Главная > Компьютеры > Коммуникации >
RU.CISCO FAQ [3/8]
4.4>Q: Dynamic ACL.

>A: Прислал (Oleh Hrynchuk)

You can use timed access-lists in IOS 12.x

You will need the router to synch to a clock source
for accuracy though..

for example:

int ser0/0
 ip access-group 101 in
!
access-list 101 remark --FOR THE QUAKE 3 PLAYERS AT THE OFFICE--
access-list 101 permit udp any any range 27850 27999 time-range lunchtime
access-list 101 deny any any
!
time-range lunchtime
 periodic weekdays 12:00 to 14:00
 periodic weekend 00:00 to 23:59
!
ntp source loopback0
ntp server
!

[13.06.2000] 4.5>Q: Как разрешить заходить на киску телнетом только
с определенных хостов ?

>A: (Gosha Zafievsky)

access-list 11 permit host 192.168.1.1
line vty 0 4
  access-class 11 in

===========================================================

                             5. Traffic-shape, QoS


===========================================================

[07.12.2001] (Denis V. Schapov) [105]Policing and Shaping Overview

Там же формула для [106]расчета параметров CAR

[107]Comparing Traffic Policing and Traffic Shaping for Bandwidth Limiting

(Denis V. Schapov) [108]How to Classify All Interface Traffic with a Single Pol
icer

5.1>Q: Как зажать исходящий ftp-трафик ?

>A: (Vasily Ivanov)

Для Active-FTP
access-list 115 permit tcp host 123.123.123.123 eq ftp-data any gt 1023
Для Passive-FTP
access-list 115 permit tcp host 123.123.123.123 any eq ftp

5.2>Q: Как сделать traffic-shape на tun ?

>A: (DY)

Вот завалялся кусок рабочего конфига от 4000.

interface Tunnel1
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 tunnel source aaa.aaa.aaa.aaa
 tunnel destination bbb.bbb.bbb.bbb
!
interface Ethernet0
 ip address aaa.aaa.aaa.aaa 255.255.255.224 secondary
 traffic-shape group 122 32000 8000 8000 1000
!
no access-list 122
access-list 122 permit ip host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb
access-list 122 deny   ip any any

P.S. Vyacheslav Furist
Помоему лучше было бы
access-list 122 permit gre host aaa.aaa.aaa.aaa host bbb.bbb.bbb.bbb

5.3>Q: Как зажать входящий трафик?

>A: "Boris Mikhailov"

При входе поможет policyroute, если мочи процессора хватит.
Еще добавлю что до 11.2(где-то 12~13) traffic-shap
криво затыкается и не шейпит (очень частый вопрос был раньше).

access-list 180 описывает тpаффик, котоpый надо шейпить

interface Loopback1
 ip address 192.168.11.1 255.255.255.255
 traffic-shape rate 64000
!
interface Serial0
 ip policy route-map incoming-packets
!
access-list 180 permit ip any  192.168.1.0 0.0.0.255
!
route-map incoming-packets permit 10
 match ip address 180
 set interface Loopback1

5.4>Q: Bandwith, queue

>A: (Alex Bakhtin)

Основным параметром, который влияет на распределение
полосы пропускания при custom queuing, является byte-count. queue length на
это дело влияет мало. Итак. Допустим, у нас есть такой вот queue-list:

c4000-m#sh queueing custom
Current custom queue configuration:

List   Queue  Args
1      1      byte-count 6000
1      2      byte-count 3000
1      3      byte-count 4500

        Остальные очереди по 1500. Понятно, что напрямую bandwith для
каждой из очередей не задается. Заполнение очередей, понятно, происходит на
основании каких-то критериев, которые я в данном случае не
учитываю. Дальше, мы начинаем обходить все 17 очередей начиная с нулевой -

1. Передаем 1500 байт из очереди 0 (если там есть пакеты)
2. Передаем 6000 байт из очереди 1
3. Передаем 3000 байт из очереди 2
4. Передаем 4500 байт из очереди 3
5. Передаем 1500 байт из очереди 4
.....
17. Передаем 1500 байт из очереди 16

        Допустим, что мы используем для нашего трафика только первые 4
очереди - в остальные очереди трафик никогда не попадает. Соответвтсенно, в
среднем за один цикл будет передано

S=1500(q0)+6000(q1)+3000(q2)+4500(q3)+1500(q4)=16500 байт

Соответственно, под Q0 будет выделено

B0=1500/16500~=9% BW
B1~=36% BW
B2~=18% BW
B3~=28% BW
B4~=9% BW

        То есть реальную полосу пропускания поджелят пропорционально
используемые очереди. Соответственно, реальный bandwith по каждой очереди
задается с помощью параметра byte-count, но indirectly, так как он зависит
от числа используемых реально очередей и от пропускной способности
интерфейса.

        Данные значения, разумеется, будут верны только при достаточно
серьезном усреднении. Связано это с тем, что если byte-count исчерпывается
в процессе передачи пакета, пакет все равно передается до конца - то есть
реальная занимаемая полоса будет больше. Все, что написано выше - не более
чем некие теоретические выкладки при работе в идеальных условиях. Реально
все эти значения надо подбирать, анализируя средний размер пакета и не
только;)


5.5>Q: Traffic-shape на Loopback'e, Tunnel'е есть или нет ?

>A: (Alex Bakhtin)

Hекоторое время назад мне понадобился шейпер на
BVI интерфейсе в связи с чем я достаточно серьезно занимался этой
проблемой. Итак.

1. Шейпер работает. В 12.x - <=12.0(2a), в 11.3 тоже до какой-то версии.
2. Шейпер работает криво - шейпит только process-switched пакеты. (btw, это
   как раз причина того, что шейпер на группу асинков через policy-route
   работает)
3. Шейпер на виртуальных интерфейсах (которыми являются BVI, loopback и
   Tunnel) unsupported by Cisco. То есть официально его нет. То, что он
   раньше был - это баг такой в парсере конфигов/командной строки, который
   позволял его включать. Я открывал по этому поводу кейс в циске - мне
   предложили послать реквест на фичу.

        Так что, боюсь, про замечательный способ шейпить на лупбаке
придется забыть если используется 11.3 или 12.x:-((

5.6>Q: Как зажать фтп ?

>A: (Alexander Kazakov)

В общем я отдал постоянные 32к для фтп. Все pаботает и вполне меня устpаивает.
фpэйм-pелэй делать пока не стал, буду сначала пpобовать на стендовой кошке.

как обещал - pабочий конфиг:

=== Cut ===
interface Serial2/0
 description xxx XXX
 ip address aaa.bbb.ccc.ddd 255.255.255.0
 no ip route-cache
 no ip mroute-cache
 bandwidth 128
 ipx network B021
 ipx accounting
 priority-group 2
 traffic-shape group 191 32000 8000 8000 1000
!

access-list 191 permit tcp any any eq ftp
access-list 191 permit tcp any any eq ftp-data

priority-list 2 protocol ip medium list 101
priority-list 2 protocol ipx low
priority-list 2 protocol ip high tcp telnet
priority-list 2 protocol ip high udp snmp
priority-list 2 protocol ip high tcp echo
priority-list 2 protocol ip high udp echo

5.7>Q: Кто-то сталкивался с задачей совместить какую-нибудь приоритизацию
трафика с IPsec? Согласно тому, что я нашел в сайте и опыту с Priority Queuing,

QoS  "работает" в самом конце, после всех access-list, NAT, fw, cef, ipsec, etc
.
Т.е. если я буду что-то криптовать, что разделить "это" по приоритеттам уже
не смогу. Извечный вопрос: что делать?

>A: (Denis V. Schapov)

qos pre-classify

71xx/72xx
[109]Quality of Service for Virtual Private Networks
[110]Quality of Service for Virtual Private Networks

26xx/36xx
[111]Quality of Service for Virtual Private Networks

17xx - 12.2(8)T
[112]Quality of Service for Virtual Private Networks

и т.д.

Для 26xx,36xx - 12.2(2)T4 пойдет
Для 17xx - можно попробовать 12.2(4)YB

===========================================================

                                  6. Routing


===========================================================

[113]IP Routing Protocols
[114]BGP Case Studies
[115]BGP (Border Gateway Protocol)
(Slawa Olhovchenkov) [116]Why Are Some OSPF Routes in the Database but Not in t
he Routing Table?
[117]Why can't I filter OSPF

6.1>Q: Есть две Cisco2511, которые должны соединятся двумя линками,
один через serial, второй через async, оба линка по выделенках.
В этом проблем нет, но хочется иметь ОДИH бэкап через коммутирумую
линию. То есть надо, что бы бакап поднимался только тогда когда
ОБА линка пропадут.

>A: (Vasily Ivanov)

  ip route    216
  Все пpотоколы pутинга имеют метpику <= 200, поэтому данная стpочка появится в
локальной таблице pутинга только когда упадут оба твоих интеpфейса. Когда
main-линк восстановится, она опять будет вытеpта пpотоколами pутинга из
таблицы, и циска начнет отсчитывать dialer idle-timeout до бpосания тpубы.

6.2>Q: Подскажите что надо шепнуть киске, чтобы она аннонсила рипом
на Ethernet ppp-линки с маской /32, а не аггрегатировала
их в подсеть.

>A: Dmitry Morozovsky, Mike Shoyher, Gosha Zafievsky

    router rip
      version 2
      ! просто полезно
      redistribute static subnets
      no auto-summary
      ! Тоже не помешает
      redistribute connected subnets

6.3>Q: OSPF, RIP

>A: (Alex Bakhtin)

router ospf 10
 redistribute connected metric 1 subnets route-map only_public_net
 redistribute static metric 1 subnets route-map only_public_net
 redistribute rip
 network 194.186.108.0 0.0.0.63 area 0
!
router rip
 version 2
 redistribute connected route-map only_public_net
 redistribute static route-map ony_public_net
 redistribute ospf 10 metric 4
 redistribute ospf 200 metric 4
 network 194.186.108.0
 neighbor 194.186.108.10
 neighbor 194.186.108.138
!
Разумеется, стоит ip classless и ip subnet-zero.

6.4>Q: У меня сеть класса C, в которой заняты не все адреса. Если от провайдера
приходит пакет на отсутствующий адрес (или отвалившегося dialup-юзера)
то моя Cisco и Cisco этого провайдера начинают этим пакетом перебрасываться.
Почему это и как от этого избавиться.

>A: (Basil (Vasily)  Dolmatov)
У провайдера стоит route на весь ваш класс C.
В следующей (вашей) Cisco прописаны только routes, которые она выяснила из
адресов активных интерфейсов и каких- либо роутинг-протоколов. Остальное
роутится по default route, то есть на провайдера.

Как этого избежать?

В Cisco есть замечательный интерфейс Null0. Конфигурируется он всего одной
командой:
int Null0
ip unreachables

Теперь достаточно добавить еще один route в конфигурацию Cisco (предположим,
что сеть класса C - 193.193.193.0/24)

ip route 193.193.193.0 255.255.255.0 Null 0 100

В этом случае, если адрес используется, и route на него известен Cisco,
то именно этот route и будет активен (поскольку его метрика меньше),
если же адрес неизвестен, то активным станет route на Null0 и Null0
ответит на пришедший пакет icmp !H. То есть, никакого пинг-понга на
канале уже не будет.
Кстати, рекомендуется еще прописать такие же routes для private-networks,
это предотвратит их случайное выбрасывание в сторону провайдера.

ip route 10.0.0.0    255.0.0.0   Null0 100
ip route 172.16.0.0  255.240.0.0 Null0 100
ip route 192.168.0.0 255.255.0.0 Null0 100

6.5>Q: Есть два канала к провайдерам, есть две сетки, как сделать, чтобы
каждая сеть ходила по своему каналу ?

>A: (Dmitriy Yermakov)

policy-routing, пример есть на CD.
Для примера ( в очень простом случае )

access-list 110 permit ip aaa.aaa.aaa.0 0.0.0.255 any
access-list 111 permit ip bbb.bbb.bbb.0 0.0.0.255 any
route-map XXXX permit 10
 match ip address 110
 set default interface Serial 0
route-map XXXX permit 20
 match ip address 111
 set default interface Serial 1
int eth 0
ip policy route-map XXXX

P.S. [29.11.2001] [118]2 провайдера, 2 канала, 2 сети, policy routing + NAT + b
ackup

6.5.1>Q: А вот как сделать чтобы сети aaa и bbb могли общаться дpуг с дpугом
не пpоходя чеpез сети пpовайдеpов ?

>A: (Denis V. Schapov)

+ access-list 110 deny ip aaa.aaa.aaa.0 0.0.0.255 bbb.bbb.bbb.0 0.0.0.255
+ access-list 111 deny ip bbb.bbb.bbb.0 0.0.0.255 aaa.aaa.aaa.0 0.0.0.255

или же

вместо set default interface использовать 'set ip default next-hop' (в
таблице роутинга должны быть маршруты на aaa.aaa.aaa.0 и bbb.bbb.bbb.0)

либо "развязать" эти сети до входа на этот маршрутизатор

6.5.2>Q: Как перекинуть рутинг на запасного провайдера при падении основного? У
слуга подается по эзернету.

>A: (Oleg A. Lebedev)

[119]Tech Tips and Training: Static and Policy Routing Enhancements

>A: (Denis V. Schapov)
[120]Enhanced Object Tracking

>A: (Alexander V. Klepikov)
[121]Ethernet/DSL+ISDN-backup

6.6>Q: Не поделится ли кто-нибудь URL или просто секретом запуска OSPF
между Gated и Cisco ?

>A: (Alex Bakhtin)

В gated и в Cisco по умолчанию выставлены разные hello/dead интервалы.
Лечится выставлением соответствующих интервалов в gated.

P.S. (DY) в последних GateD может и поправили, deb ip ospf
поможет выяснить.

>A: (Basil (Vasily) Dolmatov)

Ospf yes {
    backbone {
       authtype none;
       interface aaa.bbb.ccc.ddd
                 cost 1 {
                         retransmitinterval 5;
                         transitdelay 1;
                         priority 0;
                         hellointerval 10;
                         routerdeadinterval 40;
                        };
        };
};

import proto ospfase {
        ALL ;
};

export proto ospfase type 1 {
        proto ospfase {
                ALL
                metric 1; };
        proto static {
                All
                metric 1; };
        proto direct {
                ALL
                metric 1; };
};

6.7>Q:  Есть статический маршрyт: ip route 0.0.0.0 0.0.0.0 Serial 0/0
Как мне исключить его из ospf'ных анонсов?
Убрать redistribute static - не предлагать ;)

>A: (Dmitry Morozovsky)

1. Убрать
    default-information originate always, или заменить его на
    default-information originate , если таки нужно его куда-то анонсить

2. Отфильтровать ;)
    distribute-list  out [interface name]
    access-list  permit 0.0.0.0 0.0.0.0

6.8>Q: Не мог ли бы кто-нибудь из уважаемых гуру толково объяснить с точки
зрения практики (с небольшим примерчиком), что такое stubby areas и в каких
случаях их введение оправдано?

Правильно ли я понимаю, что они в общем-то нужны для экономии ресурсов роутера?

>A: (Alex Mikoutsky), прислал (Oleh Hrynchuk)

В цисках есть три типа тупиковых арий - stub, totally stub, Not-so-stubby.
Про последние две Халлаби мог и не написать.
Stub - это такая ария, роутерам в которой не нужно знать, куда кидать
пакеты, предназначенные external адресам. Заметь - только external, т.е.
тем, которые сами редистрибьютятся в домен оспф. Вместо этих анонсов ASBR
будет выкидывать дефолт маршрут для посылки на него соответствующих пакетов.
Если такая ария имеет несколько выходов в бэкбон, то каждый ASBR бужет слать
свой дефолт. От тебя зависит, какой из них рассматривать первым, а какой -
вторым. Это делается, ясное дело, метрикой по команде на ASBR: area 1
default-cost  где ария 1 - типа stub.
Все остальные маршруты, приходящие из других арий, кроме external будут
анонсироваться.

Totally stub и Not-so-stubby - это специфические цисочные прилады,
помогающие фильтровать также анонсы маршрутов из других арий типа interdoman
(totally stub), однако, только в том случае, если в этой тотально тупиковой
арии нет ни одного external маршрута. Чтобы преодолеть последнее
ограничение, арию можно сделать типа NSSA (начиная с версии 11.3). В
последних случаях в арию вообще будет анонсироваться только дефолт по
команде default-information originate. Так же, как и в предыдущем случае,
ASBRов может быть несколько.
Я понятно написал?

[03.08.2000] 6.9>Q: Hадо подружить на синхронном линке роутеры
Nortel ARN и CISCO-3640. Сейчас они дружат по ppp и rip. Хочется,
чтобы дружили по frame-relay и ospf.

>A: (Sergey Y. Afonin)

Сделано на ARN с BayRS 13.20 и CISCO 3640 IOS version 12.0

Фрагмент конфига ARN (as-boundary-router true к делу не относится,
он говорит то том, что роутер может редистрибутить все, что есть и
не зафильтровано специально; если false - то редистрибутится только
только ospf):

ospf router-id xxx.xxx.xxx.234
    as-boundary-router true
  area area-id 0.0.0.0
  back
back
serial slot 1 connector 1
    cable-type v35
    bofl disabled
    promiscuous enabled
    service transparent
    circuit-name S11
  frame-relay
    dlcmi
        management-type none
    back
    default-service
      pvc dlci 16
          vc-state active
      back
      ip address xxx.xxx.xxx.218 mask 255.255.255.252
          address-resolution arp-in-arp
        ospf area 0.0.0.0
            mtu 1480
        back
        arp
        back
      back
    back
  back

Фрагмент конфига 3640 (тут тоже лишнее есть, правда):
!
interface Serial2/0
 ip address xxx.xxx.xxx.217 255.255.255.252
 ip access-group nasprotect out
 ip directed-broadcast
 encapsulation frame-relay
 ip ospf network broadcast
 no ip mroute-cache
 no keepalive
 no fair-queue
 frame-relay map ip xxx.xxx.xxx.218 16 broadcast IETF
!
router ospf 13227
 router-id aaa.aaa.aaa.234
 redistribute connected subnets
 redistribute static subnets
 network xxx.xxx.xxx.216 0.0.0.3 area 0.0.0.0
!

Под управлением BayRS у Nortel работают так же ASN и роутеры
серии BN, та что, полагаю, и для них подойдет.

6.10>Q: Routing, metric, distance, etc.

>A: (Alex Bakhtin)

1. Routing Protocol - пpотокол динамической маpшpутизации, OSPF/EIGRP/etc.
2. Routing Process - пpоцесс, выполняющий алгоpитм какого-либо pоутингового
   пpотокола. Хаpактеpизуется двумя паpаметpами:
        1. Routing Protocol
        2. ID (AS для EIGRP, process number для OSPF, etc).

