С некоторого времени я стал временно цисководом. Не скажу что это безумно меня осчастливило, однако работу работать надо и по её ходу возникли сложности. Одна из них это непонятные танцы вокруг конфига cisco. Для слива-залива используется tftp. Заливаю вот такую картину:

deny   udp any any range netbios-ns netbios-ss
deny   ip any 1.1.1.1 0.0.0.0
deny   ip any 2.2.2.2 0.0.0.0
deny   ip any 3.3.3.3 0.0.0.0
deny   gre any any
permit ip any any

в результате получаю такую картину в running-config после copy running-config startup-config и после reload

deny   udp any any range netbios-ns netbios-ss
deny   ip any 2.2.2.2 0.0.0.0
permit ip any any
deny   gre any any
deny   ip any 1.1.1.1 0.0.0.0
deny   ip any 3.3.3.3 0.0.0.0

Естественно последние три строчки не работают, так как выше разрешающее правило всем куда угодно можно. Прошу помощи у сообщества, ткните носом в очевидное. Спасибо.

• cisco config problem,qwek, 02:08 , 27-Июл-11
  • cisco config problem,Seva, 11:45 , 27-Июл-11
    • cisco config problem,qwek, 11:49 , 27-Июл-11
      • cisco config problem,sm00th1980, 12:37 , 27-Июл-11
        • cisco config problem,qwek, 21:24 , 27-Июл-11
          • cisco config problem,radashah22, 18:39 , 19-Сен-11
            • cisco config problem,Valery12, 10:21 , 20-Сен-11
      • cisco config problem,sadko812, 09:55 , 21-Сен-11
        • cisco config problem,qwek, 20:18 , 12-Окт-11

>[оверквотинг удален]
> и после reload
>  deny   udp any any range netbios-ns netbios-ss
>  deny   ip any 2.2.2.2 0.0.0.0
>  permit ip any any
>  deny   gre any any
>  deny   ip any 1.1.1.1 0.0.0.0
>  deny   ip any 3.3.3.3 0.0.0.0
> Естественно последние три строчки не работают, так как выше разрешающее правило всем
> куда угодно можно. Прошу помощи у сообщества, ткните носом в очевидное.
> Спасибо.

Сам себе решил ответить, потому что проблему решил.

Действия следующие:
забираем конфиг по tftp
copy running-config tftp

редактируем в удобном редакторе текстовых файлов как нам надо, перед редактируемым access-list вставляем строку:
no ip access-list extended имя
ip access-list extended имя

далее делаем:
copy tftp running-config
show running-config
copy run start

Ребутить не надо. Если будут корректировки буду благодарен. Всем спасибо еще раз.

>[оверквотинг удален]
> copy running-config tftp
> редактируем в удобном редакторе текстовых файлов как нам надо, перед редактируемым access-list
> вставляем строку:
> no ip access-list extended имя
> ip access-list extended имя
> далее делаем:
> copy tftp running-config
> show running-config
> copy run start
> Ребутить не надо. Если будут корректировки буду благодарен. Всем спасибо еще раз.

Почитайте правила составления ACL и будет счастье...

>>[оверквотинг удален]
> Почитайте правила составления ACL и будет счастье...

Я что-то не так сделал? Подскажите что именно. Пример то короткий, пять строчек всего. Читать я умею, вопрос - где это читать. Ссылку подскажите где можно получить нужную информацию начального уровня.
Спасибо.

ACL описываются в курсе cisco при подготовке к CCNA.
Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там будет эта глава.

> ACL описываются в курсе cisco при подготовке к CCNA.
> Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там
> будет эта глава.

Спасибо. Поищу.

>> ACL описываются в курсе cisco при подготовке к CCNA.
>> Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там
>> будет эта глава.
> Спасибо. Поищу.

ACL создаются (все, везде и всегда) по принципу: сначала указываете что разрешается, а потом запрещаете все остальное. Permit any само за себя говорит: дыра в системе...

>>> ACL описываются в курсе cisco при подготовке к CCNA.
>>> Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там
>>> будет эта глава.
>> Спасибо. Поищу.
> ACL создаются (все, везде и всегда) по принципу: сначала указываете что разрешается,
> а потом запрещаете все остальное. Permit any само за себя говорит:
> дыра в системе...

да не в этом дело, человек заливал новый ACL поверх старого, в результате они смешивались, а стандартный способ
no ip access-list extended MY_ACL
ip access-list extended MY_ACL
deny   udp any any range netbios-ns netbios-ss
deny   ip any 1.1.1.1 0.0.0.0
deny   ip any 2.2.2.2 0.0.0.0
deny   ip any 3.3.3.3 0.0.0.0
deny   gre any any
permit ip any any

>>>[оверквотинг удален]
>> Почитайте правила составления ACL и будет счастье...
> Я что-то не так сделал? Подскажите что именно. Пример то короткий, пять
> строчек всего. Читать я умею, вопрос - где это читать. Ссылку
> подскажите где можно получить нужную информацию начального уровня.
> Спасибо.

Видимо вопрос не в правилах ACL, а в том, что они перетасовываются, потому что желаемый конфиг нельзя заливать в running-config, а надо в startup (nvram) и ребутиться. Тогда не будет этих наложений. Т.е.:
copy tftr start
reload
...
PROFIT!

> PROFIT!

Все верно. Спасибо большое еще раз!

Возник еще один интересный вопрос. Ситуация следующая. Имеем мини спидтест (http://speedtest.net/mini.php) установленный на одном из серверов находящихся за cisco и d-link. Если обращаться к мини спидтесту непосредственно с любого порта d-link - все нормально. Если через cisco и соответственно через d-link, то по результатам теста на входящем трафике стрелка миниспидтеста лихорадочно дергается и выше 1-2 мегабит не поднимается. Это при подключении к сети в 100 мегабит. Аплоад тест проходит нормально.

результат Iperf
64.2 MBytes  53.8 Mbits/sec
результат минитест
D: 1.43 MBytes U: 69.15 Mbits/sec

В чем может быть проблема? Необходимо ли дополнительно настраивать MTU на D-Link и Cisco? На данный момент ничего не изменялось, все стоит по умолчанию.