https://m.opennet.dev/openforum/vsluhforumID6/21479.html Помогите, пожалуйста, ламеру (жизнь заставила путем "научного тыка" попытаться настроивать Циски). Более-менее получалось, пока не столкнулся с проблемой закомментированных настроек ВПН-канала. Необходимо раскомментировать настройки crypto isakmp и crypto map типа:<br>!crypto isakmp key ... address ...<br>и<br>!crypto map ... ipsec-isakmp <br>+ закоммент. настройки к crypto map<br><br> https://m.opennet.dev/openforum/vsluhforumID6/21479.html#7 Sat, 21 Aug 2010 13:19:16 GMT &gt;Еще один дурацкий вопрос: <br>&gt;Насколько работоспособен access-list, если к конце него будет ? <br>&gt;access-list 112 permit ip 192.168.1.0 0.0.0.255 any <br>&gt;Просто я не совсем понимаю назначение команд access-lista... <br><br>В конце всегда будет access-list 112 deny ip any any, соответственно следующий acl разрешает прохождение трафика из сети 192.168.1.0/24, остальное запрещено.<br>P.S. Может вам уже какие книжки почитать попроще? Вы на форумах ещё больше запутаетесь.<br><br> https://m.opennet.dev/openforum/vsluhforumID6/21479.html#6 Sat, 21 Aug 2010 13:15:44 GMT &gt;Ладно, видно никто не знает как раскомментировать настройки.<br><br>НИКАК, я ведь уже написал... вручную разве что убрать и залить. <br>&gt;[оверквотинг удален]<br>&gt;access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 <br>&gt;access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255 <br>&gt;access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.8.0 0.0.0.255 <br>&gt;access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255 <br>&gt;access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255 <br>&gt;access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.11.0 0.0.0.255 <br>&gt;<br>&gt;Подскажите как настроить так, чтобы <br>&gt;access-list 111 permit ip 192.168.1.0 0.0.0.255 any <br>&gt;было в конце access-lista ? Как не мучаюсь - не получается... <br><br>Используйте именованые ACL - <br>ip access-list extended test<br>permit ...<br>deny ...<br>В них можно оперировать порядком строк по просто поменяв номер в последовательности,<br>в таком виде как вы хотите опять же НИКАК, только удалив acl и создав его заново в нужным порядко https://m.opennet.dev/openforum/vsluhforumID6/21479.html#5 Sat, 21 Aug 2010 12:56:14 GMT access-list отрабатывается с первой по последнюю строчку<br>если первой будет deny any any то остальные не отработаются<br>удалите лист и перепешите заново<br>не помню с какой но с IOS 12.4 или 12.3 можно вставлять в лист посередине<br>покажите<br>sh ip acc<br>если ИОС поддерживает то вставлять можно в нужное место строчки, напр<br>ip access-list extended 111<br>5 deny ip any any<br> https://m.opennet.dev/openforum/vsluhforumID6/21479.html#4 Sat, 21 Aug 2010 12:10:29 GMT Еще один дурацкий вопрос:<br>Насколько работоспособен access-list, если к конце него будет ?<br>access-list 112 permit ip 192.168.1.0 0.0.0.255 any<br>Просто я не совсем понимаю назначение команд access-lista...<br> https://m.opennet.dev/openforum/vsluhforumID6/21479.html#3 Sat, 21 Aug 2010 12:00:45 GMT Ладно, видно никто не знает как раскомментировать настройки.<br>Вопрос &#8470;2:<br>Начнем с листинга:<br>access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255<br>access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255<br>access-list 102 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255<br>access-list 103 permit ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255<br>access-list 104 permit ip 192.168.1.0 0.0.0.255 192.168.8.0 0.0.0.255<br>access-list 105 permit ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255<br>access-list 106 permit ip 192.168.1.0 0.0.0.255 192.168.10.0 0.0.0.255<br>access-list 107 permit ip 192.168.1.0 0.0.0.255 192.168.11.0 0.0.0.255<br>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255<br>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255<br>access-list 111 permit ip 192.168.1.0 0.0.0.255 any<br>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255<br>access-list 111 deny ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255<br>access-list 111 d https://m.opennet.dev/openforum/vsluhforumID6/21479.html#2 Fri, 20 Aug 2010 11:31:11 GMT Предлагаю кусок кода:<br>crypto isakmp key metaSD45 address IP1<br>!crypto isakmp key metaSD45 address IP2<br>!<br>!<br>crypto ipsec transform-set meta esp-3des esp-sha-hmac <br>!<br>crypto map meta local-address Ethernet1<br>crypto map meta 1 ipsec-isakmp <br> set peer IP1<br> set transform-set meta <br> set pfs group1<br> match address 100<br>!crypto map meta 2 ipsec-isakmp <br> ! Incomplete<br>! set peer IP2<br>! set transform-set meta <br>! set pfs group1<br>! match address 101<br><br>Я конечно могу попробывать настроить ч/з команду "no" или вобще оставить закомментированное, но это как-то коряво и поэтому интересует есть ли команда, которая раскоментирует (убирает !)? Если нету, что ж...<br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/21479.html#1 Fri, 20 Aug 2010 10:38:22 GMT &gt;Помогите, пожалуйста, ламеру (жизнь заставила путем "научного тыка" попытаться настроивать Циски). Более-менее <br>&gt;получалось, пока не столкнулся с проблемой закомментированных настроек ВПН-канала. Необходимо раскомментировать <br>&gt;настройки crypto isakmp и crypto map типа: <br>&gt;!crypto isakmp key ... address ... <br>&gt;и <br>&gt;!crypto map ... ipsec-isakmp <br>&gt;+ закоммент. настройки к crypto map <br><br>При заливке конфигурации все строки начинающиеся с "!" игнорируются. Комментировать<br>таком образом можно только текстовые файлы конфигурации слитые на комп.<br>В рабочем конфиге комментарии не предусмотрены.<br><br><br>