Главная страница
О проекте Навигация Контакт
Поиск


ru.cisco

 
 - RU.CISCO ---------------------------------------------------------------------
 From : Victor Sudakov                       2:5020/400     16 Nov 2001  19:25:38
 To : "Simachev Maxim"
 Subject : Re: Глюк c access-list ...
 -------------------------------------------------------------------------------- 
 
 Simachev Maxim <simachev_maxim_v@sterling.ru> wrote:
 
 >> Рискну сделать предположение. Если я неправ, пусть меня поправят.
 >> Сам только недавно разбирался с CBAC.
 >>
 >> >
 >> > interface Ethernet0/1
 >> > ip address A-cisco
 >> > ip access-group ACL in
 >>  ^^^^^^^^^^^^^^^^^^^^^^^^ если здесь in
 >> > ip mtu 1024
 >> > ip inspect INSP in
 >>   ^^^^^^^^^^^^^^^^^^^ здесь должно быть out
 >>
 >> Если ты хочешь, чтобы CBAC динамически менял этот ACL.
 > Здесь ты не прав.
 > ip inspect INSP должен быть именно IN так как он добавляет динамически
 > аксес-лист на другие интерфейсы. Hа всех других цисках такая конфигурация
 
 Как так на другие? К которому интерфейсу приложено данное правило ip
 inspect, на том и добавляет.
 
 Я читал здесь, тут и примеры есть:
 http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/secur_c/
 scprt3/scdcbac.htm
 
 > работает.
 
 Вот как например у меня:
 
 gw#sh ip inspect interfaces 
 Interface Configuration
  Interface FastEthernet0/1
   Inbound inspection rule is not set
   Outgoing inspection rule is PTUS
     ftp alert is on audit-trail is off timeout 600
     tcp alert is on audit-trail is off timeout 120
     udp alert is on audit-trail is off timeout 30
   Inbound access list is INBOUND
   Outgoing access list is not set
 Да по "sh access-list" прекрасно видно, что и где CBAC открывает.
 
 > 
 >>
 >> Кстати, почему не показал "ip inspect name INSP" ?
 > ip inspect tcp idle-time 1800
 > ip inspect name INSP http
 > ip inspect name INSP ftp
 > ip inspect name INSP smtp
 > ip inspect name INSP tcp
 > ip inspect name INSP udp
 > 
 >>
 >> Может, "sh ip inspect all" что-нибудь тебе прояснит.
 > 
 > Посмотрел. Все идентично с другими филиалами.
 > :((((
 > 
 
 -- 
 Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
 2:5005/149@fidonet http://vas.tomsk.ru/
 PGP key: finger vas@mpeks.tomsk.su
 --- ifmail v.2.15dev5
  * Origin: AO "Svyaztransneft", SibPTUS (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Глюк c access-list ...   Simachev Maxim   16 Nov 2001 14:38:44 
 Re: Глюк c access-list ...   Victor Sudakov   16 Nov 2001 17:20:13 
 Re: Глюк c access-list ...   Simachev Maxim   16 Nov 2001 18:05:15 
 Re: Глюк c access-list ...   Simachev Maxim   16 Nov 2001 19:21:35 
 Re: Глюк c access-list ...   Victor Sudakov   16 Nov 2001 19:25:38 
 Глюк c access-list ...   Andrei Dirotchka   23 Nov 2001 22:00:08 
 Re: Глюк c access-list ...   Denis V. Schapov   28 Nov 2001 09:42:22 
Архивное /ru.cisco/9182052568f7.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional