EKone Solution

2008/Jul/07

How to Edit Cisco IOS ACL's Using Line Numbers

In our previous series on Cisco IOS Access-lists Part 1 and Part 2 , we covered all the basics of ACL’s and went through a real-world example. In the past, it was not possible to edit an ACL. Now, the impossible is possible with IOS 12.2 or later. In this article, you’ll learn how you can edit your access-list by using line numbers. This will prevent you from having to remove, and recreate, your ACL whenever you need to modify it.

Creating the ACL with the ip access-list command

The key to being able to edit an ACL is to use the ip access-list command. Let me show you how it’s done.

To start off, let’s create an ACL, like this:

This is an over simplified ACL that we are using as a simple example. Notice how we used a named ACL called “MyACL”. We could have also used a numbered ACL and we would have still been able to edit the ACL. Also note how we were taken to the prompt that looked like this:

Router (config-ext-nacl)#

Finally, you should see that the numbers at the start of each line were manually typed in, and are only there to make the lines unique and individually removable later. The line numbers also specify in what order that the ACL lines will be processed (ACL’s are processed from the top down, or lowest line number down). We could have created this ACL with the ip access-list, or just regular access-list command. This means that you can edit ACL’s you already have in use, using the ip access-list command.

Editing the ACL with the ip access-list command

Next, let’s say that I want to edit the line that references host 5.5.5.5. In the past, I would have had to copy the ACL to a text editor (like Windows Notepad), remove the ACL on the router (during which time all traffic is allowed), edit the ACL in the text editor, and paste the ACL back into the router. This is a time consuming, and insecure, process to go through to edit a single line on an ACL.

Now, you can edit your ACL’s with one caveat. You can remove and insert individual lines of an ACL but you cannot edit lines, in place, on the router. Let’s look at an example.

To edit the line that references host 5.5.5.5, here is how you would do it:

I went into the named ACL add/edit mode. In this mode I can add more lines to the end of the ACL, remove lines in the ACL, or insert lines in the middle of the ACL. In this case, I needed to edit the line with the “host 5.5.5.5” on it. I couldn’t actually edit that line on the router but I can easily remove it and re-add it. I did this without ever having to modify any other part of the ACL. To do this, I simply removed the existing line 500, replacing with no 500, then I added the new line 500 permit ip any host 5.5.5.5. By doing this, I reversed the source and destination that was permitted in this ACL. Let’s see what the entire ACL looks like with a show command:

Using the show ip access-list command, you can see the entire ACL with the line numbers. You can also see how the line with “host 5.5.5.5” is different from the way we originally entered it.

As a sidenote here, you don’t actually have to enter the line numbers when you CREATE the ACL. The Cisco IOS will automatically generate sequential line numbers for you.

Inserting line in an ACL

By going back into ACL Edit mode, you could also insert a line in between the other lines. For example, you could do this:

We inserted a line number 450. Let’s see what it looks like when we do our show command:

Notice the newly inserted line number 450.

Summary

In summary, the ability to edit Cisco IOS ACL’s is a very powerful and time saving feature. In addition, by being able to edit the ACL’s, you don’t have to remove them and re-add them. In the past, when you had to remove them, your users or application would have suffered either: downtime (because you would have to shutdown the interface to protect the network), or lack of protection (because you would have to leave the interface without an ACL). Because we can now add, remove, and insert line numbers, we are all better off.

More information on Cisco IOS named access lists can be found at the Cisco Command Reference for ip access-list website.

Ref: http://www.petri.co.il/csc_edit_cisco_ios_acl_using_line_numbers.htm

tag: cisco
posted by jodunk, at 2008-Jul-07 14:45:581

2008/Apr/17

การประยุกต์ใช้งาน EtherChannel กับ IBM Server

วันนี้ผมจะพูดถึงการนำเอา EtherChannel Technology หรือเรียกอีกอย่างหนึ่งว่า Port Trunking ตามมาตรฐาน IEEE 802.3ad Link Aggregation Control Protocol (LACP) มาเชื่อมต่อกับ IBM Server

