Исходное сообщение
"route-map или динамический АСЛ для ната" Отправлено AlexFirst, 20-Окт-06 23:34
>список доступа на интерфейсе: >access-list dynamic_access permit 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 >access-list dynamic_access permit host 192.168.1.1 any нету у меня такого.. :( Если я правильно понял: ip nat pool p1 xxx.xxx.xxx.111 xxx.xxx.xxx.111 netmask 255.255.255.248 ip nat inside source list 100 pool p1 overload interface FastEthernet0/1/0 ... ip access-group 156 in ip nat inside service-policy output Global ip route-cache policy no ip mroute-cache full-duplex no cdp enable end access-list 100 remark Global-NAT - internet access access-list 100 permit ip host 10.111.2.3 any access-list 100 permit ip host 10.111.2.4 any access-list 100 permit ip host 10.111.4.1 any .. (для "заначенных" правится именно этот ACL сейчас.. по идее нужно вписать сюда только одну строчку permit ip 10.0.0.0 0.255.255.255 any и рулить уже именно доступом или роутингом... но как правильнее? так как сейчас изменяется 100-й ACL и он уже довольно большой.. меняется роботом довольно часто) а доступ для прямый айпишников рулится действительно с списке доступа - 156 у меня: access-list 156 remark For incoming packets to f1 access-list 156 permit ip host 0.0.0.0 host 255.255.255.255 access-list 156 deny   ip any host 255.255.255.255 access-list 156 deny   ip any host 10.255.255.255 access-list 156 permit icmp 10.0.0.0 0.255.255.255 any access-list 156 deny   tcp any any range 135 139 access-list 156 deny   tcp any any eq 445 access-list 156 permit ip 10.0.0.0 0.255.255.255 any access-list 156 permit ip host xxx.xxx.xxx.200 any access-list 156 permit ip host xxx.xxx.xxx.205 any access-list 156 permit ip host xxx.xxx.xxx.215 any Соответственно робот прописывает прямые айпишники именно сюда (и выписывает их тоже). Почему я так не сделал для "заначенных" - потому что помню опыт вешанья такого листа на 1600 циске еще (сейчас 7500) - если список доступа на интерфейса превышал 20 записей - циска загиналась. Поэтому сейчас применяю этот метод только для прямых айпишников - так как кол-во их очень большое. >т.е. чел 192,168,1,1 выйдет в инет т.к. его через интерфейс пропустили - >никто другой нет. хотя правила ната есть... вот что имелось в >виду - банальный ACL на интерфейсе... >он будет работать сразу после применения и отрубать тоже сразу. ммм.. ну у тебя он динамический - у меня почему-то нет возможности даже делать их динамическими и, насколько я понял, динамическая запись сама по себе грохается (по какому-то таймауту), что в моем случае не применимо вообще идеологически - само оно не должно грохаться, а именно тогда, когда нужно - вытираться. Я пока не придумал, как это сделать красиво и эффективно :( > > > >>>только это все кривовато ИМХО. если правил/пользователей много - не проще сделать >>>AUTH-прокси или downloaded ACL что бы пользователь авторизовался на циске и >>>его пускало в инет. А вот на радиусе будете решать - >>>авторизовать пользователя сейчас или нет... >>А какая разница - кем авторизовывается пользователь? Или я чего-то не понимаю? >>Ведь главное то, как предоставлется ему инет, т.е. каким образом происходит >>изменение "конфига" циски, чтоба она стала предоставлять трафик для человека.. или >>не стала. >> >>Да, а чем отличается ручное прописывание маршрута для конкретного IP от того, >>что RADIUS говорит кого пускать а кого нет. Т.е. я никак >>не пойму - как Radius это делает. Т.е. как можно обойтись >>без RADUISa, но по сути делая так же, как Raidus - >>запрещаем или пускаем пользователя (без каких-либо subinterfac'ов). >> >>Т.е. честно - хочется уйти от ACL'ов для НАТа, особенно с большим >>кол-вом записей. Хочется как-то красиво.. например (мечтательно): route scr host next-hop >>global-int.. >>МОжно ли так реализовать? При чем с условием, что изначально роутинг не >>делается для всех пользовательских айпишников.. > >гм. завтра скажу. Буду очень признателен.