ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Valery Lutoshkin                     2:5005/77      17 Oct 2007  18:08:32
 To : All
 Subject : Заблокировать доступ к line vty по дестинейшну
 -------------------------------------------------------------------------------- 
 

 
   C65xx, s72033-adventerprisek9_wan-mz.122-33.SXH. Задача - ограничить доступ к
 line vty по конкретному destination IP. Чтобы подключение к устройству
 телнетом/ссх было возможно только на его конкретный адрес, входящий в
 соответствующий VRF (далее в примере адрес 1.1.1.1).
 
   Очевидное действие - расширенный ACL с permit ip any host 1.1.1.1 и
 затем access-class ACL in vrf-also - не срабатывает. Точнее, запросы на
 соединение не попадают под строку acl. Если добавить в ацл строку any any -
 соединение происходит и в счетчике на ацл видно, что сессия попадает именно под
 any any.
 
   Попытка ограничить через control place policy уперлась в то, что в этом иосе
 не существует команды drop в описании policy-map (сам аж удивился).
 
   Есть идеи - как можно решить поставленную задачу? Естественно, предложение
 повесить на каждый маршрутизируемый интерфейс по ацлю не рулит.
 
   Или пора в TAC'е кейс открывать на предмет неправильной работы расширенного
 ацл на line vty?
 
                                       Bye, Valery
 
 --- GoldED+/W32 1.1.5-040321
  * Origin: Star Seed (2:5005/77)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

Тема:    Автор:    Дата:    Заблокировать доступ к line vty по дестинейшну   Valery Lutoshkin   17 Oct 2007 18:08:32   Re: Заблокировать доступ к line vty по дестинейшну   Yuri Selivanov   18 Oct 2007 06:28:00   Заблокировать доступ к line vty по дестинейшну   Valery Lutoshkin   18 Oct 2007 16:24:22   Заблокировать доступ к line vty по дестинейшну   Valery Lutoshkin   19 Oct 2007 10:43:06   Re: Заблокировать доступ к line vty по дестинейшну   Yuri Selivanov   20 Oct 2007 14:42:59