raphael26 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 Hallo, ich führe für jeden meiner Router ein separates ASCII File spez. für die Accesslisten. Wie ist die genaue Syntax bei "benamten" ACLs, wenn ich die ebenso über ein "copy tftp run" einspielen moechte ? Danke, Gruss, Raphael Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 1. März 2006 Melden Teilen Geschrieben 1. März 2006 Hi raphael26 Das wird so einfach nicht gehen. Deine Konfigurationen sind zwar im AscII Format auf Deinem PC z.B. Datei "Router-confg" Wenn Du diese mit Word-Pad oder Editor änderst und abspeicherst, dann verlierst Du das original Format. Davor wirst Du auch vorher gewarnt. Wenn Du also eine solche geänderte Datei dann via "copy tftp run" wieder ins flash kopierst, wird der Router wohl nicht mehr starten, da er die Config nicht lesen kann. Hier bleibt Dir nur die Möglichkeit, eine Konfigurationsänderung per Copy/Paste vorzunehmen. Also nimmst Du Dein Text-File vund tippst die Commands hinein, als wärst Du via telnet oder console connected. z.B. conf t int fast 0/0 speed 100 duplex full end copy run start exit Soetwas würde z.B. dazu genutzt werden um dem eth 0/0 full-duplex 100 beizubiegen und gleichzeitig abzuspeichern. Auch bei den ACL solltest Du vorsichtig sein. Eine extended named ACL kannst Du, so glaube ich, "on the fly" editieren. Beispiel: ip access-list extended NONAT deny ip 172.19.16.0 0.0.15.255 192.168.1.0 0.0.0.255 permit ip 172.19.16.0 0.0.15.255 any deny ip 172.26.105.0 0.0.0.255 192.168.1.0 0.0.0.255 Eine normale ACL eben nicht. Hier würde Deine Editierung am Ende der Liste angefügt. z.B. access-list 101 remark generated by XXX access-list 101 remark Test-ACL access-list 101 permit esp any any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 permit tcp any any eq 22 access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any access-list 101 permit icmp any host x.y.z.a In dieser Liste könnte somit der letzte Eintrag nie matchen, da vorher alles verboten wurde. Ergo musst Du die komplette ACL löschen und neu pasten ! z.B. conf t no ip access-list 101 access-list 101 remark generated by XXX access-list 101 remark Test-ACL access-list 101 permit esp any any access-list 101 permit udp any any eq isakmp access-list 101 permit udp any any eq non500-isakmp access-list 101 permit tcp any any eq 22 access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any unreachable access-list 101 permit icmp any host x.y.z.a access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip host 255.255.255.255 any access-list 101 deny ip host 0.0.0.0 any access-list 101 deny ip any any exit copy run start exit Danach kannst Du die Config neu abspeichern copy run tftp Erst das Ergebnis davon lässt sich später wieder mit "copy tftp start" nutzen. Auch mit "copy tftp run" wäre ich vorsichtig, sollte nämlich vorher etwas konfiguriert sein, würde der Router die Konfiguration miteinander vereinen, was durchaus kein optimales Ergebnis bringt. MfG Mr. Oiso Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.