PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Cisco: Access-Listen


Scream
2007-09-24, 15:29:47
Ich habe eine Frage. Habe das Problem schonmal gelöst aber komme nicht mehr darauf wie ich es gemacht habe.

Ich habe 2 Router. Ich mag nun router 1 verbieten auf router 2 zuzugreifen aber router 1 soll dennoch auf router 2 zugreifen können.

Router 1: 193.165.1.2/30
Router 2: 193.165.1.6/30

Habe bisher folgendes stehen was allerdings nicht wirklich passt ;)
access-list 100 deny ip host 193.165.1.2 host 193.165.1.6
access-list 100 permit ip any any

Scream
2007-09-26, 17:46:06
hmm kann mir niemand helfen?

Tech_FREAK_2000|GS
2007-09-26, 20:16:56
hmm, ist etwas länger her das wir Access Listen hatten, ich schau das fix im Curriculum nach. Moment .)

Scream
2007-09-26, 21:33:40
ja das wäre nett :)

Dr.Doom
2007-09-26, 22:50:15
Ich habe 2 Router. Ich mag nun router 1 verbieten auf router 2 zuzugreifen aber router 1 soll dennoch auf router 2 zugreifen können.?
Router 1 soll nicht auf Router 2 zugreifen können, aber irgendwie doch? Verstehe ich nicht. *g*

Auf welchem Router und welchem Interface hast du die ACL denn gesetzt (in/out) ?

Scream
2007-09-27, 05:25:20
auf router 2 als in

HTB|Bladerunner
2007-09-28, 11:51:01
Oh interessant, lernst du gerade für den Cisco CCNA2 Skills Exam? Den habe ich seit Gestern hinter mir.

Also ich würde sagen deine Access-Liste ist richtig. Lass mich raten du wunderst dich, warum das anpingen nicht mehr in beide Richtungen funktioniert oder?

Ein Ping ist ähnlich wie ein Echo. Das heisst, du pingst beispielsweise einen Server an und erhälst dann eine Rückantwort um zu erkennen, dass der Ping erfolgreich angekommen ist.

In deinem Fall kann Router 1 Router 2 nicht erreichen. Was ja auch gewollt ist. Andersrum kann Router 2 dennoch Router 1 erreichen. Du erhältst nur keine Rückantwort von Router 1, weil Router 1 durch die Access-Liste jegliche kommunikation verboten ist.
Ich hoffe, ich habs einigermaßen verständlich ausgedrückt. ;)

Scream
2007-09-28, 11:53:45
nein noch nicht
in bin nur gerade in einer abteilung in der viel mit cisco routern gemacht wird und ich wollte mich etwas einarbeiten
auf den CCNA werde ich im frühjahr anfangen zu üben ;)


und danke für deine antwort das habe ich mir schon gedacht
allerdings meinte ein mitarbeiter der mir die aufgabe gab man kann es dennoch so konfigurieren dass es klappt

HTB|Bladerunner
2007-09-28, 13:12:22
Ja, den Echo-Request kann man irgendwie zulassen aber frag mich nicht wie.

Dr.Doom
2007-09-28, 14:35:33
und danke für deine antwort das habe ich mir schon gedacht
allerdings meinte ein mitarbeiter der mir die aufgabe gab man kann es dennoch so konfigurieren dass es klapptDu musst dann vor dem Verbot noch als Protokoll 'ICMP' erlauben.

ACL:
Eintrag 1: access-list ... permit icmp ... echo-reply # R1->R2 ICMP zulassen
Eintrag 2: access-list ... deny ip ... # R1->R2 Rest verbieten
Eintrag 3: access-list ... permit ip any any # ->R2 alle anderen dürfen durch