https://m.opennet.dev/openforum/vsluhforumID6/22924.html С некоторого времени я стал временно цисководом. Не скажу что это безумно меня осчастливило, однако работу работать надо и по её ходу возникли сложности. Одна из них это непонятные танцы вокруг конфига cisco. Для слива-залива используется tftp. Заливаю вот такую картину:<br><br> deny udp any any range netbios-ns netbios-ss<br> deny ip any 1.1.1.1 0.0.0.0<br> deny ip any 2.2.2.2 0.0.0.0<br> deny ip any 3.3.3.3 0.0.0.0<br> deny gre any any<br> permit ip any any<br><br>в результате получаю такую картину в running-config после copy running-config startup-config и после reload<br><br> deny udp any any range netbios-ns netbios-ss<br> deny ip any 2.2.2.2 0.0.0.0<br> permit ip any any<br> deny gre any any<br> deny ip any 1.1.1.1 0.0.0.0<br> deny ip any 3.3.3.3 0.0.0.0<br><br>Естественно последние три строчки не работают, так как выше разрешающее правило всем куда угодно можно. Прошу помощи у сообщества, ткните носом в очевидное. Спасибо.<br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#9 Wed, 12 Oct 2011 16:18:22 GMT &gt; PROFIT!<br><br>Все верно. Спасибо большое еще раз!<br><br>Возник еще один интересный вопрос. Ситуация следующая. Имеем мини спидтест (http://speedtest.net/mini.php) установленный на одном из серверов находящихся за cisco и d-link. Если обращаться к мини спидтесту непосредственно с любого порта d-link - все нормально. Если через cisco и соответственно через d-link, то по результатам теста на входящем трафике стрелка миниспидтеста лихорадочно дергается и выше 1-2 мегабит не поднимается. Это при подключении к сети в 100 мегабит. Аплоад тест проходит нормально.<br><br>результат Iperf<br>64.2 MBytes 53.8 Mbits/sec<br>результат минитест<br>D: 1.43 MBytes U: 69.15 Mbits/sec<br><br>В чем может быть проблема? Необходимо ли дополнительно настраивать MTU на D-Link и Cisco? На данный момент ничего не изменялось, все стоит по умолчанию.<br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#8 Wed, 21 Sep 2011 05:55:54 GMT &gt;&gt;&gt;[оверквотинг удален] <br>&gt;&gt; Почитайте правила составления ACL и будет счастье...<br>&gt; Я что-то не так сделал? Подскажите что именно. Пример то короткий, пять <br>&gt; строчек всего. Читать я умею, вопрос - где это читать. Ссылку <br>&gt; подскажите где можно получить нужную информацию начального уровня.<br>&gt; Спасибо.<br><br>Видимо вопрос не в правилах ACL, а в том, что они перетасовываются, потому что желаемый конфиг нельзя заливать в running-config, а надо в startup (nvram) и ребутиться. Тогда не будет этих наложений. Т.е.:<br>copy tftr start<br>reload<br>...<br>PROFIT!<br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#7 Tue, 20 Sep 2011 06:21:26 GMT &gt;&gt;&gt; ACL описываются в курсе cisco при подготовке к CCNA.<br>&gt;&gt;&gt; Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там <br>&gt;&gt;&gt; будет эта глава.<br>&gt;&gt; Спасибо. Поищу.<br>&gt; ACL создаются (все, везде и всегда) по принципу: сначала указываете что разрешается, <br>&gt; а потом запрещаете все остальное. Permit any само за себя говорит: <br>&gt; дыра в системе...<br><br>да не в этом дело, человек заливал новый ACL поверх старого, в результате они смешивались, а стандартный способ<br>no ip access-list extended MY_ACL<br>ip access-list extended MY_ACL<br>deny udp any any range netbios-ns netbios-ss<br>deny ip any 1.1.1.1 0.0.0.0<br>deny ip any 2.2.2.2 0.0.0.0<br>deny ip any 3.3.3.3 0.0.0.0<br>deny gre any any<br>permit ip any any<br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#6 Mon, 19 Sep 2011 14:39:16 GMT &gt;&gt; ACL описываются в курсе cisco при подготовке к CCNA.<br>&gt;&gt; Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там <br>&gt;&gt; будет эта глава.<br>&gt; Спасибо. Поищу.<br><br>ACL создаются (все, везде и всегда) по принципу: сначала указываете что разрешается, а потом запрещаете все остальное. Permit any само за себя говорит: дыра в системе... <br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#5 Wed, 27 Jul 2011 17:24:28 GMT &gt; ACL описываются в курсе cisco при подготовке к CCNA.<br>&gt; Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там <br>&gt; будет эта глава.<br><br>Спасибо. Поищу.<br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#4 Wed, 27 Jul 2011 08:37:11 GMT ACL описываются в курсе cisco при подготовке к CCNA.<br>Т.е. вам надо просто поискать книжку по подготовке к этому курсу. Там будет эта глава.<br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#3 Wed, 27 Jul 2011 07:49:05 GMT &gt;&gt;[оверквотинг удален] <br>&gt; Почитайте правила составления ACL и будет счастье...<br><br>Я что-то не так сделал? Подскажите что именно. Пример то короткий, пять строчек всего. Читать я умею, вопрос - где это читать. Ссылку подскажите где можно получить нужную информацию начального уровня.<br>Спасибо.<br><br><br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#2 Wed, 27 Jul 2011 07:45:10 GMT <br>&gt;[оверквотинг удален]<br>&gt; copy running-config tftp <br>&gt; редактируем в удобном редакторе текстовых файлов как нам надо, перед редактируемым access-list <br>&gt; вставляем строку: <br>&gt; no ip access-list extended имя <br>&gt; ip access-list extended имя <br>&gt; далее делаем: <br>&gt; copy tftp running-config <br>&gt; show running-config <br>&gt; copy run start <br>&gt; Ребутить не надо. Если будут корректировки буду благодарен. Всем спасибо еще раз. <br><br>Почитайте правила составления ACL и будет счастье...<br><br> https://m.opennet.dev/openforum/vsluhforumID6/22924.html#1 Tue, 26 Jul 2011 22:08:56 GMT &gt;[оверквотинг удален]<br>&gt; и после reload <br>&gt; deny udp any any range netbios-ns netbios-ss <br>&gt; deny ip any 2.2.2.2 0.0.0.0 <br>&gt; permit ip any any <br>&gt; deny gre any any <br>&gt; deny ip any 1.1.1.1 0.0.0.0 <br>&gt; deny ip any 3.3.3.3 0.0.0.0 <br>&gt; Естественно последние три строчки не работают, так как выше разрешающее правило всем <br>&gt; куда угодно можно. Прошу помощи у сообщества, ткните носом в очевидное. <br>&gt; Спасибо.<br><br>Сам себе решил ответить, потому что проблему решил.<br><br>Действия следующие:<br>забираем конфиг по tftp<br>copy running-config tftp<br><br>редактируем в удобном редакторе текстовых файлов как нам надо, перед редактируемым access-list вставляем строку:<br>no ip access-list extended имя<br>ip access-list extended имя<br><br>далее делаем:<br>copy tftp running-config<br>show running-config<br>copy run start<br><br>Ребутить не надо. Если будут корректировки буду благодарен. Всем спасибо еще раз.<br>