форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Нужно отключить пользователя в Cisco по IP"
Сообщение от Супер Чайник on 03-Окт-04, 12:18  (MSK)
Банальная ситуация - периодически необходимо отключать/подключать пользователей в ACL. Как подключить я знаю, но вот когда пытаюсь отключить командой: no access-list 1 permit 192.168.0.10 то удаляется весь access-list 1 а мне нужно только что бы удалилась запись: access-list 1 permit 192.168.0.10 Подскажите как грамотно организовать данный процесс отключения- подключения (впоследствии предполагается его автоматизировать при помощи программы, которая будет это делать автоматически)? Вроде слышал можно заливать команды из файла? Если да, то как это сделать?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Нужно отключить пользователя в Cisco по IP"
Сообщение от ids (ok) on 03-Окт-04, 12:26  (MSK)
>Банальная ситуация - периодически необходимо отключать/подключать пользователей в ACL. Как подключить я >знаю, но вот когда пытаюсь отключить командой: >no access-list 1 permit 192.168.0.10 >то удаляется весь access-list 1 >а мне нужно только что бы удалилась запись: >access-list 1 permit 192.168.0.10 >Подскажите как грамотно организовать данный процесс отключения- подключения (впоследствии предполагается его автоматизировать >при помощи программы, которая будет это делать автоматически)? >Вроде слышал можно заливать команды из файла? Если да, то как это >сделать? Править ацлы построчно нельзя. Пробуй делать проще - правишь в файле на удаленной системе, и потом просто удаляшеь старый acl и втыкаешь новый. Ну разные терминалки (putty?) позволяют работать с буфером обмена. Или аналогично, только вливать рабочий конфиг по tftp или ftp. #copy tftp://<servername-or-ip>/<filename> running-config Hint: При вливании нового конфига, можно ничего не удалять.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от Супер Чайник on 03-Окт-04, 15:29  (MSK)
	>Править ацлы построчно нельзя. Пробуй делать проще - правишь в файле на >удаленной системе, и потом просто удаляшеь старый acl и втыкаешь новый. >Ну разные терминалки (putty?) позволяют работать с буфером обмена. Или аналогично, >только вливать рабочий конфиг по tftp или ftp. >#copy tftp://<servername-or-ip>/<filename> running-config > >Hint: При вливании нового конфига, можно ничего не удалять. Спасибо за ответ. Можно ли вместо использования терминалки накорябать какой-нибудь скриптик? Что бы этот скриптик сам удалял старый ACL и добавлял новый ACL? Был бы рад за примерчик такого скрипта.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от ids (ok) on 03-Окт-04, 15:33  (MSK)
	>>Править ацлы построчно нельзя. Пробуй делать проще - правишь в файле на >>удаленной системе, и потом просто удаляшеь старый acl и втыкаешь новый. >>Ну разные терминалки (putty?) позволяют работать с буфером обмена. Или аналогично, >>только вливать рабочий конфиг по tftp или ftp. >>#copy tftp://<servername-or-ip>/<filename> running-config >> >>Hint: При вливании нового конфига, можно ничего не удалять. > >Спасибо за ответ. >Можно ли вместо использования терминалки накорябать какой-нибудь скриптик? Что бы этот скриптик >сам удалял старый ACL и добавлял новый ACL? >Был бы рад за примерчик такого скрипта. Он "на коленке" за полчаса пишется. думаю что rsh тебе пригодится ;) А вообще вопрос к местным гуру есть, можно ли по SNMP править acl?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от citrin (ok) on 03-Окт-04, 15:35  (MSK)
	>Можно ли вместо использования терминалки накорябать какой-нибудь скриптик? Что бы этот скриптик >сам удалял старый ACL и добавлял новый ACL? >Был бы рад за примерчик такого скрипта. http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094aa6.shtml http://www.lanbilling.ru/acl_solution.html Только учти, что уже установленные соединения убиваться не будут. Т. е. например есть ACL котрый позволяет юзеру качать из инета. Он запускает файл на скачку. Ты удаляешь ACL а юзер продолжает качать. Но новые соединения уже не сможет установить. Не помню лечится ли это отключением netflow, но вроде нет. Еще AFAIK для того чтоб динамически обрубать соединения нужен IOS с FW feature set
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от Vlad (??) on 04-Окт-04, 07:46  (MSK)
	>Только учти, что уже установленные соединения убиваться не будут. > >Т. е. например есть ACL котрый позволяет юзеру качать из инета. Он >запускает файл на скачку. Ты удаляешь ACL а юзер продолжает качать. >Но новые соединения уже не сможет установить. это какэто? ацл каждый передаваемый байт проверяет вообщето
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от citrin (ok) on 04-Окт-04, 08:47  (MSK)
	>это какэто? >ацл каждый передаваемый байт проверяет вообщето каждый только при process switching проверяется. При использовании CEF и Netflow может не каждый проверяться. На 3640 с IOS IP PLUS сам наблюдал указанную картину: http://groups.google.ru/groups?selm=c6j2oc%24683%241%40host.talk.ru&rnum=1