สรุป Step คร่าวๆให้ดู
1. enable
2. configure terminal
3. interface port-channel number
4. ip address ip_address mask
5. interface type slot/subslot/port
6. no ip address
7. channel-group number mode {active | passive}
8. exit
9. interface type slot/subslot/port
10. no ip address
11. channel-group number mode {active | passive}
12. end

ตัวอย่าง config 2800

interface Port-channel1
no ip address
!
interface Port-channel1.1
encapsulation dot1Q 1 native
ip address 192.168.200.1 255.255.255.0
no snmp trap link-status
!
!
interface F0/0
no ip address
duplex auto
speed auto
channel-group 1
!
interface F0/1
no ip address
duplex auto
speed auto
channel-group 1

tag: cisco
posted by jodunk, at 2008-Apr-17 15:24:281

2008/Mar/20

การเลือกใช้ clock ของ E1 Interface

วันนี้ผมได้มีโอกาสไป Implement Cisco Unified Callmanager มา แล้วไปเจอปัญหา เกี่ยวกับการลือก Clock ที่ E1 Interface ไม่ตรงกัน

TOT Equipment ---> E1 interface on VG Router

อาการที่เจอ คือ

· สื่อสาร ได้ทางเดียว One-way audio or ไม่มีเสียงสำหรับ หารเชื่อมต่อตรงๆ ระหว่างกันไม่เป็นปกติ เช่นService (POTS)-to-VoIP calls หรือ การโทรระหว่าง POTS-to-POTS calls.

· Modems เชื่อมต่อสัญญาณไมท่ได้

· Faxes ได้รับไม่ครบทุกบรรทัด

· Fax connections that fail

· มี Echo และ คุณภาพเสียงระหว่างโทรไม่ดี

· เวลาโทรออกผ่าน Voice Gateway มีสัญญาณรบกวน

วิธีการแก้ปัญหา

ทดลอง show E1 คอนโืทรลเลอร์ดูว่าสภานะเป็นอย่างไรบ้าง

Router#show controller e1 0/0

E1 0/0 is up.

Applique type is Channelized E1 - balanced

No alarms detected.

alarm-trigger is not set

Version info Firmware: 20020812, FPGA: 11

Framing is CRC4, Line Code is HDB3, Clock Source is Line.

Data in current interval (97 seconds elapsed):

0 Line Code Violations, 0 Path Code Violations

4 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins

     4 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs

 จาก LOG แสดงให้เห็นว่า มี 4 Slip Secs ซึ่งอันที่จริงแล้วไม่ควรมี
จากนั้นให้ตรวจสอบ ว่า Network-Clock ได้ตามนี้หรือไม่

 2600#show network-clocks

Network Clock Configuration

---------------------------

Priority Clock Source Clock State Clock Type

1 E1 0/0 GOOD E1

5 Backplane GOOD PLL

Current Primary Clock Source

----------------------------

Priority Clock Source Clock State Clock Type

1 E1 0/0 GOOD E1

  หากไม่ได้ตามนี้ ก็ให้ทำการ ใส่คำสั่ง ด้านล่างนี้ที่ Interface

 network-clock-select priority {E1 | T1} slot

โดยการให้ Clock ที่ Slot ที่เราติดตั้ง อินเตอร์เฟส.

ex.

network-clock-select 1 e1 0/0
network-clock-select 2 e1 0/1

 หลังจากนั้น อาการข้างต้นที่ว่ามาหายเป็นปลิดทิ้งครับ 
"ผมหา กับ ทีมงานเกือบอาทิตย์ครับ" 
ผมหวังว่าน่าจะเป็นประโยชน์กับ Networker ทุกท่านนะครับ

 Jo-Nobra

refer:http://www.cisco.com/en/US/products/hw/routers/ps259/products_tech_note09186a008031a072.shtml#aim

tag: cucm
posted by jodunk, at 2008-Mar-20 17:00:041

2008/Feb/23

ตัวอย่างการ authentication แบบ MAC-address และ EAP authentication ร่วมกัน

This example sets the authentication type for the SSID batman to open with a combination of MAC-address and EAP authentication. Client devices using the batman SSID first attempt MAC-address authentication using a server named adam. If MAC authentication succeeds, they join the network, but if it fails, they attempt EAP authentication using the same server.

