Καλημέρα σε όλους και καλή Κυριακή.

Έχω το Cisco 837 ADSL Router στο οποίο μου εμφανίζεται το εξής προβλματάκι:

http://www.ultraspeedhost.com/sdm.png

Η access-list 111 δηλαδή που είχε δημιουργηθεί από το CRWS είναι locked (read-only) και δεν μπορώ να την αλλάξω μεσα από το SDM.
Η διαδικασία εγκατάστασης του router που ακολούθησα ήταν μέσω CRWS να ρυθμίσω τα απαραίτητα για την σύνδεση με τον ISP και μετά να κάνω το switch σε SDM.

Ουσιαστικά αυτό που θέλω είναι να ενεργοποήσω το logging σε όλα αυτά τα services της access list 111 (στο CLI απλά πρέπει να προστεθεί πισω από κάθε γραμμή η λέξη log - αλλά από CLI δεν ξέρω τίποτα..)

Αν δεν ξέρει κάποιος πως να γίνει unlocked η access list (έχω ψάξει σε help files ήδη αλλά το μόνο που γράφει είναι οι περιπτώσεις στις οποίες κάποιο interface μπορεί να είναι read-only: http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_user_guide_chapter09186a00801eb25b.html [Reasons Why a Serial Interface or Subinterface Configuration May Be Read-Only -
Reasons Why an ATM Interface or Subinterface Configuration May Be Read-Only -
Reasons Why an Ethernet Interface Configuration May Be Read-Only -
Reasons Why an ISDN BRI Interface Configuration May Be Read-Only -
Reasons Why an Analog Modem Interface Configuration May Be Read-Only])

Αν δεν το έχει κανει καποιος αυτό, μπορεί να μου εξηγήσει πώς να επεξεργαστώ μεσω terminal μια γραμμή της access-list 111?

π.χ. αν θέλω στην γραμμή:
access-list 111 permit tcp any any range 6881 6999

να προσθέσω την λέξη log στο τέλος και να την κάνω:
access-list 111 permit tcp any any range 6881 6999 log

τι πρέπει να κάνω?
(μπορεί και να είναι γελοία η απάντηση αλλά όπως είπα παραπάνω από CLI δεν ξέρω τίποτα)


Ευχαριστώ

Φιλε wintech2003,

καλημέρα. Για να περασεις από CLI τις αλλαγές που θέλεις, πρέπει να κάνεις τα εξής:
Από το prompt δίνεις
show run
O router θα σου επιστρέψει το running configuration. Καντο copy-paste σε ενα notepad για backup και καντο save. Βρές προς το τέλος του configuration τις γραμμες που αρχίζουν με την εντολή access-list 111. Κάνε όλες αυτές τις γραμμές copy-paste σε ενα άλλο notepad (ακόμη και αυτές που δεν θέλεις να αλλάξεις). Κάνε στο Νotepad τις αλλαγές που θέλεις. Επίλεξε πάλι όλες τις γραμμές που έχεις στο δευτερο Notepad (που πρέπει τώρα να είναι να είναι συνολικά η access-list 111 με τις αλλαγες) και κάντες copy στο clipboard. Γύρνα στο prompt του router και δώσε:
conf t
no access-list 111
και μετά κάνε paste τις γραμμές που έχεις στο clipboard.
Πάτα enter για να πάερι και την τελευταία γραμμή και μετά CTRL+Z. Δοκίμασε αν κάνει την δουλειά που θέλεις, και αν ναι κάνε και write.

Το γιατί σου το δειχνει locked δεν το γνωρίζω. Πάντως είναι περίεργο ότι σου δείχνει IOS Firewall: Inactive. Θα πρότεινα να ξανακάνεις τη σύνδεση από το CRWS χωρίς να ενεργοποιήσεις το firewall, και να το ενεργοποιήσεις μετά από το SDΜ. Τα interfaces εκεινη τη στιγμή ήταν up; Είναι πιθανόν αν είναι κλειστό το ATM Interface να μην σε αφίνει να κάνεις αλλαγές στο Dialer. Αν μπορείς πάντως, όταν βρείς λύση στο πρόβλημα γραψτην στο thread μήπως προκύψει κάτι αντίστοιχο και σε άλλους.

με no διαγραφεις οτιδιποτε θελεις π.χ. no access-list 111 permit tcp any any range 6881 6999
με
no access-list 111
διαγραφεις ομως ολο το access-list 111

Δοκίμασα να κάνω

no access-list 111 deny ip any any

και το αποτέλεσμα ήταν να διαγραφτεί όλο το access-list 111

κάνω εγώ κάτι λάθος, ή αυτό είναι αναμενόμενο?

