https://217.65.3.21/openforum/vsluhforumID6/16833.html Привет всем!!!<br><br>СХЕМКА &gt;&gt;&gt;&gt;&gt;&gt;&gt; LAN ==&gt; cisco 3725 &lt;===&gt;INET&lt;===&gt; cisco2801 &lt;&lt;&lt;&lt;&lt;&lt;&lt;&lt;&lt;<br><br>1) по причине версии ios c2801-ipbase-mz (отсутствует ssh) присутствует только telnet<br>2) задача состоит в том чтобы к консоли vty(2801) можно было только заходя с 3725<br>3) пробовал ставить ACL на line vty 0 4 но неработает :-(<br><br>a) IP LAN 192.168.1.1<br>b) IP 3725 2.2.2.2 <br>c) IP 2801 1.1.1.1 <br><br>Алгоритм: я захожу на 3725, потом набираю telnet 1.1.1.1 и должно меня спрашивать логин и пароль. Если я пытаюсь зайти с какогонить другого ip мне не показывают месагу с логином и поролем.<br><br>Пример конфига 2801<br><br>interface FastEthernet0/0.2<br> description smotrit_v_inet<br> encapsulation dot1Q 2<br> ip address 1.1.1.1 255.255.255.224<br><br><br>(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ)<br>access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq telnet<br><br>line vty 0 4<br> privilege level 15<br> access-class 100 in<br> transport preferred none<br> transport input telnet<br>__________________________________________________ https://217.65.3.21/openforum/vsluhforumID6/16833.html#15 Tue, 05 Aug 2008 05:44:41 GMT &gt;<br>&gt;&gt;или всетаки нужен только ip loopback"а ? <br>&gt;<br>&gt;нет. не нужен. <br><br>Вобщем результаты таковы что добавление ACL работает прекрасно !!!1<br><br>А вот команда : ip telnet source-int loopback оказывается должна вводиться в режиме глобальной конфигурации а не line vty 0 4 :-) <br>Всем БОЛЬШОЕ СПАСИБО!!!<br><br><br><br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#14 Mon, 04 Aug 2008 10:38:01 GMT <br>&gt;или всетаки нужен только ip loopback"а ? <br><br>нет. не нужен.<br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#13 Mon, 04 Aug 2008 09:33:35 GMT &gt;Нет. Я вот к чему. Допустим, вот твоя схема. <br><br>Ок, давайте уточним схему :<br><br> R1(ip1)------(ip2)R2(loopback ip3) <br><br>&gt;На R1 прописано: <br>&gt;access-l 10 perm ho ip3 <br>&gt;line vty 0 15 <br>&gt;ip access-class 10 in <br>&gt;<br><br>!!!!!!! при этом на R1 отсутсвует loopback!!!!!!!!!!!!<br>а на R2 он(loopback) присутсвует в виде 3,3,3,3 255,255,255,255<br><br>&gt;В этом случае, если ты дашь с R2 команду telnet ip1, то <br>&gt;доступ будет запрещен access-class'ом. Поэтому нужно будет добавить команду ip telnet <br>&gt;source-int loopback, чтобы телнет пакеты уходящие с R2 имели в качестве <br>&gt;src адреса ip3. <br><br>Значит окончательный вариант для R1 это:<br>access-l 10 perm ho ip2(внешний, который весит на интерфейсе) <br>или всетаки нужен только ip loopback"а ?<br>line vty 0 4<br> privilege level 15<br> transport preferred none<br> transport input telnet<br> ip access-class 10 in <br> ip telnet source-int loopback<br><br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#12 Mon, 04 Aug 2008 08:22:28 GMT Нет. Я вот к чему. Допустим, вот твоя схема.<br><br>R1(ip1)------(ip2)R2(loopback ip3)<br><br>На R1 прописано:<br>access-l 10 perm ho ip3<br>line vty 0 15<br>ip access-class 10 in<br><br>В этом случае, если ты дашь с R2 команду telnet ip1, то доступ будет запрещен access-class'ом. Поэтому нужно будет добавить команду ip telnet source-int loopback, чтобы телнет пакеты уходящие с R2 имели в качестве src адреса ip3.<br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#11 Mon, 04 Aug 2008 07:33:27 GMT &gt;&gt;&gt;access-list 1 permit 2.2.2.2 <br>&gt;&gt;&gt;Этого достаточно. <br>&gt;&gt;<br>&gt;&gt;Если я правильно понял то этот ACL нужно добавить к line vty <br>&gt;&gt;0 4? <br>&gt;<br>&gt;Да. Только не забудьте, что по умолчанию в src адресе пакета будет <br>&gt;стоять адрес интерфейса, через который будет уходить пакет. Если вам нужно <br>&gt;использовать адрес другого интерфейса, пишите ip telnet source-interface <br><br>А вот тут я совсем запутался :-(<br>это если у меня будет приходить пакет с источником 2.2.2.2 на один интерфейс а уходить с другого интерфейса? То мне нужно будет использовать дополнительно <br>команду <br>ip telnet source-interface <br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#10 Mon, 04 Aug 2008 05:49:12 GMT &gt;&gt;access-list 1 permit 2.2.2.2 <br>&gt;&gt;Этого достаточно. <br>&gt;<br>&gt;Если я правильно понял то этот ACL нужно добавить к line vty <br>&gt;0 4? <br><br>Да. Только не забудьте, что по умолчанию в src адресе пакета будет стоять адрес интерфейса, через который будет уходить пакет. Если вам нужно использовать адрес другого интерфейса, пишите ip telnet source-interface<br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#9 Sat, 02 Aug 2008 13:20:26 GMT &gt;&gt;access-list 1 permit 2.2.2.2 <br>&gt;&gt;Этого достаточно. <br>&gt;<br>&gt;Если я правильно понял то этот ACL нужно добавить к line vty <br>&gt;0 4? <br><br>access-list 1 permit *.*.*.* (ип с которого будем телнетится)<br><br>line vty 0 4<br>access-class 1 in<br>login local<br>transport input telnet<br>line vty 5 15<br>no login<br><br>&gt;должно меня спрашивать логин и пароль. <br><br>Незабыть добавить юзера локального<br>username LOGIN privilege 15 password PASSWORD<br><br>&gt;Если я пытаюсь зайти с какогонить другого ip мне не показывают месагу с логином и поролем.<br><br>acl закроет доступ к телнету и непокажутся Вам месаги.<br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#8 Fri, 01 Aug 2008 16:03:05 GMT &gt;access-list 1 permit 2.2.2.2 <br>&gt;Этого достаточно. <br><br>Если я правильно понял то этот ACL нужно добавить к line vty 0 4?<br><br> https://217.65.3.21/openforum/vsluhforumID6/16833.html#7 Fri, 01 Aug 2008 15:59:56 GMT &gt;Ну тогда сначала сюда: http://segfault.kiev.ua/smart-questions-ru.html <br><br>Я хочу чтобы конфигурирование 2801 было возможно только с одного IP;<br>Вот у меня и возник вопрос: Толи нужно ACL настраивать на line vty 0 4 толи на интерфейсе который смотрит в интернет?<br>1) если я настраивал на line vty 0 4 то ничего неработало(я немог зайти на 2801, но сервис у клиентов был)<br>2) если я настраивал на интерфейсе который смотрит в инет, то пропадал сервис у клиентов.<br>