PavelKHTW Молодой таки человек, спасибо за ликбез))))
Ждем пример запрошенный выше (IP+MAC+Port).
Да и не забудь что на интерфейс можно применить только 2 ACL один на вход, другой на выход для каждого из протоколов.
PavelKHTW Молодой таки человек, спасибо за ликбез))))
Ждем пример запрошенный выше (IP+MAC+Port).
Да и не забудь что на интерфейс можно применить только 2 ACL один на вход, другой на выход для каждого из протоколов.
[/quote]
Ликбез №2
Цитата
Да и не забудь что на интерфейс можно применить только 2 ACL один на вход, другой на выход для каждого из протоколов.
[/quote]
- и вовсе не на протоколы )), а на интерфейс. Впрочем для поставленной задачи этого вполне хватит, а если не хватит есть конструкция route-map - которая позволяет объединять access-list-ы. - и тут уж можно делать все что угодно. Например написать следующие acl
1. Разрешаем всем все то, что считаем нужным(а админу куда угодно) применяем его например на out интерфейса к которому подключен сервер.
2. Пишем acl в котором разрешаем админу коннектится куда угодно применяем его к in - естественно нужно правильно написать этот acl.
3. Пишем acl на не совпадение MAC адреса с MAC админовской машины
4. Пишем route-map в котором в начале проверяем acl 2, а потом acl 3 - и в случае корректности роутим все это в null. - т.е. если машина с IP админа, но не с его MAC будет лезть не туда куда нужно - мы ее направим не туда ))). Естественно роуте мап применяем к интерфейсу в который включен сервер.
- IOS любой, циска должна уметь работать с Extended acl для MAC. и уметь роуте-мап.
- Собственно реализацию пусть будет домашним заданием
PavelKHTW Нет уж пример в студию, конкретный, с теорией, можеш не сомневаться, у меня полный порядок, да и с практикой тоже.
Так что или полный пример ACL и route-map или прекращаем тут п... меряться! Все мы тут очень крутые и грамотные.
У человека конкретная задача, есть, скорее всего, конкретное оборудование и я, почему-то уверен, что это вовсе не маршрутизаторы Cisco.
[/quote]
Уважаемый Harry33 - я не знаю кто тут и чем меряеться , но где вы конкретный пример проверять будете? Есть такое оборудование? Ведь на слово вы не поверите и захотите проверить, так что если есть где проверить - можете проверить сами - все что нужно я уже написал - дать названия acl и определить нужные порты я думаю каждый сможет. Прежде чем выложить пример конфига мне нужно будет его проверить, а то всей конфой меня заплюете за малейшую граматическую ошибку .
Будет время, сам проверю, тем более что автору вопроса похоже все равно, и на первых порах ему может хватить и проверки доступа по простому IP адресу. Ну и оборудование он свое так и не указал, кроме того я не вижу какие порты ему нужно ограничивать, а какие нет.
Ну а если с теорией все в порядке - должны знать что такое возможно, тем более что на циске возможно все
PavelKHTW Давай пример, на грамматику пофиг, общую концепцию того, что предлагаеш конкретные значения можно заменить на абстрактные, оборудование для тестирование присутствует ... Проверим, оттестируем, повесим в качестве примера, а я попробую его еще и под девайсы HP адаптировать.
Уважаемый Harry33 - я не знаю кто тут и чем меряеться , но где вы конкретный пример проверять будете? Есть такое оборудование?
[/quote]
[/quote]
есть стенд из 2610хм и 1721хм,интерфейсы serial и ethernet. соединять можно как по сериал (кабели dte/dce в ассертименте), так и fastethernet. машинки с linux, netware 6.5, windows2000.
конфиги и результаты сюда запостю
Цитата
Ведь на слово вы не поверите и захотите проверить, так что если есть где проверить - можете проверить сами - все что нужно я уже написал - дать названия acl и определить нужные порты я думаю каждый сможет. Прежде чем выложить пример конфига мне нужно будет его проверить, а то всей конфой меня заплюете за малейшую граматическую ошибку .
Будет время, сам проверю, тем более что автору вопроса похоже все равно, и на первых порах ему может хватить и проверки доступа по простому IP адресу. Ну и оборудование он свое так и не указал, кроме того я не вижу какие порты ему нужно ограничивать, а какие нет.
Ну а если с теорией все в порядке - должны знать что такое возможно, тем более что на циске возможно все [/quote]
и все же два alc, один на mac другой на ip это не кузяво и не то что было заявлено
а кроме надежности определения хоста по mac поимеешь гимор с переконфигурацией маршрутизатора при смене сетевухи...
и все же два alc, один на mac другой на ip это не кузяво и не то что было заявлено
а кроме надежности определения хоста по mac поимеешь гимор с переконфигурацией маршрутизатора при смене сетевухи...
[/quote]
Ну да два acl, но все же вроде как возможно, только проверить нужно.
Ну а то что потом проблемы будут возникать при смене сетевой - так платить чем то нужно за более высокую надежность, хотя у того же интела или hp карточки могут иметь руками настроенный MAC адрес , причем это возможность заложена в самом драйвере сетевой.
Harry33 » 20 сен 2004, 10:07 
)), а на интерфейс. Впрочем для поставленной задачи этого вполне хватит, а если не хватит есть конструкция 
, причем это возможность заложена в самом драйвере сетевой.