форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

Сообщения по теме

[Сортировка по времени | RSS]

1. "acl внутри IPSec туннеля"	+/–
Сообщение от zzzzzak (ok) on 09-Сен-10, 16:07
>Как применить acl к трафику внутри IPSec туннеля? crypto map MAP 10 ipsec-isakmp set ip access-group NAME_LIST in|out
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "acl внутри IPSec туннеля"	+/–
	Сообщение от yurok48 (ok) on 15-Ноя-10, 17:35
	>>Как применить acl к трафику внутри IPSec туннеля? > crypto map MAP 10 ipsec-isakmp > set ip access-group NAME_LIST in|out Народ, выручайте! 2 недели бьюсь бестолку! IPSec поднимается нормально, пинги ходят. Но set ip access-group ACL_IN in не работает. ip access-list extended ACL_IN deny   ip any any log Все ходит проходит. Ни чего не блокируется. Хотя set ip access-group ACL_OUT out работает на ура. ИОС c2800nm-adventerprisek9-mz.124-12.bin Помогите плиз. Зарание спасибо!
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "acl внутри IPSec туннеля"	+/–
	Сообщение от lumenous (ok) on 16-Ноя-10, 09:48
	>[оверквотинг удален] >> crypto map MAP 10 ipsec-isakmp >> set ip access-group NAME_LIST in|out > Народ, выручайте! 2 недели бьюсь бестолку! IPSec поднимается нормально, пинги ходят. > Но set ip access-group ACL_IN in не работает. > ip access-list extended ACL_IN >  deny   ip any any log > Все ходит проходит. Ни чего не блокируется. Хотя > set ip access-group ACL_OUT out работает на ура. > ИОС c2800nm-adventerprisek9-mz.124-12.bin > Помогите плиз. Зарание спасибо! Ставьте не set а match
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "acl внутри IPSec туннеля"	+/–
	Сообщение от yurok48 (ok) on 16-Ноя-10, 10:09
	> Ставьте не set а match Наверное мы друг друга не допоняли! С одной стороны Cisco с другой D-Link DI-804HV crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key testpass address 192.168.1.220 crypto isakmp nat keepalive 20 crypto ipsec transform-set 3DES-SHA-TUN esp-3des esp-sha-hmac crypto map SVpn 11 ipsec-isakmp set peer 192.168.1.220 set ip access-group ACL_IN in  <<- вот это не работает set ip access-group ACL_OUT out set security-association lifetime seconds 28800 set transform-set 3DES-SHA-TUN set pfs group2 match address Vpn11 interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip flow ingress ip nat outside ip virtual-reassembly duplex auto speed auto crypto map SVpn interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly ip route-cache policy ip route-cache flow duplex auto speed auto ip nat inside source route-map NAT-MAP interface FastEthernet0/1 overload route-map NAT-MAP permit 10 match ip address NAT ! ip access-list extended ACL_IN deny   ip any any log ip access-list extended ACL_OUT permit ip 192.168.0.0 0.0.0.255 192.168.64.0 0.0.0.255 log deny   ip any any log ip access-list extended Vpn11 permit ip 192.168.0.0 0.0.255.255 192.168.64.0 0.0.0.31 ip access-list extended NAT deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 permit ip 192.168.2.0 0.0.0.255 any
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "acl внутри IPSec туннеля"	+/–
	Сообщение от yurok48 (ok) on 16-Ноя-10, 11:18
	>[оверквотинг удален] > ip access-list extended ACL_IN >  deny   ip any any log > ip access-list extended ACL_OUT >  permit ip 192.168.0.0 0.0.0.255 192.168.64.0 0.0.0.255 log >  deny   ip any any log > ip access-list extended Vpn11 >  permit ip 192.168.0.0 0.0.255.255 192.168.64.0 0.0.0.31 > ip access-list extended NAT >  deny   ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 >  permit ip 192.168.2.0 0.0.0.255 any Заработало!!!!! =)))) Ни чего не менял!!!! Как то само собой!
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема