Вот, открыл для себя то, что лежит за пределами CCNA - а именно поведение сиськовского пакетного фильтра.
Итак,
1. access-list это список правил
2. access-list работает как любой другой пакетный фильтр - правила применяются по очереди, и если уж подходят к пакету, больше не применяются.
3. В конце любого access-list неявно добавляется правило, которое запрещает все.
Поэтому если хочется прибить только входящий RIP на уровне пакетов, то нужно написать:
access-list 100 deny udp 192.168.4.0 0.0.0.255 any eq rip
access-list 100 permit ip any any
Отредактировать строку списка никак нельзя. Можно только удалить список полностью:
no access-list 100
И потом добавить его заново.
Правила добавляются в порядке ввода. )
access-list необходимо назначать на интерфейс или в других местах, где он поддерживается:
(config) int fa1/0
(config-if) ip access-group 100 in
Нужно быть очень осторожным, добавляя правила удаленно, особенно на интерфейс, чреез который подключаешься через vty - есть опасность набокопорить и потом бежать к циске с ноутбуком и консольным кабелем или тупо просить ее кого-то перезагрузить. )
суббота, 8 марта 2008 г.
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий