|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Igor Suvorov 2:5020/400 01 Mar 2003 17:01:20
To : Max Mukin
Subject : Re: cdp поломали в 122-13a ?
--------------------------------------------------------------------------------
ru> <b3q8jv$13mo$1@news.tmb.ru>
From: Igor Suvorov <barlog@sauron.ru>
Max Mukin <mukin@tamb.ru> writes:
> IS> Если у каждой филиальной кошки есть всего два адреса, то блокирующий
> IS> access-list будет занимать ровно три строчки. Да, его к сожалению придется
> IS> повесить на все интерфейсы этой кошки. Hо о каких трех экранах ниже идет
> IS> речь, я не понял.
> Hе забываем об остальных 19-ти кошках и рекомендациях cisco о том, что ядро
> сети должно заниматься только маршрутизацией.
И?
> Все acl по тем же рекомендациям лучше выносить на уровнь доступа или
> агрегации.
И что мешает? acl из трех строчек на fa, group-async и смотрящий в ядро
serial, который блокирует доступ к локальным адресам маршрутизатора.
> >> Хотелось бы закрыть доступ к этим двум адресам каждой кошки.
> >> Адреса на serial для кошек выданы одним блоком - и закрываются легко одной
> >> строчкой. С адресами на fa - так не выходит. И приходится их перечислять
> >> каждый в отдельности в deny (очень не хватает функциональности to me из
> >> ipfw).
> IS> А зачем тебе перечислять адреса _всех_ кошек, а не только той, с которой
> IS> ты работаешь?
> А как ? Что мне тогда будет мешать из сети, connected к fa одной кошки пойти
> на fa другой кошки ?
acl, висящий на serial другой кошки. Или этот serial считается частью core?
Зря.. Тогда именно в этом и проблема.
--
Igor
--- ifmail v.2.15dev5
* Origin: no gnus is bad news (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
