–осси€ простила —еверной  орее долг в $10 млрд

 -ѕодписка по e-mail

 
ѕолучать сообщени€ дневника на почту.

 -ѕоиск по дневнику

люди, музыка, видео, фото
ѕоиск сообщений в StasikOS

 -—татистика

—татистика LiveInternet.ru: показано количество хитов и посетителей
ƒата регистрации: 08.05.2005
«аписей в дневнике:
 омментариев в дневнике:
Ќаписано сообщений: 3723
ѕопул€рные отчеты:
кто смотрел дневник по каким фразам приход€т

Ќемножко про access-lists в цисках

—уббота, 08 ћарта 2008 г. 22:27 + в цитатник
¬от, открыл дл€ себ€ то, что лежит за пределами CCNA - а именно поведение сиськовского пакетного фильтра.
»так,
1. access-list это список правил
2. access-list работает как любой другой пакетный фильтр - правила примен€ютс€ по очереди, и если уж подход€т к пакету, больше не примен€ютс€.
3. ¬ конце любого access-list не€вно добавл€етс€ правило, которое запрещает все.

ѕоэтому если хочетс€ прибить только вход€щий RIP на уровне пакетов, то нужно написать:
access-list 100 deny udp 192.168.4.0 0.0.0.255 any eq rip
access-list 100 permit ip any any

ќтредактировать строку списка никак нельз€. ћожно только удалить список полностью:
no access-list 100

» потом добавить его заново.
ѕравила добавл€ютс€ в пор€дке ввода. )

access-list необходимо назначать на интерфейс или в других местах, где он поддерживаетс€:
(config) int fa1/0
(config-if) ip access-group 100 in

Ќужно быть очень осторожным, добавл€€ правила удаленно, особенно на интерфейс, чреез который подключаешьс€ через vty - есть опасность набокопорить и потом бежать к циске с ноутбуком и консольным кабелем или тупо просить ее кого-то перезагрузить. )
–убрики:  јдминство и —ети
ћетки:  

ѕроцитировано 1 раз

–усаковский   обратитьс€ по имени ¬оскресенье, 09 ћарта 2008 г. 10:39 (ссылка)
ѕредставь - циска находитс€ в —ахалине, а тебе сказали что-нибудь подкрутить (и неизвестно, что будет в итоге), что делать? :)
ƒл€ этого есть полезна€ комманда - reload in 5. ≈сли накос€чил, циска через заданное врем€ ребутнетс€ и восстановит в оперативку стартап конфиг.
ѕо-поводу правил - не пугай людей :)
ћожно скопировать их в блокнот, поправить все, что нужно, затем дописать в начало no access-list, а в конце end/exit и всю конструкцию скопировать в консоль :)
ќтветить — цитатой ¬ цитатник
StasikOS   обратитьс€ по имени ¬оскресенье, 09 ћарта 2008 г. 15:54 (ссылка)
Ќу насчет блокнотов и прочего - оно пон€тно. )
ј насчет reload... сейчас попробую )
ќтветить — цитатой ¬ цитатник
Gudy   обратитьс€ по имени ¬торник, 11 ћарта 2008 г. 18:01 (ссылка)
јксесс листы это как раз ÷÷Ќј... последн€€ глава в книжке... целых 30 страниц %))
ќтветить — цитатой ¬ цитатник
ѕерейти к дневнику

¬торник, 11 ћарта 2008 г. 21:39ссылка
Gudy, ну может быть будет в CCNA-4, там вроде даже WAN есть немного. ) ‘ишечка-то в посто€нных сносках на то, что "эта технологи€ рассматриваетс€ в курсе CCNP". Ќу вот фильтры на распространение маршрутов - точно там. » NBMA. )
јноним   обратитьс€ по имени ¬оскресенье, 26 »юл€ 2009 г. 19:21 (ссылка)
ну редактировать access-list-ы как раз можно - просто надо честно признать что ты не знаешь как.
дл€ начала например
sh ip access-list 20
получаем
Standard IP access list 20
10 permit 192.168.0.0, wildcard bits 0.0.0.7 (74 matches)
20 permit 172.16.0.0, wildcard bits 0.0.0.15
потом идем в
conf t
ip access-list standard 20
и пишем
15 permit 192.168.1.0 0.0.0.15
Ctrl-Z
sh ip access-list 20
и получаем
Standard IP access list 20
10 permit 192.168.0.0, wildcard bits 0.0.0.7 (74 matches)
15 permit 192.168.1.0, wildcard bits 0.0.0.15
20 permit 172.16.0.0, wildcard bits 0.0.0.15
ќтветить — цитатой ¬ цитатник    |    Ќе показывать ветку
ѕерейти к дневнику

ѕонедельник, 27 »юл€ 2009 г. 00:11ссылка
√ромко сказано.  ак это € спуст€ год не знаю этого? )
ѕерейти к дневнику

ѕонедельник, 27 »юл€ 2009 г. 00:23ссылка
 стати, редактируетс€ он косо.

Router#sh ip access-lists
Standard IP access list 10
10 deny 192.168.20.20
20 permit 192.168.20.20
30 permit 192.168.20.21
40 permit 192.168.20.22
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access-list standard 10
Router(config-std-nacl)#5 permit 192.168.20.19
Router(config-std-nacl)#do sh ip access-lists
Standard IP access list 10
10 deny 192.168.20.20
20 permit 192.168.20.20
30 permit 192.168.20.21
40 permit 192.168.20.22
5 permit 192.168.20.19

"ќтредактировать строку нельз€" - вот подтверждение:
Router(config-std-nacl)#10 permit 192.168.20.10
% Duplicate sequence number
Router(config-std-nacl)#no 10
Router(config-std-nacl)#10 permit 192.168.20.10
(только удалить)

Router(config-std-nacl)#do wr
... reload...
# sh run | i access
access-list 10 permit 192.168.20.20
access-list 10 permit 192.168.20.21
access-list 10 permit 192.168.20.22
access-list 10 permit 192.168.20.19
access-list 10 permit 192.168.20.10

»з чего вытекает:
Router#sh ip access-lists
Standard IP access list 10
10 permit 192.168.20.20
20 permit 192.168.20.21
30 permit 192.168.20.22
40 permit 192.168.20.19
50 permit 192.168.20.10

“ак что именно вот этот отдельно вз€тый тип access-list почему-то не всегда нормально редактируетс€.
Cisco IOS Software, 7200 Software (C7200-JS-M), Version 12.4(1c)...
(может староват, конечно)
 омментировать   дневнику —траницы: [1] [Ќовые]
 

ƒобавить комментарий:
“екст комментари€: смайлики

ѕроверка орфографии: (найти ошибки)

ѕрикрепить картинку:

 ѕереводить URL в ссылку
 ѕодписатьс€ на комментарии
 ѕодписать картинку