Исходное сообщение
"route-map или динамический АСЛ для ната" Отправлено AlexFirst, 25-Окт-06 19:19
>>PPTP непойдет. По многим причинам - одна из которых это установка VPN-соединения >>у всех клиентов, которые пользуются инетом. >>Ищется решение включения-отключения пользователей от доступа к сети интернет без каких-либо телодвижений >>со стороны клиентов (без организации VPN в любом его проявлении). >> >>Сейчас имеется решение: >>есть два списка - один есть ACL что используется в пуле NAT'a, >>другой висит access-group in на этом интерфейсе. Доступ регулируется прописыванием-вытиранием записи >>в соответсвующий ACL ("заначенный" айпишник или нет). Так как прямый айпишников >>мало, а нат-айпишников дофига (очень дофига), то пока именно так. Но >>- как я уже сказал, нат-айишников много, получается офигенный список, что >>используется в пуле НАТа. >>Сейчас висит робот, который банальным телнетом все это делает через консоль - >>т.е. список не перегружается, а просто добавляется или удаляется нужная строчка >>в нужном ACL (выполняется скрипт, который выполняет заданные команды на циске >>по телнету-ssh). >> >>Проблемы этого решения я знаю (инет после вытирания нат-айпишника из списка не >>пропадает - записи ведь есть и по ним данные спокойно гоняются, >>постоянно меняющийся ACL пула ни к чему хорошему не приходит) и >>хочется от них уйти. Как уйти - я примерно только предполагаю, >>но пока не могу никак это реализовать - например через route-map, >>так как не разобрался, как сказать циске, что все что в >>этом ACL - крути на такой-то интерфейс, при необходимости пропуская через >>НАТ, А ВСЕ ОСТАЛЬНОЕ - дропать нафиг. :( Просто есть несколько >>маршрутов, которые должны действовать всегда - доступ на пару сайтов у >>клиентов должен быть и должны пробрасываться пакетики по тунелю даже когда >>инет для клиента выключен. Т.е. по идее есть маршруты, которые должны >>действовать всегда и извне должен быть доступ к циске (т.е. - >>маршрут должен быть всегда), должно быть правило на проброс тех, кому >>сейчас можно в инет ходить - а вот все остальное нужно >>дропать (килять на месте).. Пока не смог такое прикрутить :( >> >>Вот и спрашиваю - как еще можно или как реализовать.. :( >http://cisco.com/en/US/products/sw/iosswrel/ps1834/products_... >http://cisco.com/en/US/products/sw/iosswrel/ps1835/products_... >такакс Хех.. покурил мануалы - спасибо. Но не воткнуло :( Как-то это через попу получится все в моем случае. >если это не подходит то остаётся акцес листы на внутренний шлюз и >правит скриптом как уже говорилось, Я вот нашел (http://cisco.far.ru/2ispcfg.shtml) замечательный пример роутинга и реализации НАТа через route-map - очень понравилось. Думаю я уже сам смогу все реализовать.. осталось теперь проработать конфиг. >Похоже лучше один раз сделать хорошо чем сто раз плохо. Угу.. вот и стараюсь. :)