форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Доступ к консоли (line vty 0 4) только с определенных IP"

Сообщение от vanek82 (ok) on 31-Июл-08, 13:13

Привет всем!!! СХЕМКА      >>>>>>>  LAN ==> cisco 3725 <===>INET<===> cisco2801     <<<<<<<<< 1) по причине версии ios c2801-ipbase-mz (отсутствует ssh) присутствует только telnet 2) задача состоит в том чтобы к консоли  vty(2801)  можно было только заходя с 3725 3) пробовал ставить ACL на line vty 0 4 но неработает :-( a) IP LAN 192.168.1.1 b) IP 3725 2.2.2.2   c) IP 2801 1.1.1.1 Алгоритм: я захожу на 3725, потом набираю telnet 1.1.1.1 и должно меня спрашивать логин и пароль. Если я пытаюсь зайти с какогонить другого ip мне не показывают месагу с логином и поролем. Пример конфига 2801 interface FastEthernet0/0.2 description smotrit_v_inet encapsulation dot1Q 2 ip address 1.1.1.1 255.255.255.224 (ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ) access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 eq telnet line vty 0 4 privilege level 15 access-class 100 in transport preferred none transport input telnet ______________________________________________________________ ПОДСКАЖИТЕ ГДЕ КОПАТЬ ПЛИЗ!!!  :-)

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Доступ к консоли (line vty 0 4) только с определенных IP"

Сообщение от vg (??) on 31-Июл-08, 17:56

> >(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ) >access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 >eq telnet > При соединении телнет, клиент открывает порт выше 1023! убрать первый "eq telnet"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от vanek82 (ok) on 01-Авг-08, 08:00
	>> >>(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ) >>access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 >>eq telnet >> > >При соединении телнет, клиент открывает порт выше 1023! >убрать первый "eq telnet" Убрал, неработает :-(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от sh_ (??) on 01-Авг-08, 10:19
	Не думаю, что вам нужен dynamic acl. Опишите конкретно, что хотите сделать...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от vanek82 (ok) on 01-Авг-08, 10:28
	>> >>(ВОТ ОН МЕГА НАЕБУРЕНЫЫЙ АЦЛ) >>access-list 100 dynamic for_telnet permit tcp host 2.2.2.2 eq telnet host 1.1.1.1 >>eq telnet >> > >При соединении телнет, клиент открывает порт выше 1023! >убрать первый "eq telnet" Вот конф: interface FastEthernet0/0 description to_LinkSys no ip address duplex auto speed auto no snmp trap link-status no cdp enable no mop enabled ! interface FastEthernet0/0.2 description LOCAL_NET encapsulation dot1Q 2 ip address 192.168.2.1 255.255.255.248 ip access-group 103 in ip nat inside ! interface FastEthernet0/0.3 description ISP encapsulation dot1Q 3 ip address 2.2.2.2 255.255.255.224 ip access-group 100 in ip nat outside ! access-list 100 permit ip 2.2.2.0 0.0.0.15 any access-list 100 permit ip host x.x.x.x host 2.2.2.2 access-list 100 permit ip host y.y.y.y host 2.2.2.2 access-list 100 deny   ip any any access-list 103 permit ip host 192.168.2.2 any access-list 103 permit ip host 192.168.2.3 any access-list 103 deny   ip any any ! line vty 0 4 privilege level 15 transport preferred none transport input telnet ============================================ 1) попытка прикрутить ACL к line vty 0 4 провалилась 2) на конфиге выше вторая попытка создать доступ по телнет снаружи к циске для администрирования, но когда я добавляю ACL 100 на подинтерфейс 0/0.3 пропадает инет в локально сети, хотя я могу по прежнему заходить с инета telnet"ом на этот подинтерфейс.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от sh_ (??) on 01-Авг-08, 11:04
	Ну тогда сначала сюда: http://segfault.kiev.ua/smart-questions-ru.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от vanek82 (ok) on 01-Авг-08, 19:59
	>Ну тогда сначала сюда: http://segfault.kiev.ua/smart-questions-ru.html Я хочу чтобы конфигурирование 2801 было возможно только с одного IP; Вот у меня и возник вопрос: Толи нужно ACL настраивать на line vty 0 4 толи на интерфейсе который смотрит в интернет? 1) если я настраивал на line vty 0 4 то ничего неработало(я немог зайти на 2801, но сервис у клиентов был) 2) если я настраивал на интерфейсе который смотрит в инет, то пропадал сервис у клиентов.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Доступ к консоли (line vty 0 4) только с определенных IP"

