برای دوربین مدار بسته ip valid اختصاص دادیم.
حالا می خواهیم پورت خاصی رو داخل روتر براش باز کنیم.
روتر سیسکو 2610 است.
دستورات مربوطه به چه صورت است؟
لطفا access lsit مربوطه چطور باید تعریف شود؟
Printable View
برای دوربین مدار بسته ip valid اختصاص دادیم.
حالا می خواهیم پورت خاصی رو داخل روتر براش باز کنیم.
روتر سیسکو 2610 است.
دستورات مربوطه به چه صورت است؟
لطفا access lsit مربوطه چطور باید تعریف شود؟
[B]access-list {Number} permit tcp host {Cam IP} host {Destination IP} {Port No[/B]
[B]به طور مثا[/B][B]ل 10.1.1.1[/B][B][/B] توانایی دسترسی به پورت 443 [B] 172.16.1.1[/B] را دارد.
[B]access-list 102 permit tcp host 10.1.1.1 host 172.16.1.1 443 [/B]
البته در نهایت باید در Interface مورد نظر اعمال شود.
IP Access-group 102 in
[QUOTE=isabaha;256557][B]access-list {Number} permit tcp host {Cam IP} host {Destination IP} {Port No[/B][/QUOTE]
فقط یه سوال چون من تا حالا access list ایجاد نکردم.
منظور از [B]Destination IP[/B] چیه؟
قسمت اول که ای پی ولید دوربین باید ست شه و قسمت دوم ای پی روتر و پورت خاصی که قراره ازش رد بشه را باید بدیم؟
سلام
شما توی ACL میگید از چه مبدا به چه مقصد (روی کدوم پورت) اجازه داده می شود یا نه! IP روتر این وسط هیچ نقشی نداره.
فرض کنید IP دوربین شما 200.1.1.1 هست. حالا اگر که بخواهید [B]هر کسی[/B] بتونه به [B]این دوربین[/B] روی پورت [B]80[/B] وصل بشه ACL به شکل زیر خواهد بود:
[LEFT]permit tcp [U][B]any[/B][/U] host [B][U]200.1.1.1[/U][/B] eq [B][U]80[/U][/B]
[RIGHT]
و باید این رو روی اینترفیس روتر که به سمت اینترنت متصل هست قرار بدید (روی ورودی اینترفیس)
[/RIGHT]
[/LEFT]
بدین صورت عمل کردیم:
[LEFT][B]access-list 120 permit tcp any host (ip dorbin) eq 7512[/B]
[B]interface fast ethernet 0/0[/B]
[B]ip access-group 120 in[/B]
[B] exit
[/B][RIGHT]ولی با این access list اینترنت هم قطع شد.
و با برداشتن access list بالا دوباره وصل میشه.
(اینترنت از طریق مودم لیز میاد به روتر)
یه سوال دیگه:
آیا با برداشتن تمام access list ها این دوربین ها باید بدون مشکل از شبکه رد شن؟
[/RIGHT]
[/LEFT]
سلام
خب با این ACL که شما نوشتید فقط میشه به دوربین وصل شد و بقیه ترافیکها drop میشن.
شما باید توی ACL ترافیکهای اینترنت کلاینتها رو باز کنید. مثلا اگر که ISA دارید و همه کاربرها از طریق ISA (و NAT) ارتباطشون با اینترنت برقرار میشه باید ترافیکها رو به سمت IP آدرس ISA باز کنید.
در مورد سوال دوم هم: بله، اگر شما ACL رو بردارید همه ترافیکها (که دوربین ها هم شامل اونها میشه) از شبکه رد میشن. (البته به شرط اینکه route ها درست نوشته شده باشه)
[QUOTE=iq2;256729]بدین صورت عمل کردیم:
[LEFT][B]access-list 120 permit tcp any host (ip dorbin) eq 7512[/B]
[B]interface fast ethernet 0/0[/B]
[B]ip access-group 120 in[/B]
[B] exit
[/B][RIGHT]ولی با این access list اینترنت هم قطع شد.
و با برداشتن access list بالا دوباره وصل میشه.
(اینترنت از طریق مودم لیز میاد به روتر)
یه سوال دیگه:
آیا با برداشتن تمام access list ها این دوربین ها باید بدون مشکل از شبکه رد شن؟
[/RIGHT]
[/LEFT][/QUOTE]
اگه اشتباه نکنم شما باید این دستور رو اخر کار بنویسی
permit any any
اگه اینو بنویسی مشکلت حل میشه ونیاز نیست access list رو برداری
این دستور باعث میشه بقیه ترا فیک رو شبکه باز باشه و اینترنت هم داشته باشی
[QUOTE=mavrick;256852]اگه اشتباه نکنم شما باید این دستور رو اخر کار بنویسی
permit any any
اگه اینو بنویسی مشکلت حل میشه ونیاز نیست access list رو برداری
این دستور باعث میشه بقیه ترا فیک رو شبکه باز باشه و اینترنت هم داشته باشی[/QUOTE]
سلام
اگه قرار باشه permit ip any any رو بنویسه دقیقاً مثل اینه که ACL نداشته باشه، چون همه ترافیکها اینطوری اجازه رد شدن دارند. فقط با قرار دادن این ACL بار روتر زیاد میشه (چون تمامی بسته ها باید اول توی ACL چک بشن و بعد رد بشن.) پس بهتره ACL رو بردارید.
