Wildcard mask

[ Marcony @ 17.02.2006. 06:15 ] @

Hteo bih da konfigurisem ACL za mrezu 192.168.0.0/24 i to tako da se odnosi na racunare od 192.168.0.20 - 192.168.0.254.

Da li seledeca wildcard maska odgovara?

access-list... 192.168.0.20 0.0.0.235

_{[Ovu poruku je menjao Marcony dana 17.02.2006. u 07:16 GMT+1]}

[ jogurt @ 17.02.2006. 09:09 ] @

NE! Maska ti je loše definisana. Prvo što neće odraditi ono što ti hoćeš, drugo što se u praksi ne koriste ovakve maske "sa rupama".

Ako želiš da mečuješ blok adresa čiji broj nije stepen dvojke, razbij taj blok na manje blokove čiji opseg jeste stepen dvojke i onda koristi više unosa u access-listi (za svaki blok) dok ih ne "pohvataš" sve.

Na primer, tvoj blok može da se razbije na

192.168.0.20/30 <--- blok od 4 adrese
192.168.0.24/29 <--- blok od 8 adresa
192.168.0.32/27 <--- blok od 32 adrese
192.168.0.64/26 <--- blok od 64 adresa
192.168.0.128/25 <--- blok od 128 adresa

Inače, potreba za ovim ne postoji kada se mreža dobro isplanira i u skladu sa tim napravi odgovarajući adresni plan ;-)

Zoran

[ Marcony @ 18.02.2006. 20:26 ] @

Da li ovo da odradim preko subinterface-a?

[ cume @ 18.02.2006. 22:00 ] @

Nema potrebe, samo napraviš više unosa u jednoj access-listi.
npr.

access-list 10 deny blok_1 wildcard
access-list 10 deny blok_2 wildcard
access-list 10 deny blok_3 wildcard

_{[Ovu poruku je menjao cume dana 18.02.2006. u 23:02 GMT+1]}

[ Marcony @ 18.02.2006. 23:24 ] @

Dobro, a kako blokove da odradim? Nisam bas najbolje razumeo ovo.

[ Milan Andjelkovic @ 19.02.2006. 10:27 ] @

Reče ti jogurt za blokove već. Konkretno, u kombinaciji sa primerom koji je dao cume:

access-list 10 deny 192.168.0.20 0.0.0.4
access-list 10 deny 192.168.0.24 0.0.0.8
access-list 10 deny 192.168.0.32 0.0.0.32
access-list 10 deny 192.168.0.64 0.0.0.64
access-list 10 deny 192.168.0.128 0.0.0.128

[ jogurt @ 20.02.2006. 09:07 ] @

Samo mala ispravka, Milane. Wildcard maske koje treba da se primene su

access-list 10 deny 192.168.0.20 0.0.0.3
access-list 10 deny 192.168.0.24 0.0.0.7
access-list 10 deny 192.168.0.32 0.0.0.31
access-list 10 deny 192.168.0.64 0.0.0.63
access-list 10 deny 192.168.0.128 0.0.0.127

Pozdrav
Zoran

[ Marcony @ 20.02.2006. 10:42 ] @

Npr.

access-list 10 deny 192.168.0.20 0.0.0.3

Ovo onda znaci da se za adresu 192.168.0.20, kao i 21, 22 i 23 primenjuje access lista, a ne i za ostale adrese?

[ jogurt @ 20.02.2006. 11:06 ] @

Upravo tako!

[ Milan Andjelkovic @ 20.02.2006. 12:28 ] @

Citat:

jogurt: Samo mala ispravka, Milane. Wildcard maske koje treba da se primene su

access-list 10 deny 192.168.0.20 0.0.0.3
access-list 10 deny 192.168.0.24 0.0.0.7
access-list 10 deny 192.168.0.32 0.0.0.31
access-list 10 deny 192.168.0.64 0.0.0.63
access-list 10 deny 192.168.0.128 0.0.0.127

Pozdrav
Zoran

Izvinjavam se na unosenju zabune, hvala na ispravci :)

Pozdrav

[ Marcony @ 24.02.2006. 21:53 ] @

Nesto mi ovo bas ne uspeva...

U pitanju je Cisco 1720 ruter, kome bih hteo da konfigurisem traffic-shapping.
Nasao sam uputstvo na netu, ali mi nije jasna jedna stvar:

kreira se access-list -a npr. broj 1:

Router(config)# access-list 1 permit 192.168.0.20 0.0.0.3

a kasnije se komandom:

Ruter(config-if)# traffic-shapping group 101 128000

ogranicava saobracaj za access listu broj 1. Zasto onda pise group "101", a ne group "1" (tako pise u uputstvu, i to na vise mesta)?

www.cisco.com/univercd/cc/td/d.../hqos_c/part20/ch10/qsbgts.pdf

Medjutim ovo ne funkcionise.

Ako se koristi:
Ruter(config-if)# traffic-shapping rate 128000

to radi ok, ali ne zelim da ogranicavam kompletnu mrezu.

_{[Ovu poruku je menjao Marcony dana 26.02.2006. u 13:11 GMT+1]}

[ Marcony @ 26.02.2006. 14:01 ] @

Evo i da odgovorim na zapocetu temu.

S obzirom da se GTS (Generic Traffic Shaping) koristi samo za outbound saobracaj , ACL nije mogla biti kako sam je ja napravio, vec ovako:

Router(config)# access-list 102 permit tcp any 192.168.0.20 0.0.0.3

[ haralampije @ 02.03.2006. 14:09 ] @

kasno sam video temu, a bila je zanimljiva...

vidi, bar na osnovu dosad napisanog, nije mi bas najjasnije - na pocetku si onemogucavao kompletan saobracaj adresnoj grupi 192.168.0.20 0.0.0.3, da bi se kasnije ispostavilo da funkcionise ako omogucis TCP stack istoj grupi extended access listom?

mislim, izvinjavam se unapred ako sam pogresno protumacio, ali ako ti je bio cilj da odredjenom segmentu dodelis odredjeni bandwith, a mucilo te to sto nisi mogao da uspesno postavis traffic-shapping na interface - pa sigurno to nisi mogao odraditi ako zabranis SAV saobracaj ka ili od 192.168.0.20 0.0.0.3 zar ne? ( access-list 10 deny 192.168.0.20 0.0.0.3 )

a bez obzira kakvo si to uputstvo skinuo sa sisko sajta, bilo kakva group in-out komanda na interfejsu mora da match-uje klasu access liste, te naravno da ne funkcionise ako postavis standardnu acl (1-99) a pozoves se na extended listu (100-199 i 2000-2699)

ali i na kraju,

Router(config)# access-list 102 permit tcp any 192.168.0.20 0.0.0.3

nakon cega je

Router(config-if)# traffic-shapping group 102 128000 a ne 101 jel tako?

ono sto je jogurt postovao je ok ako kanite koristiti VLSM a verovatno da - ne trci vam valjda rip v1 tu?:)

[ Marcony @ 02.03.2006. 15:30 ] @

To prvo sam pitao cisto da vidim kakva je fora oko wildcard maske, nisam ni mislio da onemogucavam saobracaj kompletnoj navedenoj grupi.

A za ovo drugo, oko zbrkanog natpisa oko ACL brojeva, hvala. Mislio sam, da posto je uputstvo sa njihovog sajta, da je OK.