ap1100# configure terminal

ap1100(config)# configure interface dot11radio 0

ap1100(config-if)# ssid batman

ap1100(config-ssid)# authentication open mac adam alternate eap adam

ap1100(config-ssid)# end

tag: wireless
posted by jodunk, at 2008-Feb-23 11:04:111

2007/Nov/19

หา่กลืม Password Fortinet ทำไงครับ

มาดูวิธีกันเลยครับ
1. ต่อ PC กับ Fortigate Unit ทาง Hyper terminal โดย Set parameter ตามนี้

2. ให้ทำการรีบูต Fortigate ใหม่อีกรอบ

3. ใส่ Username กับ Password ด้านล่าง
User ID : maintainer
Password : bcpb(serial number of the firewall)

tag: fortigate
posted by jodunk, at 2007-Nov-19 15:12:411

2007/Nov/05

มาเรียนภาษาอังกฤษกันเถอะ (Link)ตอนที่ 1

มาเรียนภาษาอังกฤษกันเถอะ ให้หัวบวมกันไปเลย หวังว่าจะเป็นประโยชน์กับทุกคนนะครับ

Enjoy!!!

หมวดที่ 1 Dictionary
-------------------------------------------------------------------------------------------------------------

หมวด อังกฤษ- อังกฤษ:
1. ฉบับ Learner’s Dictionary
Babylon: http://www.manythings.org/daily/
Cambridge: http://dictionary.cambridge.org/
Collins: http://www.collins.co.uk/wordexchange/ (มุมบนขวา)
Encarta: http://encarta.msn.com/encnet/features/dictionary/dictionaryhome.aspx
Longman: http://pewebdic2.cw.idm.fr/
Longman: http://www.longmanwebdict.com/
Newbury House: http://nhd.heinle.com/activities.aspx
Oxford: http://www.oup.com/elt/catalogue/teachersites/oald7/lookup?cc=th
WordCentral: http://www.wordcentral.com/index.html
Wordweb: http://www.wordwebonline.com/
2. ฉบับผู้ใหญ่ (ไม่ใช่ประเภท Learner’s Dictionary)
American Heritage: http://education.yahoo.com/reference/dictionary/
http://www.english-dictionary.us/
http://www.hyperdic.net/doc/wordnet.htm
http://www.thefreedictionary.com/
http://www.webster-dictionary.net/
Merriam-Webster: http://www.m-w.com/

หมวด อังกฤษ - ไทย:
http://www.nextproject.net/WebApp/dictionary/ เป็น Dict Lexitrom+Hope+Nontri 3 เล่มรวมอยู่ในเว็บเดียว

หมวด อังกฤษ – ไทย – อังกฤษ:
http://seasrc.th.net/ehelp/base.htm
tag: english
posted by jodunk, at 2007-Nov-05 13:57:341

2007/Oct/24

Juniper ใจดีให้สอบ Cer ฟรี สำหรับคนมี cer cisco

ไปอ่านเจอ ใครมี Certification ของ cisco น่าสนใจนะครับ (หมดเขต ธันวาคม 2007 นะครับ)

วิธี Register นะครับ

1. ก่อนอื่นเข้าที่ URL:นี้ก่อนครับ "http://www.juniper.net/training/fasttrack/"
2. จากนั้นให้ทำการ Download : JUNOS Enterprise Routing Certification Fast Track Program Web Portal Access Card
3. หลังจากนั้นให้ไปที่ Web www.juniper.net/fasttrack/
4.แล้วก็กรอกข้อมูลให้ครบ
5.Enjoy!!!!!!

tag: juniper
posted by jodunk, at 2007-Oct-24 11:25:301

2007/Oct/24

การทำ Mirror Port ของ Switch Cisco Catalyst

การจะทำ port monitor หรือ span port นั้นจะต้องทำกับ port ที่อยู่ภายใต้ vlan เดียวกันเท่านั้น SPAN Port จะมีผลต่อการทำงานของ Switch โดยตรง มากบางครั้งอาจจะทำให้ตัว Switch เองค้างได้ ขึ้นอยู่กับจำนวน Traffic ที่ผ่านมา

