forum.opennet.ru

Составление сообщения

Исходное сообщение

"route-map или динамический АСЛ для ната"
Отправлено ilya, 23-Окт-06 08:43

>>список доступа на интерфейсе:
>>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
>>access-list dynamic_access permit host 192.168.1.1 any
>нету у меня такого.. :(
>Если я правильно понял:
>
>ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248
>ip nat inside source list 100 pool p1 overload
>
>interface FastEthernet0/1/0
>...
> ip access-group 156 in
> ip nat inside
> service-policy output Global
> ip route-cache policy
> no ip mroute-cache
> full-duplex
> no cdp enable
>end
>
>access-list 100 remark Global-NAT - internet access
>access-list 100 permit ip host 10.111.2.3 any
>access-list 100 permit ip host 10.111.2.4 any
>access-list 100 permit ip host 10.111.4.1 any
>.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать
>
>сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже
>именно доступом или роутингом... но как правильнее? так как сейчас изменяется
>100-й ACL и он уже довольно большой.. меняется роботом довольно часто)
>
>
>а доступ для прямый айпишников рулится действительно с списке доступа - 156
>у меня:
>access-list 156 remark For incoming packets to f1
>access-list 156 permit ip host 0.0.0.0 host 255.255.255.255
>access-list 156 deny   ip any host 255.255.255.255
>access-list 156 deny   ip any host 10.255.255.255
>access-list 156 permit icmp 10.0.0.0 0.255.255.255 any
>access-list 156 deny   tcp any any range 135 139
>access-list 156 deny   tcp any any eq 445
>access-list 156 permit ip 10.0.0.0 0.255.255.255 any
>access-list 156 permit ip host xxx.xxx.xxx.200 any
>access-list 156 permit ip host xxx.xxx.xxx.205 any
>access-list 156 permit ip host xxx.xxx.xxx.215 any
>
>Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже).
>Почему я так не сделал для "заначенных" - потому что помню опыт
>вешанья такого листа на 1600 циске еще (сейчас 7500) - если
>список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому
>сейчас применяю этот метод только для прямых айпишников - так как
>кол-во их очень большое.
>
ну блин, попробуйте - кошка может и будет грузить процессор - но только в момент загрузки списка доступа (и то не сильно). да и попробуйте разными способами, не только через tftp (ftp,ssh).
>>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили -
>>никто другой нет. хотя правила ната есть... вот что имелось в
>>виду - банальный ACL на интерфейсе...
>>он будет работать сразу после применения и отрубать тоже сразу.
>ммм.. ну у тебя он динамический - у меня почему-то нет возможности
>даже делать их динамическими и, насколько я понял, динамическая запись сама
>по себе грохается (по какому-то таймауту), что в моем случае не
>применимо вообще идеологически - само оно не должно грохаться, а именно
>тогда, когда нужно - вытираться. Я пока не придумал, как это
>сделать красиво и эффективно :(
ну дык я говорил про обычный список доступа - динамический завязан на пользователей полностью.
>>
>>
>>
>>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать
>>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и
>>>>его пускало в инет. А вот на радиусе будете решать -
>>>>авторизовать пользователя сейчас или нет...
>>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю?
>>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит
>>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или
>>>не стала.
>>>
>>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того,
>>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак
>>>не пойму - как Radius это делает. Т.е. как можно обойтись
>>>без RADUISa, но по сути делая так же, как Raidus -
>>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов).
>>>
>>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим
>>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop
>>>global-int..
>>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не
>>>делается для всех пользовательских айпишников..
>>
>>гм. завтра скажу.
>Буду очень признателен.
либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь...

Исходное сообщение
"route-map или динамический АСЛ для ната" Отправлено ilya, 23-Окт-06 08:43
>>список доступа на интерфейсе: >>access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 >>access-list dynamic_access permit host 192.168.1.1 any >нету у меня такого.. :( >Если я правильно понял: > >ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248 >ip nat inside source list 100 pool p1 overload > >interface FastEthernet0/1/0 >... > ip access-group 156 in > ip nat inside > service-policy output Global > ip route-cache policy > no ip mroute-cache > full-duplex > no cdp enable >end > >access-list 100 remark Global-NAT - internet access >access-list 100 permit ip host 10.111.2.3 any >access-list 100 permit ip host 10.111.2.4 any >access-list 100 permit ip host 10.111.4.1 any >.. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать > >сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже >именно доступом или роутингом... но как правильнее? так как сейчас изменяется >100-й ACL и он уже довольно большой.. меняется роботом довольно часто) > > >а доступ для прямый айпишников рулится действительно с списке доступа - 156 >у меня: >access-list 156 remark For incoming packets to f1 >access-list 156 permit ip host 0.0.0.0 host 255.255.255.255 >access-list 156 deny ip any host 255.255.255.255 >access-list 156 deny ip any host 10.255.255.255 >access-list 156 permit icmp 10.0.0.0 0.255.255.255 any >access-list 156 deny tcp any any range 135 139 >access-list 156 deny tcp any any eq 445 >access-list 156 permit ip 10.0.0.0 0.255.255.255 any >access-list 156 permit ip host xxx.xxx.xxx.200 any >access-list 156 permit ip host xxx.xxx.xxx.205 any >access-list 156 permit ip host xxx.xxx.xxx.215 any > >Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже). >Почему я так не сделал для "заначенных" - потому что помню опыт >вешанья такого листа на 1600 циске еще (сейчас 7500) - если >список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому >сейчас применяю этот метод только для прямых айпишников - так как >кол-во их очень большое. > ну блин, попробуйте - кошка может и будет грузить процессор - но только в момент загрузки списка доступа (и то не сильно). да и попробуйте разными способами, не только через tftp (ftp,ssh). >>т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - >>никто другой нет. хотя правила ната есть... вот что имелось в >>виду - банальный ACL на интерфейсе... >>он будет работать сразу после применения и отрубать тоже сразу. >ммм.. ну у тебя он динамический - у меня почему-то нет возможности >даже делать их динамическими и, насколько я понял, динамическая запись сама >по себе грохается (по какому-то таймауту), что в моем случае не >применимо вообще идеологически - само оно не должно грохаться, а именно >тогда, когда нужно - вытираться. Я пока не придумал, как это >сделать красиво и эффективно :( ну дык я говорил про обычный список доступа - динамический завязан на пользователей полностью. >> >> >> >>>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать >>>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >>>>его пускало в инет. А вот на радиусе будете решать - >>>>авторизовать пользователя сейчас или нет... >>>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? >>>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит >>>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или >>>не стала. >>> >>>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, >>>что RADIUS говорит кого пускать а кого нет. Т.е. я никак >>>не пойму - как Radius это делает. Т.е. как можно обойтись >>>без RADUISa, но по сути делая так же, как Raidus - >>>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов). >>> >>>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим >>>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop >>>global-int.. >>>МОжно ли так реализовать? При чем с условием, что изначально роутинг не >>>делается для всех пользовательских айпишников.. >> >>гм. завтра скажу. >Буду очень признателен. либо плохо смотрю, либо только тайм-аут...либо ничего. хотя может быть ошибаюсь...

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру