The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"cisco config problem"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"cisco config problem"  +1 +/
Сообщение от qwek (ok) on 26-Июл-11, 21:30 
С некоторого времени я стал временно цисководом. Не скажу что это безумно меня осчастливило, однако работу работать надо и по её ходу возникли сложности. Одна из них это непонятные танцы вокруг конфига cisco. Для слива-залива используется tftp. Заливаю вот такую картину:

deny   udp any any range netbios-ns netbios-ss
deny   ip any 1.1.1.1 0.0.0.0
deny   ip any 2.2.2.2 0.0.0.0
deny   ip any 3.3.3.3 0.0.0.0
deny   gre any any
permit ip any any

в результате получаю такую картину в running-config после copy running-config startup-config и после reload

deny   udp any any range netbios-ns netbios-ss
deny   ip any 2.2.2.2 0.0.0.0
permit ip any any
deny   gre any any
deny   ip any 1.1.1.1 0.0.0.0
deny   ip any 3.3.3.3 0.0.0.0

Естественно последние три строчки не работают, так как выше разрешающее правило всем куда угодно можно. Прошу помощи у сообщества, ткните носом в очевидное. Спасибо.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "cisco config problem"  +/
Сообщение от qwek (ok) on 27-Июл-11, 02:08 
>[оверквотинг удален]
> и после reload
>  deny   udp any any range netbios-ns netbios-ss
>  deny   ip any 2.2.2.2 0.0.0.0
>  permit ip any any
>  deny   gre any any
>  deny   ip any 1.1.1.1 0.0.0.0
>  deny   ip any 3.3.3.3 0.0.0.0
> Естественно последние три строчки не работают, так как выше разрешающее правило всем
> куда угодно можно. Прошу помощи у сообщества, ткните носом в очевидное.
> Спасибо.

Сам себе решил ответить, потому что проблему решил.

Действия следующие:
забираем конфиг по tftp
copy running-config tftp

редактируем в удобном редакторе текстовых файлов как нам надо, перед редактируемым access-list вставляем строку:
no ip access-list extended имя
ip access-list extended имя

далее делаем:
copy tftp running-config
show running-config
copy run start

Ребутить не надо. Если будут корректировки буду благодарен. Всем спасибо еще раз.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "cisco config problem"  +/
Сообщение от Seva (??) on 27-Июл-11, 11:45 

>[оверквотинг удален]
> copy running-config tftp
> редактируем в удобном редакторе текстовых файлов как нам надо, перед редактируемым access-list
> вставляем строку:
> no ip access-list extended имя
> ip access-list extended имя
> далее делаем:
> copy tftp running-config
> show running-config
> copy run start
> Ребутить не надо. Если будут корректировки буду благодарен. Всем спасибо еще раз.

Почитайте правила составления ACL и будет счастье...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "cisco config problem"  +/
Сообщение от qwek (ok) on 27-Июл-11, 11:49 
>>[оверквотинг удален]
> Почитайте правила составления ACL и будет счастье...

Я что-то не так сделал? Подскажите что именно. Пример то короткий, пять строчек всего. Читать я умею, вопрос - где это читать. Ссылку подскажите где можно получить нужную информацию начального уровня.
Спасибо.


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "cisco config problem"  +/
Сообщение от sm00th1980 (ok) on 27-Июл-11, 12:37 
ACL описываются в курсе cisco при подготовке к CCNA.
Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там будет эта глава.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "cisco config problem"  +/
Сообщение от qwek (ok) on 27-Июл-11, 21:24 
> ACL описываются в курсе cisco при подготовке к CCNA.
> Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там
> будет эта глава.

Спасибо. Поищу.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "cisco config problem"  +/
Сообщение от radashah22 (ok) on 19-Сен-11, 18:39 
>> ACL описываются в курсе cisco при подготовке к CCNA.
>> Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там
>> будет эта глава.
> Спасибо. Поищу.

ACL создаются (все, везде и всегда) по принципу: сначала указываете что разрешается, а потом запрещаете все остальное. Permit any само за себя говорит: дыра в системе...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "cisco config problem"  +/
Сообщение от Valery12 (??) on 20-Сен-11, 10:21 
>>> ACL описываются в курсе cisco при подготовке к CCNA.
>>> Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там
>>> будет эта глава.
>> Спасибо. Поищу.
> ACL создаются (все, везде и всегда) по принципу: сначала указываете что разрешается,
> а потом запрещаете все остальное. Permit any само за себя говорит:
> дыра в системе...

да не в этом дело, человек заливал новый ACL поверх старого, в результате они смешивались, а стандартный способ
no ip access-list extended MY_ACL
ip access-list extended MY_ACL
deny   udp any any range netbios-ns netbios-ss
deny   ip any 1.1.1.1 0.0.0.0
deny   ip any 2.2.2.2 0.0.0.0
deny   ip any 3.3.3.3 0.0.0.0
deny   gre any any
permit ip any any

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "cisco config problem"  +/
Сообщение от sadko812 (ok) on 21-Сен-11, 09:55 
>>>[оверквотинг удален]
>> Почитайте правила составления ACL и будет счастье...
> Я что-то не так сделал? Подскажите что именно. Пример то короткий, пять
> строчек всего. Читать я умею, вопрос - где это читать. Ссылку
> подскажите где можно получить нужную информацию начального уровня.
> Спасибо.

Видимо вопрос не в правилах ACL, а в том, что они перетасовываются, потому что желаемый конфиг нельзя заливать в running-config, а надо в startup (nvram) и ребутиться. Тогда не будет этих наложений. Т.е.:
copy tftr start
reload
...
PROFIT!

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "cisco config problem"  +/
Сообщение от qwek (ok) on 12-Окт-11, 20:18 
> PROFIT!

Все верно. Спасибо большое еще раз!

Возник еще один интересный вопрос. Ситуация следующая. Имеем мини спидтест (http://speedtest.net/mini.php) установленный на одном из серверов находящихся за cisco и d-link. Если обращаться к мини спидтесту непосредственно с любого порта d-link - все нормально. Если через cisco и соответственно через d-link, то по результатам теста на входящем трафике стрелка миниспидтеста лихорадочно дергается и выше 1-2 мегабит не поднимается. Это при подключении к сети в 100 мегабит. Аплоад тест проходит нормально.

результат Iperf
64.2 MBytes  53.8 Mbits/sec
результат минитест
D: 1.43 MBytes U: 69.15 Mbits/sec

В чем может быть проблема? Необходимо ли дополнительно настраивать MTU на D-Link и Cisco? На данный момент ничего не изменялось, все стоит по умолчанию.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру