URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 6602
[ Назад ]

Исходное сообщение
"access-list и username"
Отправлено bfc , 17-Ноя-04 14:06

всем привет
имеем модемный пул на cisco 26хх
нужно чтобы часть пользователей имела ограниченный доступ (например на yyy.yyy.yyy.yyy) и соответственно другая часть пользователей не имела ограничений. хочется сделать это средствами cisco не прибегая к radius и т.п.
кусок конфига:
!
aaa authentication password-prompt "password: "
aaa authentication username-prompt "login: "
aaa authentication login default local
aaa authentication login DIALUP local
aaa authentication ppp DIALUP local
aaa authorization network default local if-authenticated
aaa session-id common
!
username admin password 7 wwwww
username User01 access-class 110 password хххх
username User02 access-class 110 password хххх
username User03 passsword ххх
username User04 passsword ххх
!
!
ip local pool DIALIN 192.168.50.100 192.168.50.150
ip default-gateway 192.168.42.246
ip classless
!
access-list 110 permit ip any host yyy.yyy.yyy.yyy
access-list 110 permit ip any host yyy.yyy.yyy.yyy
access-list 110 permit udp any any eq domain
access-list 110 permit tcp any any eq domain
access-list 110 deny ip any any
вроде всё верно, но всё равно всех пускает куда угодно, где копать?

Содержание

access-list и username,аноним, 16:46 , 17-Ноя-04

Сообщения в этом обсуждении

"access-list и username"
Отправлено аноним , 17-Ноя-04 16:46

>всем привет
>имеем модемный пул на cisco 26хх
>нужно чтобы часть пользователей имела ограниченный доступ (например на yyy.yyy.yyy.yyy) и соответственно
>другая часть пользователей не имела ограничений. хочется сделать это средствами cisco
>не прибегая к radius и т.п.
>кусок конфига:
>!
>aaa authentication password-prompt "password: "
>aaa authentication username-prompt "login: "
>aaa authentication login default local
>aaa authentication login DIALUP local
>aaa authentication ppp DIALUP local
>aaa authorization network default local if-authenticated
>aaa session-id common
>!
>username admin password 7 wwwww
>username User01 access-class 110 password хххх
>username User02 access-class 110 password хххх
>username User03 passsword ххх
>username User04 passsword ххх
>!
>!
>ip local pool DIALIN 192.168.50.100 192.168.50.150
>ip default-gateway 192.168.42.246
>ip classless
>!
>access-list 110 permit ip any host yyy.yyy.yyy.yyy
>access-list 110 permit ip any host yyy.yyy.yyy.yyy
>access-list 110 permit udp any any eq domain
>access-list 110 permit tcp any any eq domain
>access-list 110 deny ip any any
>
>вроде всё верно, но всё равно всех пускает куда угодно, где копать?
>
username User02 access-class 110 password хххх
акцес-класс тут применяется только при логине на vty циски. Для модемов можно через радиус, еще где-то слышал (но сам не проверял - может и бред), что можно через dialer сделать. Если интересно, покопай.