4.4>Q: Dynamic ACL.
>A: Прислал (Oleh Hrynchuk)
You can use timed access-lists in IOS 12.x
You will need the router to synch to a clock source
for accuracy though..
for example:
int ser0/0
ip access-group 101 in
!
access-list 101 remark --FOR THE QUAKE 3 PLAYERS AT THE OFFICE--
access-list 101 permit udp any any range 27850 27999 time-range lunchtime
access-list 101 deny any any
!
time-range lunchtime
periodic weekdays 12:00 to 14:00
periodic weekend 00:00 to 23:59
!
ntp source loopback0
ntp server
!
[13.06.2000] 4.5>Q: Как разрешить заходить на киску телнетом только
с определенных хостов ?
>A: (Gosha Zafievsky)
access-list 11 permit host 192.168.1.1
line vty 0 4
access-class 11 in
===========================================================
5. Traffic-shape, QoS
===========================================================
[07.12.2001] (Denis V. Schapov) [105]Policing and Shaping Overview
Там же формула для [106]расчета параметров CAR
[107]Comparing Traffic Policing and Traffic Shaping for Bandwidth Limiting
(Denis V. Schapov) [108]How to Classify All Interface Traffic with a Single Pol
icer
5.1>Q: Как зажать исходящий ftp-трафик ?
>A: (Vasily Ivanov)
Для Active-FTP
access-list 115 permit tcp host 123.123.123.123 eq ftp-data any gt 1023
Для Passive-FTP
access-list 115 permit tcp host 123.123.123.123 any eq ftp
5.2>Q: Как сделать traffic-shape на tun ?
>A: (DY)
Вот завалялся кусок рабочего конфига от 4000.
interface Tunnel1
ip address xxx.xxx.xxx.xxx 255.255.255.252
tunnel source aaa.aaa.aaa.aaa
tunnel destination bbb.bbb.bbb.bbb
!
interface Ethernet0
ip address aaa.aaa.aaa.aaa 255.255.255.224 secondary
traffic-shape group 122 32000 8000 8000 1000
!
no access-list 122
access-list 122 permit ip host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb
access-list 122 deny ip any any
P.S. Vyacheslav Furist
Помоему лучше было бы
access-list 122 permit gre host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb
5.3>Q: Как зажать входящий трафик?
>A: "Boris Mikhailov"
При входе поможет policyroute, если мочи процессора хватит.
Еще добавлю что до 11.2(где-то 12~13) traffic-shap
криво затыкается и не шейпит (очень частый вопрос был раньше).
access-list 180 описывает тpаффик, котоpый надо шейпить
interface Loopback1
ip address 192.168.11.1 255.255.255.255
traffic-shape rate 64000
!
interface Serial0
ip policy route-map incoming-packets
!
access-list 180 permit ip any 192.168.1.0 0.0.0.255
!
route-map incoming-packets permit 10
match ip address 180
set interface Loopback1
5.4>Q: Bandwith, queue
>A: (Alex Bakhtin)
Основным параметром, который влияет на распределение
полосы пропускания при custom queuing, является byte-count. queue length на
это дело влияет мало. Итак. Допустим, у нас есть такой вот queue-list:
c4000-m#sh queueing custom
Current custom queue configuration:
List Queue Args
1 1 byte-count 6000
1 2 byte-count 3000
1 3 byte-count 4500
Остальные очереди по 1500. Понятно, что напрямую bandwith для
каждой из очередей не задается. Заполнение очередей, понятно, происходит на
основании каких-то критериев, которые я в данном случае не
учитываю. Дальше, мы начинаем обходить все 17 очередей начиная с нулевой -
1. Передаем 1500 байт из очереди 0 (если там есть пакеты)
2. Передаем 6000 байт из очереди 1
3. Передаем 3000 байт из очереди 2
4. Передаем 4500 байт из очереди 3
5. Передаем 1500 байт из очереди 4
.....
17. Передаем 1500 байт из очереди 16
Допустим, что мы используем для нашего трафика только первые 4
очереди - в остальные очереди трафик никогда не попадает. Соответвтсенно, в
среднем за один цикл будет передано
S=1500(q0)+6000(q1)+3000(q2)+4500(q3)+1500(q4)=16500 байт
Соответственно, под Q0 будет выделено
B0=1500/16500~=9% BW
B1~=36% BW
B2~=18% BW
B3~=28% BW
B4~=9% BW
То есть реальную полосу пропускания поджелят пропорционально
используемые очереди. Соответственно, реальный bandwith по каждой очереди
задается с помощью параметра byte-count, но indirectly, так как он зависит
от числа используемых реально очередей и от пропускной способности
интерфейса.
Данные значения, разумеется, будут верны только при достаточно
серьезном усреднении. Связано это с тем, что если byte-count исчерпывается
в процессе передачи пакета, пакет все равно передается до конца - то есть
реальная занимаемая полоса будет больше. Все, что написано выше - не более
чем некие теоретические выкладки при работе в идеальных условиях. Реально
все эти значения надо подбирать, анализируя средний размер пакета и не
только;)
5.5>Q: Traffic-shape на Loopback'e, Tunnel'е есть или нет ?
>A: (Alex Bakhtin)
Hекоторое время назад мне понадобился шейпер на
BVI интерфейсе в связи с чем я достаточно серьезно занимался этой
проблемой. Итак.
1. Шейпер работает. В 12.x - <=12.0(2a), в 11.3 тоже до какой-то версии.
2. Шейпер работает криво - шейпит только process-switched пакеты. (btw, это
как раз причина того, что шейпер на группу асинков через policy-route
работает)
3. Шейпер на виртуальных интерфейсах (которыми являются BVI, loopback и
Tunnel) unsupported by Cisco. То есть официально его нет. То, что он
раньше был - это баг такой в парсере конфигов/командной строки, который
позволял его включать. Я открывал по этому поводу кейс в циске - мне
предложили послать реквест на фичу.
Так что, боюсь, про замечательный способ шейпить на лупбаке
придется забыть если используется 11.3 или 12.x:-((
5.6>Q: Как зажать фтп ?
>A: (Alexander Kazakov)
В общем я отдал постоянные 32к для фтп. Все pаботает и вполне меня устpаивает.
фpэйм-pелэй делать пока не стал, буду сначала пpобовать на стендовой кошке.
как обещал - pабочий конфиг:
=== Cut ===
interface Serial2/0
description xxx XXX
ip address aaa.bbb.ccc.ddd 255.255.255.0
no ip route-cache
no ip mroute-cache
bandwidth 128
ipx network B021
ipx accounting
priority-group 2
traffic-shape group 191 32000 8000 8000 1000
!
access-list 191 permit tcp any any eq ftp
access-list 191 permit tcp any any eq ftp-data
priority-list 2 protocol ip medium list 101
priority-list 2 protocol ipx low
priority-list 2 protocol ip high tcp telnet
priority-list 2 protocol ip high udp snmp
priority-list 2 protocol ip high tcp echo
priority-list 2 protocol ip high udp echo
5.7>Q: Кто-то сталкивался с задачей совместить какую-нибудь приоритизацию
трафика с IPsec? Согласно тому, что я нашел в сайте и опыту с Priority Queuing,
QoS "работает" в самом конце, после всех access-list, NAT, fw, cef, ipsec, etc
.
Т.е. если я буду что-то криптовать, что разделить "это" по приоритеттам уже
не смогу. Извечный вопрос: что делать?
>A: (Denis V. Schapov)
qos pre-classify
71xx/72xx
[109]Quality of Service for Virtual Private Networks
[110]Quality of Service for Virtual Private Networks
26xx/36xx
[111]Quality of Service for Virtual Private Networks
17xx - 12.2(8)T
[112]Quality of Service for Virtual Private Networks
и т.д.
Для 26xx,36xx - 12.2(2)T4 пойдет
Для 17xx - можно попробовать 12.2(4)YB
===========================================================
6. Routing
===========================================================
[113]IP Routing Protocols
[114]BGP Case Studies
[115]BGP (Border Gateway Protocol)
(Slawa Olhovchenkov) [116]Why Are Some OSPF Routes in the Database but Not in t
he Routing Table?
[117]Why can't I filter OSPF
6.1>Q: Есть две Cisco2511, которые должны соединятся двумя линками,
один через serial, второй через async, оба линка по выделенках.
В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую
линию. То есть надо, что бы бакап поднимался только тогда когда
ОБА линка пропадут.
>A: (Vasily Ivanov)
ip route 216
Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в
локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда
main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из
таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы.
6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом
на Ethernet ppp-линки с маской /32, а не аггрегатировала
их в подсеть.
>A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky
router rip
version 2
! просто полезно
redistribute static subnets
no auto-summary
! Тоже не помешает
redistribute connected subnets
6.3>Q: OSPF, RIP
>A: (Alex Bakhtin)
router ospf 10
redistribute connected metric 1 subnets route-map only_public_net
redistribute static metric 1 subnets route-map only_public_net
redistribute rip
network 194.186.108.0 0.0.0.63 area 0
!
router rip
version 2
redistribute connected route-map only_public_net
redistribute static route-map ony_public_net
redistribute ospf 10 metric 4
redistribute ospf 200 metric 4
network 194.186.108.0
neighbor 194.186.108.10
neighbor 194.186.108.138
!
Разумеется, стоит ip classless и ip subnet-zero.
6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера
приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера)
то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться.
Почему это и как от этого избавиться.
>A: (Basil (Vasily) Dolmatov)
У провайдера стоит route на весь ваш класс C.
В следующей (вашей) Cisco прописаны только routes, которые она выяснила из
адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное
роутится по default route, то есть на провайдера.
Как этого избежать?
В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной
командой:
int Null0
ip unreachables
Теперь достаточно добавить еще один route в конфигурацию Cisco (предположим,
что сеть класса C - 193.193.193.0/24)
ip route 193.193.193.0 255.255.255.0 Null 0 100
В этом случае, если адрес используется, и route на него известен Cisco,
то именно этот route и будет активен (поскольку его метрика меньше),
если же адрес неизвестен, то активным станет route на Null0 и Null0
ответит на пришедший пакет icmp !H. То есть, никакого пинг-понга на
канале уже не будет.
Кстати, рекомендуется еще прописать такие же routes для private-networks,
это предотвратит их случайное выбрасывание в сторону провайдера.
ip route 10.0.0.0 255.0.0.0 Null0 100
ip route 172.16.0.0 255.240.0.0 Null0 100
ip route 192.168.0.0 255.255.0.0 Null0 100
6.5>Q: Есть два канала к провайдерам, есть две сетки, как сделать, чтобы
каждая сеть ходила по своему каналу ?
>A: (Dmitriy Yermakov)
policy-routing, пример есть на CD.
Для примера ( в очень простом случае )
access-list 110 permit ip aaa.aaa.aaa.0 0.0.0.255 any
access-list 111 permit ip bbb.bbb.bbb.0 0.0.0.255 any
route-map XXXX permit 10
match ip address 110
set default interface Serial 0
route-map XXXX permit 20
match ip address 111
set default interface Serial 1
int eth 0
ip policy route-map XXXX
P.S. [29.11.2001] [118]2 провайдера, 2 канала, 2 сети, policy routing + NAT + b
ackup
6.5.1>Q: А вот как сделать чтобы сети aaa и bbb могли общаться дpуг с дpугом
не пpоходя чеpез сети пpовайдеpов ?
>A: (Denis V. Schapov)
+ access-list 110 deny ip aaa.aaa.aaa.0 0.0.0.255 bbb.bbb.bbb.0 0.0.0.255
+ access-list 111 deny ip bbb.bbb.bbb.0 0.0.0.255 aaa.aaa.aaa.0 0.0.0.255
или же
вместо set default interface использовать 'set ip default next-hop' (в
таблице роутинга должны быть маршруты на aaa.aaa.aaa.0 и bbb.bbb.bbb.0)
либо "развязать" эти сети до входа на этот маршрутизатор
6.5.2>Q: Как перекинуть рутинг на запасного провайдера при падении основного? У
слуга подается по эзернету.
>A: (Oleg A. Lebedev)
[119]Tech Tips and Training: Static and Policy Routing Enhancements
>A: (Denis V. Schapov)
[120]Enhanced Object Tracking
>A: (Alexander V. Klepikov)
[121]Ethernet/DSL+ISDN-backup
6.6>Q: Не поделится ли кто-нибудь URL или просто секретом запуска OSPF
между Gated и Cisco ?
>A: (Alex Bakhtin)
В gated и в Cisco по умолчанию выставлены разные hello/dead интервалы.
Лечится выставлением соответствующих интервалов в gated.
P.S. (DY) в последних GateD может и поправили, deb ip ospf
поможет выяснить.
>A: (Basil (Vasily) Dolmatov)
Ospf yes {
backbone {
authtype none;
interface aaa.bbb.ccc.ddd
cost 1 {
retransmitinterval 5;
transitdelay 1;
priority 0;
hellointerval 10;
routerdeadinterval 40;
};
};
};
import proto ospfase {
ALL ;
};
export proto ospfase type 1 {
proto ospfase {
ALL
metric 1; };
proto static {
All
metric 1; };
proto direct {
ALL
metric 1; };
};
6.7>Q: Есть статический маршрyт: ip route 0.0.0.0 0.0.0.0 Serial 0/0
Как мне исключить его из ospf'ных анонсов?
Убрать redistribute static - не предлагать ;)
>A: (Dmitry Morozovsky)
1. Убрать
default-information originate always, или заменить его на
default-information originate , если таки нужно его куда-то анонсить
2. Отфильтровать ;)
distribute-list out [interface name]
access-list permit 0.0.0.0 0.0.0.0
6.8>Q: Не мог ли бы кто-нибудь из уважаемых гуру толково объяснить с точки
зрения практики (с небольшим примерчиком), что такое stubby areas и в каких
случаях их введение оправдано?
Правильно ли я понимаю, что они в общем-то нужны для экономии ресурсов роутера?
>A: (Alex Mikoutsky), прислал (Oleh Hrynchuk)
В цисках есть три типа тупиковых арий - stub, totally stub, Not-so-stubby.
Про последние две Халлаби мог и не написать.
Stub - это такая ария, роутерам в которой не нужно знать, куда кидать
пакеты, предназначенные external адресам. Заметь - только external, т.е.
тем, которые сами редистрибьютятся в домен оспф. Вместо этих анонсов ASBR
будет выкидывать дефолт маршрут для посылки на него соответствующих пакетов.
Если такая ария имеет несколько выходов в бэкбон, то каждый ASBR бужет слать
свой дефолт. От тебя зависит, какой из них рассматривать первым, а какой -
вторым. Это делается, ясное дело, метрикой по команде на ASBR: area 1
default-cost где ария 1 - типа stub.
Все остальные маршруты, приходящие из других арий, кроме external будут
анонсироваться.
Totally stub и Not-so-stubby - это специфические цисочные прилады,
помогающие фильтровать также анонсы маршрутов из других арий типа interdoman
(totally stub), однако, только в том случае, если в этой тотально тупиковой
арии нет ни одного external маршрута. Чтобы преодолеть последнее
ограничение, арию можно сделать типа NSSA (начиная с версии 11.3). В
последних случаях в арию вообще будет анонсироваться только дефолт по
команде default-information originate. Так же, как и в предыдущем случае,
ASBRов может быть несколько.
Я понятно написал?
[03.08.2000] 6.9>Q: Hадо подружить на синхронном линке роутеры
Nortel ARN и CISCO-3640. Сейчас они дружат по ppp и rip. Хочется,
чтобы дружили по frame-relay и ospf.
>A: (Sergey Y. Afonin)
Сделано на ARN с BayRS 13.20 и CISCO 3640 IOS version 12.0
Фрагмент конфига ARN (as-boundary-router true к делу не относится,
он говорит то том, что роутер может редистрибутить все, что есть и
не зафильтровано специально; если false - то редистрибутится только
только ospf):
ospf router-id xxx.xxx.xxx.234
as-boundary-router true
area area-id 0.0.0.0
back
back
serial slot 1 connector 1
cable-type v35
bofl disabled
promiscuous enabled
service transparent
circuit-name S11
frame-relay
dlcmi
management-type none
back
default-service
pvc dlci 16
vc-state active
back
ip address xxx.xxx.xxx.218 mask 255.255.255.252
address-resolution arp-in-arp
ospf area 0.0.0.0
mtu 1480
back
arp
back
back
back
back
Фрагмент конфига 3640 (тут тоже лишнее есть, правда):
!
interface Serial2/0
ip address xxx.xxx.xxx.217 255.255.255.252
ip access-group nasprotect out
ip directed-broadcast
encapsulation frame-relay
ip ospf network broadcast
no ip mroute-cache
no keepalive
no fair-queue
frame-relay map ip xxx.xxx.xxx.218 16 broadcast IETF
!
router ospf 13227
router-id aaa.aaa.aaa.234
redistribute connected subnets
redistribute static subnets
network xxx.xxx.xxx.216 0.0.0.3 area 0.0.0.0
!
Под управлением BayRS у Nortel работают так же ASN и роутеры
серии BN, та что, полагаю, и для них подойдет.
6.10>Q: Routing, metric, distance, etc.
>A: (Alex Bakhtin)
1. Routing Protocol - пpотокол динамической маpшpутизации, OSPF/EIGRP/etc.
2. Routing Process - пpоцесс, выполняющий алгоpитм какого-либо pоутингового
пpотокола. Хаpактеpизуется двумя паpаметpами:
1. Routing Protocol
2. ID (AS для EIGRP, process number для OSPF, etc).
Пpоцесс выбоpа маpшpута, котоpый будет установлен в таблицу
маpшpутизации следующий.
Пусть у нас есть сеть A, и pаботают два Routing Process: EIGRP 1
(дистанция, допустим 55), OSPF 1(дистанция 54), таблица маpшpутизации пуста.
1. Пpоцесс EIGRP 1 получает апдейт о маpшpуте к сети A (или несколько
маpшpутов - совеpшенно не важно)
2. В соответствии со своим алгоpитмом он выбиpает наилучший маpшpут к сети
A и пеpедаст его пpоцессу, отвечающему за включение pоутов в таблицу
маpшpутизации.
3. Этот пpоцесс посмотpит на маpшpут A, поищет в таблице маpшpутизации
аналогичный маpшpут, не найдет и вставит маpшpут A в таблицу с
дистанцией 55.
4. Пpоцесс OSPF 1 получит апдейт о маpшpуте к A.
5. OSPF 1 выбеpет наилучший маpшpут к A и пеpедаст его пpоцессу,
отвечающему за включение pоутов в таблицу маpшpутизации:)
6. Этот пpоцесс посмотpит на маpшpут А, найдет в таблице аналогичный
маpшpут с дистанцией 55, сpавнит 55 и 54 и вставит в таблицу
маpшpутизации новый маpшpут.
Тепеpь внимание, вопpос. Что должно пpоисходить, если оба пpоцесса
имеют администpативную дистанцию 55? Hа какую метpику они должны, по
твоему, "взиpать"?;) Случай, когда пpотоколы одинаковые - ничем не
отличается. Hикем не доказано, что метpики в двух pазных пpоцессах
маpшpутизации, пусть даже pаботающих по одному пpотоколу, сpавнимы.
===========================================================
7. TACACS,RADIUS,AAA
===========================================================
7.1>Q: Где взять tacacs-plus/radius ? В исходниках ?
>A: (Dmitriy Yermakov) См. также раздел SoftWare
[122]ftp://ftpeng.cisco.com/pub/tacacs оригинальный от Cisco (ls там не работае
т, сначала get README, потом get то, что нужно)
ls там работает не во всех каталогах.
[123]ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей
[124]ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs - и еще пропатченный. pppd тепе
рь отдельно от tac+ia, но рядом - tacpppd
[08.09.2000] >A: (Igor Prokopov) Где взять TACACS+ под NT ?
[125]http://www.nttacplus.com NTTacPlus2 (демоверсия доступна для скачивания)
Radius Tacacs+ Available for Windows NT 4.0 and Windows 95/98
Работает с ODBC (Access97), предупреждает e-mail'ом об окончании лимита,
может быть backup-сервером, работать с несколькими CISCO, ведет группы по
привилегиям и т.д.
