On Tue, Aug 26, 2003 at 12:59:20PM +0300, Maxim Mazurok wrote:
On Tue, Aug 26, 2003 at 01:54:49PM +0400, Alexandre Snarskii wrote:
хочу странного имеем: кошку с одним эзером и N serial. ТЗ: траффик serial<->serial должен быть запрещен, разрешен только ether<->serial. кто-нибудь знает простое решение?
in serial x ip policy SET-ETHER ip route-cache policy ip access ext ANY permit ip any any route-map SET-ETHER permit 10 match ip address ANY set interface ethernet X
примерно так... Но это криво. Ты более точно задачу сформулировать не можешь ? А то я не понимаю, зачем ? Если изоляция клиентов друг от друга - то просто ip access-group in/out на интерфейсы и изолируй сколько угодно, если accounting - то netflow и нормальный коллектор, который умеет snmp ifindex'ы...
именно изоляция. но access-group не очень подходит, ибо, например, у одного из клиентов - примерно 380*/32 неагреггируемых. у остальных поменьше, но не сильно. вся фильтрация идет на файерволе в эзер воткнутом, не хочу конфиги повторять файера на кошке, тем более, что кошка - 4500 :)
hmmm... Ну тогда еще один изврат - если 4500 умеет vrf и vlan's, и firewall тоже умеет vlan's - то тогда просто заворачиваешь каждый serial в свой vrf, создаешь ему vlan и subif в том же vrf'е и на firewall'е уже и разгребаешь on per-vlan basis. Но это тоже диверсия еще та. Кстати, перенумеровать клиентов в нормально аггрегируемые сети возможно окажется проще. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message