Βασικά ήθελα να προσθέσω μία ακομά γραμμή στην access-list 111, αλλά επειδή την πρόσθετε κάτω απο την deny all την αγνοούσε, οπότε φαντάστικα πως αν την αφαιρούσα και την ξανακαταχωρούσα θα ήταν ok... είναι λάθος η λογική μου??

hedgehog,
Αναμενόμενο.
Μετά το show run, κάνεις το εξής:
1. Αντιγράφεις όλη την access list 111 στο notepad
2. Προσθέτεις ως ΠΡΩΤΗ γραμμή στο notepad τη no access-list 111
3. Μεταβάλεις την access list στο notepad όπως θέλεις
4. Κάνεις copy από το Notepad όλες τις εντολές (ΜΕ την no access-list 111)
5. conf t
6. paste
7. ctrl+z
8. write (<--ΑΦΟΥ δοκιμάσεις ότι οι αλλαγές σου δουλεύουν!)

ΥΓ. Αν δεν έδωσες write κάνε reset το Cisco. Η Access list θα επανέλθει
(τα παραπάνω δουλεύουν σίγουρα σε μεγάλα Cisco, αν δε δουλεύουν στο 837 ας με διορθώσει κάποιος)

Το είχα κάνει copy καλού κακού, απλά βασισμένος στο

με no διαγραφεις οτιδιποτε θελεις π.χ. no access-list 111 permit tcp any any range 6881 6999
με
no access-list 111
διαγραφεις ομως ολο το access-list 111
θεώρησα πως είναι περιτό να μπώ σε αυτή τη διαδικασία.

Υ.Γ.: αυτο το write ομολογώ πως δεν το έχω χρησιμοποιήσει ως τώρα... είναι απαραίτητο??

edit: με πρόλαβες για το write... thnx :)

Υ.Γ.: αυτο το write ομολογώ πως δεν το έχω χρησιμοποιήσει ως τώρα... είναι απαραίτητο??
Για τα μεγάλα ναι. Αλλιώς με το πρώτο restart επανέρχονται οι πρώτερς ρυθμίσεις. Αλλά μπορείς να το δοκιμάσεις. Αφού δεν έκανες write, κλείσ'το και ξαναάνοιξέ το.
Αν επανέλθει η 111 τότε είναι απαραίτητο ;)

Βασικά ήθελα να προσθέσω μία ακομά γραμμή στην access-list 111, αλλά επειδή την πρόσθετε κάτω απο την deny all την αγνοούσε, οπότε φαντάστικα πως αν την αφαιρούσα και την ξανακαταχωρούσα θα ήταν ok... είναι λάθος η λογική μου??
Δεν είναι λάθος. Απλά δε συμβαδίζει με τη λογική της Cisco.
Απ' ότι ξέρω (δεν είμαι ειδικός) μια access list δεν μπορείς να την κάνεις edit. Επειδή έχει σημασία η σειρά των εντολών (οι πάνω έχουν προτεραιότητα) πρέπει να την φτιάξει ολόκληρη εκ νέου.

Δεν είναι λάθος. Απλά δε συμβαδίζει με τη λογική της Cisco.
Απ' ότι ξέρω (δεν είμαι ειδικός) μια access list δεν μπορείς να την κάνεις edit. Επειδή έχει σημασία η σειρά των εντολών (οι πάνω έχουν προτεραιότητα) πρέπει να την φτιάξει ολόκληρη εκ νέου.

Μπορείς να την κάνεις edit με SNMP να βάλεις μία γραμμή ανάμεσα σε άλλες (μην ρωτήσεις πώς, δεν ξέρω!).

Μπορείς να την κάνεις edit με SNMP να βάλεις μία γραμμή ανάμεσα σε άλλες (μην ρωτήσεις πώς, δεν ξέρω!).
Πώς;

:D

To write αντιγράφει το running-config (ενεργό configuration) εκεί που θα του υποδείξεις. Π.χ. write network θα το στείελει σε κάποιο tftp server.
Απο default το write (wr για να μην κουράζεσαι :)) αντιγράφει το running-config (από τη RAM) στην nvram: με το όνομα startup-config. Όταν bootάρει ο ρούτορας διαβάζει το startup-config, το στέλνει στη RAM σαν running-config κ.ο.κ.

Με λίγα λόγια: Η ενεργοποίηση κάθε εντολής γίνεται άμεσα με το που πατάς RETURN (καλά, καλά ENTER) ΑΛΛΑ Πρέπει να κάνεις wr για να αποθηκευτεί το configuration.

Στα τελευταία ios (> 12.2(15)T, 12.3(2)T) υπάρχει η δυνατότητα να προσθέσεις/αφαιρέσεις ενδιάμεσες γραμμές σε λίστα.
Ήταν ένα από τα θέματα που ζητούσαν απεγνωσμένα οι χρήστες και η Cisco τους άκουσε...