Полная версия за деньги или на варезах ;)))
[23.01.2001] >A: (Oleh Hrynchuk) AV pairs - (broken link)
[126]TACACS+ Attribute-Value Pairs
7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если
юзер первый раз неправильно ответил на login/password то сразу сделать hangup
а не спрашивать его еще и еще. Все равно в большинстве скриптов это не
предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command
Summary" успеха не принесло. Может это в такаксе надо концы искать?
>A: (Alexey Kshnyakin)
conf t; tacacs-server attempts N
7.3>Q: Как снимать/считать статистику по интерфейсам ?
>A: (Dmitriy Yermakov)
снимать можно так
conf t
int X
ip accounting
разрешить rsh на киску, примерно так
ip rcmd rsh-enable
ip rcmd remote-host enable
и, по крону :)
/usr/bin/rsh cisco clear ip accounting
/usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%Y%m%d%H%M"`
/usr/bin/rsh cisco clear ip accounting checkpoint
Поскольку возникли вопросы, то еще вариант.
>A: (Konstantin D. Myshov)
1) Скрипт:
#!/bin/sh
#[skip]
rsh -l loger cisco.domain.adr clear ip accounting
rsh -l loger cisco.domain.adr sh ip accounting checkpoint
#[skip до конца скрипта :-)]
2) Hа киске говоришь:
username specloger privilege 8 password 0 plane_text_password
! Пароль зашифруется и через password 7 показываться будет по sh ru
ip rcmd rsh-enable
ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8
privilege exec level 8 show ip accounting checkpoint
privilege exec level 1 show ip
privilege exec level 8 clear ip accounting
P.S. (Andrey Kuksa) kuksaa@chph.ras.ru
включить бы еще
no ip rcmd domain-lookup
P.P.S. (DY) Cisco проверяет in-addr.arpa для хоста,
с которого пришел запрос на RSHELL. Если IN PTR нету - не пускает.
no ip rcmd domain-lookup эту проверку выключает.
По умолчанию - включено.
P.P.P.S. см также 0.4>Q:
7.4>Q: Как заменить "Username:" на "login:" ?
>A: (DY)
Существует 2 варианта -
1. В tac+ia можно переопределить этот prompt.
2. aaa authentication username-promt
[03.07.2001] (Jen Linkova) И не забыть про пункт 28 из tacacs-faq
>A: (Alex Shavkun)
aaa authentication baner
aaa authentication username-prompt
aaa authentication password-prompt
[03.08.2000] 7.5>Q: rsh cisco show version получаю что-то типа Undefined error
>A: (Alex Bakhtin)
debug ip tcp rcmd
[14.08.2000] 7.6>Q: не работает aaa authentication banner "..." при использова
нии tacacs
или radius для аутентикации
>A: (Alexandre Snarskii), прислал (Vladimir Kravchenko)
попробовать использовать banner login "..."
[08.09.2000] 7.6>Q: Проброс на ifcico, разные порты - разные хосты.
>A: (DY) закрываем тему ifcico.
tacacs.conf (tac+ia-0.9x)
group = fido {
after authorization "/usr/local/tacplus/emsi $user $port"
login = none
service = exec { }
}
user = \*\*EMSI_INQC816 { member = fido }
user = \*\*EMSI_INQC816q { member = fido }
user = \*\*EMSI_INQC816\*\*EMSI_INQC816q. { member = fido }
cat /usr/local/tacplus/emsi
#!/bin/sh
if [ "X$2X" = "Xtty3X" ]
then
echo noescape=true
echo autocmd="telnet host_1 60179 /stream"
else
echo noescape=true
echo autocmd="telnet host_2 60179 /stream"
fi
exit 2
>A: (Denis Shaposhnikov) Конфиг для RADIUS'a
**EMSI_INQC816 Auth-Type=Accept
Service-Type = Login-User,
Login-Service = Telnet,
Login-IP-Host = fido.XXXXX.ru,
Login-TCP-Port = 60179
P.S. Возможны варианты для Login-Service:
(Vadim Mikhailov) Rlogin
(Ilya Rubinchik) TCP-Clear
Страница12345678 | Предыдущая | Следующая