[Aleksey Potapov]

Вопрос ещё возник...У меня же 1811 циска
Вычитал на сайте
USB 2.0 Ports on Cisco 1811 and 1812


Integrated USB ports can be configured to work with optional USB token for off-platform storage of VPN credentials or for deployment of configuration stored on USB Flash devices.

Возможно ли их задействовать для передачи данных (логи) на USB внешний жётский диск?

[Aleksey Potapov]

Вот какой конфиг после того как я залил с правилами.
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
ip access-group vlan101 in
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
ip access-group vlan102 in
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 in
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server

!
ip access-list extended vlan101
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit ip 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host any eq 80 172.10.254.0 0.0.0.255
permit tcp host any eq 443 172.10.254.0 0.0.0.255
permit tcp host any eq 25 172.10.254.0 0.0.0.255
permit tcp host any eq 110 172.10.254.0 0.0.0.255
deny ip any any
!
ip access-list extended vlan102
permit ip 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
deny ip any any
!
ip access-list extended vlan103
permit ip 172.10.254.0 0.0.0.255 172.10.254.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit tcp 172.10.254.0 0.0.0.255 host any eq 80
permit tcp 172.10.254.0 0.0.0.255 host any eq 110
permit tcp 172.10.254.0 0.0.0.255 host any eq 443
permit tcp 172.10.254.0 0.0.0.255 host any eq 25
deny ip any any
!




Итог - не могу выйти в интернет из Vlan 101 ТОЧНО.Остальные не проверял - времени не хватило....
На рабочих машинах шлюзом у меня указана циска.
Куда рыть?
подскажите пожалуйста.


PS создал конфиг с одним аутом - отлично работает.
Вот он
!
interface Vlan101
description Vlan1-NSOF
ip address 172.10.1.3 255.255.255.0
ip route-cache
!
interface Vlan102
description Vlan2-NSOF
ip address 172.10.2.3 255.255.255.0
ip route-cache
!
interface Vlan103
description Vlan3-MSOF
ip address 172.10.254.3 255.255.255.0
ip route-cache
ip access-group vlan103 out
!
interface Async1
no ip address
encapsulation slip
ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
ip http server
ip http access-class 23
no ip http secure-server
!
ip access-list extended vlan103
permit tcp any eq 80 172.10.254.0 0.0.0.255
permit tcp any eq 443 172.10.254.0 0.0.0.255
permit tcp any eq 25 172.10.254.0 0.0.0.255
permit tcp any eq 110 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
deny ip any any
!



Вопрос по этому конфигу - можно ли как-то в нём сразу ограничить доступ в интрнет ?(Тоесть указывая не any , а именно к примеру www.mail.ru (и только определённые сервисы - тоесть к примеру знакомства mail.ru чтобы не работали.....и т.п.))

Указывал в нём вместо any для протоколов www, 443 и т.п. ip 172.10.1.7 - инет не работал....Должно ли быть так?

[kim-aa]

Цитата aptv:

Указывал в нём вместо any для протоколов www, 443 и т.п. ip 172.10.1.7 - инет не работал....Должно ли быть так? »

Слушайте, действительно так и должно быть.
Совсем склероз замучал.
У вас клиенты когда через ISA ходят, порт прокси В браузере указывают? 8080 либо 3128?
Если "Да", то реальный ответный трафик будет
isa tcp 8080 -> 172.10.254.0 0.0.0.255

А входящий трафик будет соответсвенно
172.10.254.0 0.0.0.255 -> isa tcp 8080

====
Если же в браузерах прокси не указывается, то ИСА работает либо фаерволом, либо прозрачным прокси,
и запрос клиента будет:
172.10.254.0 0.0.0.255 -> mail.ru tcp 80

ответ, соответственно зеркален наоборот и кроме any ничего не подойдет.
===

Цитата aptv:

Тоесть указывая не any , а именно к примеру www.mail.ru (и только определённые сервисы - тоесть к примеру знакомства mail.ru чтобы не работали.....и т.п »

Разбор http строки это уже дело не фаервола 4 уровня, а либо прокси ,либо фаервола 7-го уровня.
===

кстати, вместо ip в acl можно указывать именна, но только в SDM
Среда автоматом переведет имя в IP
будет подобная запись

ip access-list extended to_Aton
remark 172.23.0.0 and 192.168.0.0 ->Aton
remark SDM_ACL Category=2
remark www.aton-line.ru:443
permit tcp 192.168.0.0 0.0.0.255 host 195.151.189.23 eq 443
remark www.aton-line.ru:80
permit tcp 192.168.0.0 0.0.0.255 host 195.151.189.23 eq www

[Aleksey Potapov]

вот как раз для vlan101 - клиенты хходят через прокси......с авторизацией - для безопастности сети.
А вот из остальных Влан не получится использоват вэб прокси - так как там приходящие и уходящие клиенты - с ноутами в основном....
Теперь понятно...


!
ip access-list extended vlan101
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit ip 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.1.0 0.0.0.255 172.10.2.0 0.0.0.255
permit tcp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit tcp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit tcp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.1 eq domain 172.10.254.0 0.0.0.255
permit udp host 195.14.50.21 eq domain 172.10.254.0 0.0.0.255
permit udp host 213.234.192.7 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit tcp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.4 eq domain 172.10.254.0 0.0.0.255
permit udp host 172.10.1.5 eq domain 172.10.254.0 0.0.0.255
permit tcp host any eq 80 172.10.254.0 0.0.0.255
permit tcp host any eq 443 172.10.254.0 0.0.0.255
permit tcp host any eq 25 172.10.254.0 0.0.0.255
permit tcp host any eq 110 172.10.254.0 0.0.0.255
deny ip any any
!
ip access-list extended vlan102
permit ip 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit icmp 172.10.2.0 0.0.0.255 172.10.2.0 0.0.0.255
permit ip any 172.10.1.0 0.0.0.255
permit icmp any 172.10.1.0 0.0.0.255
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.2.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.2.0 0.0.0.255 host 213.234.192.7 eq domain
deny ip any any
!
ip access-list extended vlan103
permit ip 172.10.254.0 0.0.0.255 172.10.254.0 0.0.0.255
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.4 eq domain
permit udp 172.10.254.0 0.0.0.255 host 172.10.1.5 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 195.14.50.21 eq domain
permit tcp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.1 eq domain
permit udp 172.10.254.0 0.0.0.255 host 195.14.50.21eq domain
permit udp 172.10.254.0 0.0.0.255 host 213.234.192.7 eq domain
permit tcp 172.10.254.0 0.0.0.255 host any eq 80
permit tcp 172.10.254.0 0.0.0.255 host any eq 110
permit tcp 172.10.254.0 0.0.0.255 host any eq 443
permit tcp 172.10.254.0 0.0.0.255 host any eq 25
deny ip any any
!


Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server ....
permit ip any 172.10.1.0 0.0.0.255

------------
ТОесть разбор данного протокола возможен к примеру на cisco PIX?(устройств работающих на 7-ом уровне модели OSI?)
------------

[kim-aa]

Цитата aptv:

ТОесть разбор данного протокола возможен к примеру на cisco PIX?(устройств работающих на 7-ом уровне модели OSI?) »

Да. Но проще и дешевле на Squid.
Вобще процесс разбора проще на прокси серверах, но увы они не универсальны.

Универсальные же устройства, типа фаерволов 7-го уровня дороги и не так функциональны.

[Aleksey Potapov]

Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server ....
permit ip any 172.10.1.0 0.0.0.255

[kim-aa]

Цитата aptv:

Но почему всё равно не пускает - ведь в самом первом правиле я указал - из подсети 172.10.1.0 куда угодно используя любой протокол.тоесть по идеи они должны получать доступ на isa server .... »

1) Кого и куда не пускает?
2) как вы ACL к интерфейсам прикрепили приведите.

[Aleksey Potapov]

1 - в интернет не пускает.
2 - ip access-group vlan101 in

[kim-aa]

1) Кого не пускает?
2) out - правила есть?

[Aleksey Potapov]

клиента из подсети 172.10.1.0