نه دوست من
نوشتن access-list permit ip any any تاثیری روی access-list ما نداره
توی سیسکو قانونش اینه هر وقت ACL نوشتی حتما باید این خط دستور رو هم بنویسی
و این کار ACL رو بی تاثیر نمیکنه ومشکل رو حل میکنه
[QUOTE=mavrick;256855]نه دوست من
نوشتن access-list permit ip any any تاثیری روی access-list ما نداره
توی سیسکو قانونش اینه هر وقت ACL نوشتی حتما باید این خط دستور رو هم بنویسی
و این کار ACL رو بی تاثیر نمیکنه ومشکل رو حل میکنه[/QUOTE]
عجیبه !!! :blink: :o
میشه منبعی از سیسکو که این حرف رو زده رو بزارید اینجا ؟؟؟؟
[QUOTE=iq2;256548]برای دوربین مدار بسته ip valid اختصاص دادیم.
حالا می خواهیم پورت خاصی رو داخل روتر براش باز کنیم.
روتر سیسکو 2610 است.
دستورات مربوطه به چه صورت است؟
لطفا access lsit مربوطه چطور باید تعریف شود؟[/QUOTE]
دوست من بدون نوشتن ACL هم پورتی که موردنظرتون هست که بازه . ACL رو زمانی بنویسید که میخواهید چیز خاصی رو فقط permit کنید یا deny کنید ، خلاصه ترافیک رو یه جورایی تغییر بدید کنترل کنید و ..
[QUOTE=mavrick;256855]نه دوست من
نوشتن access-list permit ip any any تاثیری روی access-list ما نداره
توی سیسکو [B][COLOR=Red]قانونش اینه[/COLOR][/B] هر وقت ACL نوشتی حتما باید این خط دستور رو هم بنویسی
و این کار ACL رو بی تاثیر نمیکنه ومشکل رو حل میکنه[/QUOTE]
اولا این قانون نیست یه راه حله برای زمانی که شما تو دستورات بالای لیست چیزی رو Deny کرده باشی و بخوای غیر از اونا بقیه permit داشته باشند . اونوقته که اون دستور permit any رو آخر مینویسی .
مثلا بخوای دو آدرس رو deny کنی و بقیه رو permit کنی :
[LEFT]access-list 10 deny host 192.168.1.1
access-list 10 deny host 192.168.1.2
access-list 10 permit any
[/LEFT]
دوما حق با جناب aafzalan هستش تو این مورد اگه این دستور نوشته بشه مثل این میمونه که acl ننوشته باشی !
منبعش
CCNA ICND 2 -Chapter 6
در تمامی مثالها این کار انجام شده
منم جایی ندیدم این کار را نکنند
اگه اشتباه میکنم اصلاح کنید ممنون میشم
[QUOTE=al1p0ur;256861]دوست من بدون نوشتن ACL هم پورتی که موردنظرتون هست که بازه . ACL رو زمانی بنویسید که میخواهید چیز خاصی رو فقط permit کنید یا deny کنید ، خلاصه ترافیک رو یه جورایی تغییر بدید کنترل کنید و ..
اولا این قانون نیست یه راه حله برای زمانی که شما تو دستورات بالای لیست چیزی رو Deny کرده باشی و بخوای غیر از اونا بقیه permit داشته باشند . اونوقته که اون دستور permit any رو آخر مینویسی .
مثلا بخوای دو آدرس رو deny کنی و بقیه رو permit کنی :
[LEFT]access-list 10 deny host 192.168.1.1
access-list 10 deny host 192.168.1.2
access-list 10 permit any
[/LEFT]
حق با جناب aafzalan هستش تو این مورد اگه این دستور نوشته بشه مثل این میمونه که acl ننوشته باشی ![/QUOTE]
ممنون توضیح دادید
فقط یه ابهامی هست
کتاب ccna icnd 2 chapter 6-page 250
example6-6
این تقریبا با سوال اولیه ما تو این پست یکیه اما دوستان تو جواب permit ip any any رو نگفتن
میشه بیشتر توضیح بدید
اینجا هم پورت رو بسته با ip یعنی دقیقا همون سوال پست
تکلیف چیه؟
اگه example رو بزارید خوبه، ما کتابش رو نداریم :rolleyes:
[url=http://rapidshare.com/files/386935013/ACL_Example.xps.html]RapidShare: 1-CLICK Web hosting - Easy Filehosting[/url]
مثال که میگفتم اینه
ممنون میشم این مشکل رو یکی حل کنه