Re: ACL

Отправлено: Игорь Сиверин on August 16, 1999 at 22:20:00:

В ответ на: Re: ACL posted by Sergey Nedosekin on August 13, 1999 at 10:51:44:

> > А можно ли из ACL выдрать одно правило, сохранив
> > остальные ?

> Нет, к сожалению нельзя, если пользоваться консолью или телнетом.

Удобно пользоваться операциями Copy & Paste, которые поддерживает кискина консоль, а так же любой виндусный (графический) терминал.
Можно выделить строки в конфиге, скопировать в clipboard, перенесли в какой-нибудь Notepad,
отредактировали и вставить обратно в консоль (терминал, телнет), вставив первой строкой команду "no access-list NN".
Это если требования к безопасности не высоки (какое-то время интерфейс не будет защищен, пока выполнятся операция Paste, сотни миллисекунд, видимо).

При этом следует соблюдать некоторые простые правила безопасности:
1). Если требования к безопасности являются высокими
(всего несколько миллисекунд интерфейс будет не защищен), редактируете
(или создаете access-list) с новым номером, а затем привязываете его к интерфейсу, а старый access-list потом уничтожаете.
2). Если требования к безопасности очень высоки (Пентагон, напр.), то:
interface shutdown,
привязываете к интерфейсу новый access-list,
затем no shut,
потом уничтожаете старый access-list, просто чтобы попусту не болтался в конфиге.
При этом несколько секунд интерфейс не будет функционировать, пока набираете команды, но абсолютная безопасность.

> >Да и вообще как правильнее делать -
> > прошивать ACL прямо на кошке или хранить их
> > где-то на Unix'e в виде файла и потом загружать

> Правильнее (безопаснее) конечно все держать на киске, но на практике никто так не делает, а делают как удобнее. :)
> А удобнее, на мой взгляд хранить аксес листы в отдельных файлах, где- нить на компе и при необходимости редактировать их именно там, а потом заливать на киску.

> > ( если да - то как ? )

> Чтобы положить аксес лист на комп в привилигорованном режиме выполняется команда
> copy running-config tftp
> Соответственно надо иметь tftp сервер. :) Если его нет, то можно найти на ftp.comptek.ru/pub/cisco

> При этом скопируется весь конфиг. Добыть из него аксес лист не должно составить труда. :)

> Чтобы положить аксес лист на киску выполняется обратная операция
> copy tftp running-config

> Только предварительно нужно убить аксес лист с таким же номером на киске если он имеется. Иначе новый будет просто дописан в конец старого.

Отклики:

Написать ответ

Ваше имя:
E-Mail:

Тема:

Ваше сообщение:
> > > А можно ли из ACL выдрать одно правило, сохранив > > > остальные ? > > Нет, к сожалению нельзя, если пользоваться консолью или телнетом. > Удобно пользоваться операциями Copy & Paste, которые поддерживает кискина консоль, а так же любой виндусный (графический) терминал. > Можно выделить строки в конфиге, скопировать в clipboard, перенесли в какой-нибудь Notepad, > отредактировали и вставить обратно в консоль (терминал, телнет), вставив первой строкой команду "no access-list NN". > Это если требования к безопасности не высоки (какое-то время интерфейс не будет защищен, пока выполнятся операция Paste, сотни миллисекунд, видимо). > При этом следует соблюдать некоторые простые правила безопасности: > 1). Если требования к безопасности являются высокими > (всего несколько миллисекунд интерфейс будет не защищен), редактируете > (или создаете access-list) с новым номером, а затем привязываете его к интерфейсу, а старый access-list потом уничтожаете. > 2). Если требования к безопасности очень высоки (Пентагон, напр.), то: > interface shutdown, > привязываете к интерфейсу новый access-list, > затем no shut, > потом уничтожаете старый access-list, просто чтобы попусту не болтался в конфиге. > При этом несколько секунд интерфейс не будет функционировать, пока набираете команды, но абсолютная безопасность. > > > >Да и вообще как правильнее делать - > > > прошивать ACL прямо на кошке или хранить их > > > где-то на Unix'e в виде файла и потом загружать > > Правильнее (безопаснее) конечно все держать на киске, но на практике никто так не делает, а делают как удобнее. :) > > А удобнее, на мой взгляд хранить аксес листы в отдельных файлах, где- нить на компе и при необходимости редактировать их именно там, а потом заливать на киску. > > > ( если да - то как ? ) > > Чтобы положить аксес лист на комп в привилигорованном режиме выполняется команда > > copy running-config tftp > > Соответственно надо иметь tftp сервер. :) Если его нет, то можно найти на ftp.comptek.ru/pub/cisco > > При этом скопируется весь конфиг. Добыть из него аксес лист не должно составить труда. :) > > Чтобы положить аксес лист на киску выполняется обратная операция > > copy tftp running-config > > Только предварительно нужно убить аксес лист с таким же номером на киске если он имеется. Иначе новый будет просто дописан в конец старого.

Optional Link URL:
Link Title:
Optional Image URL:

E-mail: sales@comptek.ru tel: (095) 785-2525