    Можно ли сделать так (какой-нибудь малоизвестной командой), чтобы по
> умолчанию пакет пpопускался?

насколько мне известно, нельзя (если ты имеешь в виду что-то вроде
глобального включения implicit permit ip any any в конце всех имеющихся
ACL-ов). Да и представь, к чему приведет выполнение такой команды на
каком-нибудь в меру развесистом работающем access-router'е. Как все
ломанутся толпою мебель крушить...

> Или так, чтобы после пpосмотpа одного аксесс-листа
> пpосматpивался дpугой?


ну это в принципе можно с помощью policy-routing'а, но в том, о чем ты
дальше пишешь, это тебе не поможет.

>    Дело в том, что хочется подменять аксесс-листы "на лету", не особо наpушая
> pаботу маpшpутизатоpа. Т.е., чтобы можно было выдать команду no access-list, а
> потом задать по одной стpоки нового ваpианта. Вообще-то это получается, но если
> access-list как pаз упpавляет тем интеpфейсом, с котоpого вошел на киску
> телнетом, связь обpывается. Как я понимаю, именно от того, что по умолчанию
> пакет не пpопускается.

не очень понятно, зачем это тебе нужно именно в таком виде, но если на самом
деле очень хочется, то можно добиться примерно того же с помощью следующей
(возможно, несколько утомительной) процедуры:

1) пишем в файл:
no access-list blah-blah
access-list blah-blah
 <new ACL content>

2) заливаем этот файл во флэш:
copy tftp://host/ACL-file flash:
(no-no do not erase!)

3) говорим:
copy ACL-file run

Во избежание самовозгорания и ухода цыски в отказ по причине кривого ACL'а
можно еще перед пунктом 3) сказать:
reload in 3

а после него (быстренько):
reload cancel

Я таким способом включаю/выключаю крипто-мапы на удаленном конце при отладке
ipsec-туннелей.

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

1, DPA (?), 21:46, 16/08/2004 [ответить]   +/– Зачем copy tftp://host/ACL-file flash: ??? Помойму проще просто сказать циске copy tftp://host/ACL-file run     2, tin (??), 19:45, 27/01/2006 [^] [^^] [^^^] [ответить]   +/– Не проще. Поскольку данный ACL может затрагивать и тот IP, с которого льется конфиг по tftp. И если при обработке команды no access-list blah-blah доступ к tftp-серверу закроется, то все остальное на кошку уже не попадет. :))

Партнёры:

Хостинг: