_ RU.CISCO (2:5077/15.22) __________________________________________ RU.CISCO _
From : Alex Bakhtin 2:5020/400 14 Jan 28 13:12:42
Subj : запретить подставлять свой IP отвергая присваиваемый автоматически
_______________________________________________________________________________
From: Alex Bakhtin <bakhtin@amt.ru>
>>>>> "AS" == Andrey Shnir writes:
AS> Hello All! Подскажите, как запретить на ppp клиенту подставлять свой
AS> адрес отвергая присваиваемый автоматически. Делать это надо на пулле, а
AS> не на отдельном интерфейсе. Т.е. связи между интерфейсом и адресом -
AS> никакой, поэтому access lists не проходят. Авторизация по такаксу.
no async dynamic address?
--
Best regards, -- Alex Bakhtin.
AMT Group, Cisco Systems Gold Partner, http://www.amt.ru
--- ifmail v.2.14dev3
* Origin: AMT Group (2:5020/400)
_ RU.CISCO (2:5077/15.22) __________________________________________ RU.CISCO _
From : Andrey Tuman 2:5020/400 18 Jan 28 06:36:16
Subj : адреса на диалап
_______________________________________________________________________________
From: "Andrey Tuman" <at@angarsk.ru>
В таксе сказать
service = ppp protocol = ip {}
Должно помочь.
Андрей
--- ifmail v.2.14dev3
* Origin: Business Network Angarsk (2:5020/400)
_ RU.CISCO (2:5077/15.22) __________________________________________ RU.CISCO _
From : Victor L. Belov 2:5020/52 18 Jan 28 11:58:42
Subj : адреса на диалап
_______________________________________________________________________________
From: "Victor L. Belov" <scream@zenon.net>
Привет,
MB> - --- Залито из: Windows Clipboard ---
MB> interface Group-Async1
MB> peer default ip address pool default
MB> ip local pool default 192.168.0.220 192.168.0.235
MB> - --- Заливное закончилось ---
> Эээ... А это не при чем. Адреса такаксом раздаются. Да и не мешает это клиенту
> подставить свой ip адрес. Хотелось бы лишить его этой возможности напрочь.
киска не даст ему сделать negotiation не с адресом
который она ему выдает. Если же говорить о security
то речь идет о подмене src в пакетах на сколько я
понимаю. Существует в 12 версии (по крайней мере в
12.0.7T оно есть на 5300) более красивое решение
чем access-list (тем более он не решает проблемы -
можно подставить адрес из пула но другой). При
включенном CEF на интерфейсах access (group-async,
virtual-template и т.д.) включаем фичу
ip verify unicast reverse-path
после этого cef будет дропать на интерфейсе любые
входящие пакеты с src неравным ip адресам которые
рутятся в сторону этого интерфейса в таблице
маршрутизации. То же самое применимо и к выделенкам.
- ---
Victor L. Belov
ZENON N.S.P.
+7 095 250 4629
--- ifmail v.2.14
* Origin: Mr. Postman (2:5020/52@fidonet)
809 Прочтений • [запретить подставлять свой IP отвергая присваиваемый автоматически (cisco dial-in ip)] [08.05.2012] [Комментариев: 0]