π.χ.



! Η λίστα όπως είναι στο config
access-list 112 permit xxx10
access-list 112 permit xxx20
access-list 112 permit xxx30
access-list 112 permit xxx40
access-list 112 deny ip any any log
!
! Η λίστα οπως φαίνεται με την αρίθμηση
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
30 permit xxx30
40 permit xxx40
50 deny ip any any log
!
! Προσθέτουμε μια ενδιάμεση γραμμή στη λίστα
router#conf t
router(config)#ip access-list extended 112
router(config-ext-nacl)#25 permit xxx25
router(config-ext-nacl)#^Z
!
! Η λίστα μετά την προσθήκη της ενδιάμεσης γραμμής
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
25 permit xxx25 !<---
30 permit xxx30
40 permit xxx40
50 deny ip any any log
!
! Αφαιρούμε την ενδιάμεση γραμμή που προσθέσαμε
router#conf t
router(config)#ip access-list extended 112
router(config-ext-nacl)#no 25
router(config-ext-nacl)#^Z
!
! Η λίστα μετά την αφαίρεση την ενδιάμεσης γραμμής
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
30 permit xxx30
40 permit xxx40
50 deny ip any any log



Φυσικά υπάρχει και η δυνατότητα για resequence στην αρίθμηση της λίστας



! Η λίστα πριν το resequence
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
30 permit xxx30
40 permit xxx40
50 deny ip any any log
!
! Κάνουμε resequence με αρχικό νούμερο το 1 και βήμα 1
router#conf t
router(config)#ip access-list resequence 112 ?
<1-2147483647> Starting Sequence Number
router(config)#ip access-list resequence 112 1 ?
<1-2147483647> Step to increment the sequence number
router(config)#ip access-list resequence 112 1 1
router(config)#^Z
!
! Η λίστα μετά το resequence
router#sh access-lists 112
Extended IP access list 112
1 permit xxx10
2 permit xxx20
3 permit xxx30
4 permit xxx40
5 deny ip any any log

πανέμορφο chatasos :D
thnx a lot ;)

Στα τελευταία ios (> 12.2(15)T, 12.3(2)T) υπάρχει η δυνατότητα να προσθέσεις/αφαιρέσεις ενδιάμεσες γραμμές σε λίστα.
Ήταν ένα από τα θέματα που ζητούσαν απεγνωσμένα οι χρήστες και η Cisco τους άκουσε...

π.χ.



! Η λίστα όπως είναι στο config
access-list 112 permit xxx10
access-list 112 permit xxx20
access-list 112 permit xxx30
access-list 112 permit xxx40
access-list 112 deny ip any any log
!
! Η λίστα οπως φαίνεται με την αρίθμηση
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
30 permit xxx30
40 permit xxx40
50 deny ip any any log
!
! Προσθέτουμε μια ενδιάμεση γραμμή στη λίστα
router#conf t
router(config)#ip access-list extended 112
router(config-ext-nacl)#25 permit xxx25
router(config-ext-nacl)#^Z
!
! Η λίστα μετά την προσθήκη της ενδιάμεσης γραμμής
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
25 permit xxx25 !<---
30 permit xxx30
40 permit xxx40
50 deny ip any any log
!
! Αφαιρούμε την ενδιάμεση γραμμή που προσθέσαμε
router#conf t
router(config)#ip access-list extended 112
router(config-ext-nacl)#no 25
router(config-ext-nacl)#^Z
!
! Η λίστα μετά την αφαίρεση την ενδιάμεσης γραμμής
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
30 permit xxx30
40 permit xxx40
50 deny ip any any log



Φυσικά υπάρχει και η δυνατότητα για resequence στην αρίθμηση της λίστας



! Η λίστα πριν το resequence
router#sh access-lists 112
Extended IP access list 112
10 permit xxx10
20 permit xxx20
30 permit xxx30
40 permit xxx40
50 deny ip any any log
!
! Κάνουμε resequence με αρχικό νούμερο το 1 και βήμα 1
router#conf t
router(config)#ip access-list resequence 112 ?
<1-2147483647> Starting Sequence Number
router(config)#ip access-list resequence 112 1 ?
<1-2147483647> Step to increment the sequence number
router(config)#ip access-list resequence 112 1 1
router(config)#^Z
!
! Η λίστα μετά το resequence
router#sh access-lists 112
Extended IP access list 112
1 permit xxx10
2 permit xxx20
3 permit xxx30
4 permit xxx40
5 deny ip any any log


Και εγώ έβλεπα τους αριθμούς σε ACLs και αναρρωτιώμουν πως θα καταφέρουμε να χώσουμε ενδιάμεσα entries...:oops:...σε ευχαριστούμε τα μάλα!