        Пpоцесс выбоpа маpшpута, котоpый будет установлен в таблицу
маpшpутизации следующий.

        Пусть у нас есть сеть A, и pаботают два Routing Process: EIGRP 1
(дистанция, допустим 55), OSPF 1(дистанция 54), таблица маpшpутизации пуста.

1. Пpоцесс EIGRP 1 получает апдейт о маpшpуте к сети A (или несколько
   маpшpутов - совеpшенно не важно)
2. В соответствии со своим алгоpитмом он выбиpает наилучший маpшpут к сети
   A и пеpедаст его пpоцессу, отвечающему за включение pоутов в таблицу
   маpшpутизации.
3. Этот пpоцесс посмотpит на маpшpут A, поищет в таблице маpшpутизации
   аналогичный маpшpут, не найдет и вставит маpшpут A в таблицу с
   дистанцией 55.
4. Пpоцесс OSPF 1 получит апдейт о маpшpуте к A.
5. OSPF 1 выбеpет наилучший маpшpут к A и пеpедаст его пpоцессу,
   отвечающему за включение pоутов в таблицу маpшpутизации:)
6. Этот пpоцесс посмотpит на маpшpут А, найдет в таблице аналогичный
   маpшpут с дистанцией 55, сpавнит 55 и 54 и вставит в таблицу
   маpшpутизации новый маpшpут.

        Тепеpь внимание, вопpос. Что должно пpоисходить, если оба пpоцесса
имеют администpативную дистанцию 55? Hа какую метpику они должны, по
твоему, "взиpать"?;) Случай, когда пpотоколы одинаковые - ничем не
отличается. Hикем не доказано, что метpики в двух pазных пpоцессах
маpшpутизации, пусть даже pаботающих по одному пpотоколу, сpавнимы.

===========================================================

                             7. TACACS,RADIUS,AAA


===========================================================

7.1>Q: Где взять tacacs-plus/radius ? В исходниках ?

>A: (Dmitriy Yermakov) См. также раздел SoftWare

[122]ftp://ftpeng.cisco.com/pub/tacacs оригинальный от Cisco (ls там не работае
т, сначала get README, потом get то, что нужно)
ls там работает не во всех каталогах.

[123]ftp://ftp.east.ru/pub/inet-admins - патченный на предмет разных вкусностей
[124]ftp://ftp.vsu.ru/pub/hardware/cisco/tacacs - и еще пропатченный. pppd тепе
рь отдельно от tac+ia, но рядом - tacpppd

[08.09.2000] >A: (Igor Prokopov) Где взять TACACS+ под NT ?

[125]http://www.nttacplus.com NTTacPlus2 (демоверсия доступна для скачивания)
Radius Tacacs+ Available for Windows NT 4.0 and Windows 95/98
Работает с ODBC (Access97), предупреждает e-mail'ом об окончании лимита,
может быть backup-сервером, работать с несколькими CISCO, ведет группы по
привилегиям и т.д.
Полная версия за деньги или на варезах ;)))

[23.01.2001] >A: (Oleh Hrynchuk) AV pairs -  (broken link)

[126]TACACS+ Attribute-Value Pairs

7.2>Q: Кто знает, как ограничить число запросов киски на login? То есть, если
юзер первый раз неправильно ответил на login/password то сразу сделать hangup
а не спрашивать его еще и еще. Все равно в большинстве скриптов это не
предусмотрено. У меня киска упорно спрашивает три раза. Листание "Command
Summary" успеха не принесло. Может это в такаксе надо концы искать?

>A: (Alexey Kshnyakin)

conf t; tacacs-server attempts N

7.3>Q: Как снимать/считать статистику по интерфейсам ?

>A: (Dmitriy Yermakov)

снимать можно так

conf t
int X
ip accounting

разрешить rsh на киску, примерно так

ip rcmd rsh-enable
ip rcmd remote-host    enable

и, по крону :)

/usr/bin/rsh cisco clear ip accounting
/usr/bin/rsh cisco sh ip accounting checkpoint > `/bin/date +"%Y%m%d%H%M"`
/usr/bin/rsh cisco clear ip accounting checkpoint

Поскольку возникли вопросы, то еще вариант.

>A: (Konstantin D. Myshov)

1) Скрипт:

#!/bin/sh
#[skip]

rsh -l loger cisco.domain.adr clear ip accounting
rsh -l loger cisco.domain.adr sh ip accounting checkpoint

#[skip до конца скрипта :-)]

2) Hа киске говоришь:

username specloger privilege 8 password 0 plane_text_password
! Пароль зашифруется и через password 7 показываться будет по sh ru
ip rcmd rsh-enable
ip rcmd remote-host loger REMOTE_IP_ADDRESS REMOTE_USER_NAME enable 8
privilege exec level 8 show ip accounting checkpoint
privilege exec level 1 show ip
privilege exec level 8 clear ip accounting

P.S. (Andrey Kuksa) kuksaa@chph.ras.ru

включить бы еще
no ip rcmd domain-lookup

P.P.S. (DY) Cisco проверяет in-addr.arpa для хоста,
с которого пришел запрос на RSHELL. Если IN PTR нету - не пускает.
no ip rcmd domain-lookup эту проверку выключает.
По умолчанию - включено.

P.P.P.S. см также 0.4>Q:

7.4>Q: Как заменить "Username:" на "login:" ?

>A: (DY)

Существует 2 варианта -
1. В tac+ia можно переопределить этот prompt.
2. aaa authentication username-promt

[03.07.2001] (Jen Linkova) И не забыть про пункт 28 из tacacs-faq

>A: (Alex Shavkun)
aaa authentication baner
aaa authentication username-prompt
aaa authentication password-prompt


[03.08.2000] 7.5>Q: rsh cisco show version получаю что-то типа Undefined error

>A: (Alex Bakhtin)

debug ip tcp rcmd

[14.08.2000] 7.6>Q:  не работает aaa authentication banner "..." при использова
нии tacacs
или radius для аутентикации

>A: (Alexandre Snarskii), прислал (Vladimir Kravchenko)

попробовать использовать banner login "..."

[08.09.2000] 7.6>Q: Проброс на ifcico, разные порты - разные хосты.

>A: (DY) закрываем тему ifcico.

tacacs.conf (tac+ia-0.9x)

group = fido {
                after authorization "/usr/local/tacplus/emsi $user $port"
                login = none
                service = exec { }
                }

user = \*\*EMSI_INQC816 { member = fido }
user = \*\*EMSI_INQC816q { member = fido }
user = \*\*EMSI_INQC816\*\*EMSI_INQC816q. { member = fido }

cat /usr/local/tacplus/emsi
#!/bin/sh
if [ "X$2X" = "Xtty3X" ]
        then
                echo noescape=true
                echo autocmd="telnet host_1 60179 /stream"
        else
                echo noescape=true
                echo autocmd="telnet host_2 60179 /stream"
fi
exit 2

>A: (Denis Shaposhnikov) Конфиг для RADIUS'a

**EMSI_INQC816  Auth-Type=Accept
        Service-Type = Login-User,
        Login-Service = Telnet,
        Login-IP-Host = fido.XXXXX.ru,
        Login-TCP-Port = 60179

P.S. Возможны варианты для Login-Service:
(Vadim Mikhailov) Rlogin
(Ilya Rubinchik) TCP-Clear

Страница 1 2 3 4 5 6 7 8 | Предыдущая | Следующая

Украинская Баннерная Сеть

Главная  Алфавитный индекс  Справка  Добавить FAQ  E-mail
Новости  Поиск по сайту

© УкрFAQ 2008
Сайт создан в системе uCoz