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от sasha (??) on 05-Окт-04, 15:18  (MSK)
	помоему в named access-listах можно удолять построчно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Нужно отключить пользователя в Cisco по IP"
Сообщение от Ori (??) on 06-Окт-04, 11:38  (MSK)
>Банальная ситуация - периодически необходимо отключать/подключать пользователей в ACL. Как подключить я >знаю, но вот когда пытаюсь отключить командой: >no access-list 1 permit 192.168.0.10 >то удаляется весь access-list 1 >а мне нужно только что бы удалилась запись: >access-list 1 permit 192.168.0.10 >Подскажите как грамотно организовать данный процесс отключения- подключения (впоследствии предполагается его автоматизировать >при помощи программы, которая будет это делать автоматически)? >Вроде слышал можно заливать команды из файла? Если да, то как это >сделать? даешь команду ip access-list standart 1. после этого чтобы добавить адресс - permit A.B.C.D удалить адрес из access-lista - no permit A.B.C.D
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от Супер Чайник on 07-Окт-04, 13:33  (MSK)
	Вот еще вопрос - Знаю, что можно заливать ACL с помощью tftp сервера. А где бы про это посмотреть и как это делать.? Сколько не копался в инете - не смог разобраться.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от citrin (ok) on 07-Окт-04, 13:40  (MSK)
	>Вот еще вопрос - >Знаю, что можно заливать ACL с помощью tftp сервера. >А где бы про это посмотреть и как это делать.? >Сколько не копался в инете - не смог разобраться. А читать то, что пишут в этом треде пробовал? Я ужепостил ссылки http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094aa6.shtml http://www.lanbilling.ru/acl_solution.html Там все достаточно понятно написано. А если после прочтения этих док не смог разобраться, то подумай стоит ли тебе вообще заниматься цисками.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от Супер Чайник on 07-Окт-04, 15:36  (MSK)
	>Я ужепостил ссылки >http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094aa6.shtml >http://www.lanbilling.ru/acl_solution.html >Там все достаточно понятно написано. А если после прочтения этих док не >смог разобраться, то подумай стоит ли тебе вообще заниматься цисками. Для спеца может и понятно, а я чайник. Что и отобразил в своем нике. Решение вопроса по второму адресу подразумевает заливку всей конфигурации циско? Я вроде слышал, что можно только ACL заливать или это не так? А насколько это хорошо постоянно перезаписывать всю конфигурацию циски? Или ей все равно?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от ids (??) on 07-Окт-04, 15:39  (MSK)
	>>Я ужепостил ссылки >>http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094aa6.shtml >>http://www.lanbilling.ru/acl_solution.html >>Там все достаточно понятно написано. А если после прочтения этих док не >>смог разобраться, то подумай стоит ли тебе вообще заниматься цисками. > >Для спеца может и понятно, а я чайник. Что и отобразил в >своем нике. >Решение вопроса по второму адресу подразумевает заливку всей конфигурации циско? Я вроде >слышал, что можно только ACL заливать или это не так? >А насколько это хорошо постоянно перезаписывать всю конфигурацию циски? Или ей все >равно? Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от citrin (ok) on 07-Окт-04, 15:44  (MSK)
	>Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла? running-config это набор команд конфигурации. когда заливаешь по tftp в running-config они обрабатываются так же, как если бы ты их вводил руками после configure terminal чтоб пометь acl не трогая остальное делаешь файл вида no acl 1 acl 1 .... acl 1 и в доке по второй ссылке это есть.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от ids (??) on 07-Окт-04, 15:53  (MSK)
	>>Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла? > >running-config это набор команд конфигурации. >когда заливаешь по tftp в running-config они обрабатываются так же, как если >бы ты их вводил руками после configure terminal >чтоб пометь acl не трогая остальное делаешь файл вида >no acl 1 >acl 1 .... >acl 1 >и в доке по второй ссылке это есть. Уговорил. Кусок текстового файла :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Нужно отключить пользователя в Cisco по IP"
	Сообщение от Супер Чайник on 07-Окт-04, 16:29  (MSK)
	>>Конфиг кошки - это файл. Как ты представляещь себе заливать кусок файла? > >running-config это набор команд конфигурации. >когда заливаешь по tftp в running-config они обрабатываются так же, как если >бы ты их вводил руками после configure terminal >чтоб пометь acl не трогая остальное делаешь файл вида >no acl 1 >acl 1 .... >acl 1 >и в доке по второй ссылке это есть. ааа...   я думал, что это только часть файла описана, а заливать надо весь...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.