การใช้งานก็

ต้องการจับ int fa0/23 แล้วมา monitor ที่ port fa0/1

พอร์ท 0/1 ให้ส่งมา 0/23 ซึ่ง 0/23 คือพอร์ทที่เราลงโปรแกรมจำพวก ethereal ไว้

การ configure ก็มีแค่ 2 บรรทัดคือ

1. กำหนด Source
monitor session session_number source {interface interface-id | vlan vlan-id} [, | -] [both | rx | tx]

2. กำหนด Destination
monitor session session_number destination {interface interface-id [, | -] [encapsulation replicate]}

Switch(config)# interface fa0/1 <---- Interface ที่เราจะใช้งาน
Switch(config-if)# port monitor fastethernet 0/3 <-------- Interface ที่จะถูก monitor
Switch(config-if)# port monitor fastethernet 0/6
Switch(config-if)# ^Z
Switch(config)#

REF : อยากศึกษารายละเอียดเพิ่มเติมก็เข้่าไป ที่นี่ เลยครับ

แหล่งที่มา : Athena_Shield, t0m0

tag: cisco
posted by jodunk, at 2007-Oct-24 10:45:321

2007/Jul/31

Fortigate 60 กับการ Restoring the default settings

คุณสามารถคืนค่าไปเป็นแบบ Factory default settings และเริ่มต้น Configure ใหม่อีกครั้ง โดยมีวิธีการทำได้สองวิธีคือ ผ่านWeb-based manager และ โดยผ่าน CLI หรือ Command Mode นั่นเอง

มาดูวิธีแรกกันดีกว่าครับว่าเขาทำ Restoring the default โดยผ่าน web-based manager กันอย่างไรกัน

สำหรับวิธี Reset the default settings ทำได้โดย

1. ไปที่ Menu System > Status > System Operation

2. เลือก Reset to factory default.

3. จากนั้นกด Go. เป็นอันเรียบร้อยครับ

วิธีที่สอง ทำ Restoring the default โดยผ่าน CLI

หลังจากที่เข้า CLI Console ให้ใช้คำสั่ง

execute factoryreset

tag: 60, fortigate
posted by jodunk, at 2007-Jul-31 23:06:071

2007/Jul/29

All Cisco Official Exam Certification Guide

วันนี้เป็นวันแรกที่เริ่มเขียน Blog ก็มาเริ่มด้วยการ Review หนังสือดีๆ กันเลยดีกว่าี้ก็เป็นหนังสือประกอบการฝึกฝนด้วยตนเอง สำหรับผู้ที่ต้องการสอบ CCNP

1. CCNP ISCW Official Exam Certification Guide


ISBN-10:
1-58720-150-X; ISBN-13: 978-1-58720-150-9; Published: Jul 18, 2007;
Copyright 2008; Dimensions 7-3/8x9-1/8; Pages: 696; Edition: 1st.

http://www.ciscopress.com/title/158720150X

2.CCNP ONT Official Exam Certification Guide

\
ISBN-10:
1-58720-176-3; ISBN-13: 978-1-58720-176-9; Published: May 21, 2007;
Copyright 2007; Dimensions 7-3/8x9-1/8; Pages: 408; Edition: 1st.

http://www.ciscopress.com/title/1587201763

3. CCNP BCMSN Official Exam Certification Guide, 4th Edition


ISBN-10:
1-58720-171-2; ISBN-13: 978-1-58720-171-4; Published: Dec 29, 2006;
Copyright 2007; Dimensions 7-3/8x9-1/8; Pages: 672; Edition: 4th.

http://www.ciscopress.com/bookstore/produc...isbn=1587201712

3.CCNP BSCI Official Exam Certification Guide, 4th Edition

\
ISBN-10:
1-58720-147-X; ISBN-13: 978-1-58720-147-9; Published: Jul 18, 2007;
Copyright 2008; Dimensions 7-3/8x9-1/8; Pages: 672; Edition: 4th.

http://www.ciscopress.com/title/158720147X

หลังที่ได้ Preview ไปกันแล้วมา Download  กันเลยดีกว่า 
DOWNLOAD LINK

hxxp://www.4shared.com/dir/3098975/d5ab2347/sharing.htm

edit @ 2007/07/29 20:19:18

tag: ccnp, cisco
posted by jodunk, at 2007-Jul-29 00:17:240