Сообщение от Telesis on 01-Авг-08, 13:05

access-list 1 permit 2.2.2.2 Этого достаточно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от vanek82 (ok) on 01-Авг-08, 20:03
	>access-list 1 permit 2.2.2.2 >Этого достаточно. Если я правильно понял то этот ACL нужно добавить к line vty 0 4?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от Ночной админ (ok) on 02-Авг-08, 17:20
	>>access-list 1 permit 2.2.2.2 >>Этого достаточно. > >Если я правильно понял то этот ACL нужно добавить к line vty >0 4? access-list 1 permit *.*.*.* (ип с которого будем телнетится) line vty 0 4 access-class 1 in login local transport input telnet line vty 5 15 no login >должно меня спрашивать логин и пароль. Незабыть добавить юзера локального username LOGIN privilege 15 password PASSWORD >Если я пытаюсь зайти с какогонить другого ip мне не показывают месагу с логином и поролем. acl закроет доступ к телнету и непокажутся Вам месаги.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от sh_ (??) on 04-Авг-08, 09:49
	>>access-list 1 permit 2.2.2.2 >>Этого достаточно. > >Если я правильно понял то этот ACL нужно добавить к line vty >0 4? Да. Только не забудьте, что по умолчанию в src адресе пакета будет стоять адрес интерфейса, через который будет уходить пакет. Если вам нужно использовать адрес другого интерфейса, пишите ip telnet source-interface
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от vanek82 (ok) on 04-Авг-08, 11:33
	>>>access-list 1 permit 2.2.2.2 >>>Этого достаточно. >> >>Если я правильно понял то этот ACL нужно добавить к line vty >>0 4? > >Да. Только не забудьте, что по умолчанию в src адресе пакета будет >стоять адрес интерфейса, через который будет уходить пакет. Если вам нужно >использовать адрес другого интерфейса, пишите ip telnet source-interface А вот тут я совсем запутался :-( это если у меня будет приходить пакет с источником 2.2.2.2 на один интерфейс а уходить с другого интерфейса?  То мне  нужно будет использовать дополнительно команду ip telnet source-interface
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от sh_ (??) on 04-Авг-08, 12:22
	Нет. Я вот к чему. Допустим, вот твоя схема. R1(ip1)------(ip2)R2(loopback ip3) На R1 прописано: access-l 10 perm ho ip3 line vty 0 15 ip access-class 10 in В этом случае, если ты дашь с R2 команду telnet ip1, то доступ будет запрещен access-class'ом. Поэтому нужно будет добавить команду ip telnet source-int loopback, чтобы телнет пакеты уходящие с R2 имели в качестве src адреса ip3.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от vanek82 (ok) on 04-Авг-08, 13:33
	>Нет. Я вот к чему. Допустим, вот твоя схема. Ок, давайте уточним схему  :    R1(ip1)------(ip2)R2(loopback ip3) >На R1 прописано: >access-l 10 perm ho ip3 >line vty 0 15 >ip access-class 10 in > !!!!!!! при этом на R1 отсутсвует loopback!!!!!!!!!!!! а на R2 он(loopback) присутсвует в виде 3,3,3,3 255,255,255,255 >В этом случае, если ты дашь с R2 команду telnet ip1, то >доступ будет запрещен access-class'ом. Поэтому нужно будет добавить команду ip telnet >source-int loopback, чтобы телнет пакеты уходящие с R2 имели в качестве >src адреса ip3. Значит окончательный вариант для R1 это: access-l 10 perm ho ip2(внешний, который весит на интерфейсе) или всетаки нужен только ip loopback"а ? line vty 0 4 privilege level 15 transport preferred none transport input telnet ip access-class 10 in ip telnet source-int loopback
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от sh_ (??) on 04-Авг-08, 14:38
	>или всетаки нужен только ip loopback"а ? нет. не нужен.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Доступ к консоли (line vty 0 4) только с определенных IP"
	Сообщение от vanek82 (ok) on 05-Авг-08, 09:44
	> >>или всетаки нужен только ip loopback"а ? > >нет. не нужен. Вобщем результаты таковы что добавление ACL работает прекрасно !!!1 А вот команда : ip telnet source-int loopback оказывается должна вводиться в режиме глобальной конфигурации а не line vty 0 4 :-) Всем БОЛЬШОЕ СПАСИБО!!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]