-
Gesamte Inhalte
352 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von mr._oiso
-
-
hi Werner
Was genau möchtest Du denn alles verbieten oder erlauben ?
Die ACL 100 erlaubt nur TCP von überall in Dein Netz, und könnte somit nur
"inbound" an Deinem Ext. Interface hängen, oder "outbound" am internen.
Outbound am internen Interface macht aber keiner, da der Router sonst erst alles verarbeiten muss und danach entscheidet was weg muss (drop).
Die ACL 102 erlaubt IP aus Deinem Netz überall hin, und gehört damit eher
"inbound" internes interface.
Bedenke IP ist sehr global ! Damit meint der Router TCP,UDP,ICMP.... all Ports !
Mit dieser List komm ich garnicht klar !
Teilweise hast Du source und destination verwechselt !
Und brauchst Du überhaupt esp und gre ?
Möchtest Du VPN über den Router machen (PPTP,IPSec) ?
Extended IP access list 111
permit icmp any any administratively-prohibited
permit icmp any any echo
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any traceroute
permit icmp any any unreachable
permit udp any eq bootps any eq bootpc
permit udp any eq bootps any eq bootps
permit udp any eq domain any
permit esp any any
permit udp any any eq isakmp
permit udp any any eq 10000
permit tcp any any eq 1723
permit tcp any any eq 139
permit udp any any eq netbios-ns (2 matches)
permit udp any any eq netbios-dgm
permit gre any any
deny ip any any (51 matches)
Diese Ports macht man in der Regel zu !
permit tcp any any eq 139
permit udp any any eq netbios-ns (2 matches)
permit udp any any eq netbios-dgm
Soetwas in der Regel auch !
microsoft-ds 445/tcp Microsoft-DS
microsoft-ds 445/udp Microsoft-DS
Poste doch mal Deine Konfiguration komplett (ohne Passwörter)
Und mach nen "show version" mal und poste gleich mit.
Wahrscheinlich kann der 826 sogar IP-Inspection !
Ist ne tolle Sache !
MfG
Mr. Oiso
-
hi Werner
Das macht doch nix ! Dafür gibt es doch das Board ! :D
Tip:
Einzelne Einträge kann man nicht direkt löschen oder editieren.
Wenn Du z.B. anfängst eine ACL zu konfigurieren, dann definierst Du in der Regel
erstmal was erlaubt ist.
Ohne Dein zutun setzt der Router dann am Ende das "deny any"
Solltest Du also später etwas ändern wollen, so mußt Du die Liste entfernen und neu machen, oder eine andere ID nutzen ! (sind ja genug vorhanden -möglich).
Am besten Du kopierst sie Dir aus der telnet session oder Console heraus in einen Texteditor (Wordpad oder Editpad) und fügst dann neue Zeilen ein, damit sie später vor dem "deny any" stehen !
Ansonsten matchen diese Einträge nicht mehr !
Wenn Du die List dann mit Edit/Word-pad bearbeitet hast, makierst Du alles und fügst es einfach an der Router(config)# ein.
Fertig !
Danach bindest Du die List wieder ans Interface und gut isss.
Ich schau mir die Liste mal gerade an !
MfG
Mr. Oiso
-
hi Koalabaer
Danke, hört man gerne !
Thx for feedback !
Biba
Mr. Oiso
-
hi Koalabaer
Hier mal eine Beispielkonfiguration
Cisco Router as PPPoE Server
username cisco password cisco
vpdn enable
!
vpdn-group pppoex
accept-dialin
protocol pppoe
virtual-template 1
!
interface Loopback0
ip address 11.11.11.111 255.255.255.0
pppoe enable
!
interface Ethernet0
ip address 172.21.48.30 255.255.255.224
pppoe enable
!
interface Virtual-Template1
mtu 1492
ip unnumbered Ethernet0 oder ip unnumbered Loopback0
peer default ip address pool pppoe-pool
ppp authentication pap
!
ip local pool pppoe-pool 11.11.11.1 11.11.11.100
Danach routest du 11.11.11.0 nach Eth z.B.
Es geht aber bestimmt auch ohne Loopback !
Nur mit, hast Du anschließen noch mit einer ACL eine gewissen Zugangskontrolle !
MfG
Mr. Oiso
-
hi Koalabaer
Hier mal eine Beispielkonfiguration
Cisco Router as PPPoE Server
username cisco password cisco
vpdn enable
!
vpdn-group pppoex
accept-dialin
protocol pppoe
virtual-template 1
!
interface Loopback0
ip address 11.11.11.111 255.255.255.0
pppoe enable
!
interface Ethernet0
ip address 172.21.48.30 255.255.255.224
pppoe enable
!
interface Virtual-Template1
mtu 1492
ip unnumbered Ethernet0 oder ip unnumbered Loopback0
peer default ip address pool pixpool
ppp authentication pap
!
ip local pool pppoe-pool 11.11.11.1 11.11.11.100
Danach routest du 11.11.11.0 nach Eth z.B.
Es geht aber bestimmt auch ohne Loopback !
Nur mit, hast Du anschließen noch mit einer ACL eine gewissen Zugangskontrolle !
MfG
Mr. Oiso
-
hi Koalabaer
Also die Features habe ich geprüft !
Alles was Du bräuchtest kann diese IOS Version.
Hier detail :
PPPoE Server Restructuring and PPPoE Profiles Isolation of PPPoE from VPDN and multiple PPPoE Profiles
PPPoE Client PPP over Ethernet client to allow the router (CPE) to act as the client in a PPPoE scenario
PPPoE Client DDR Idle-Timer Dial-on-Demand-Routing and interesting traffic idle-timer support for PPPoE client software
PPPoE Connection Throttling Throttle the PPPoE connection requests to prevent any Denial of Service Attacks
PPPoE MTU Adjustment PPP MTU size adjustment - adjustment of TCP maximum segment size to avoid MTU issues when tunneling
PPPoE Radius Port Identification Provide ATM PVC VPI/VCI data or VLAN ID as Radius port ID for PPPoE over ATM or over 802.1Q deployment.
PPPoE Session limit Ability to limit number of PPPoE sessions per VC and per blade or router
PPPoE on Ethernet To support PPP over Ethernet encap received in the PPPoE server's Ethernet interface.
PPPoE over Gigabit Ethernet interface Support PPPoE over Gigabit Ethernet interfaces
Ergo gehe ich mal davon aus, dass der Router sowohl als PPPoE Client (default via ATM/ISP) aber auch Server Connects aufbauen kann.
Ergo würde ich mal als erstes nen Loopback Interface erstellen und einen Client Account einrichten. PPPoE an Eth und Looback enable'n und via DHCP aus dem Loopback mit IP-Adr.
versorgen. Danach mal schauen was da so passiert. Müste mir gleich mal ansehen, wie eine PPoE Authentication so abläuft.
Bis dahin
MfG
Mr. Oiso
-
hi Koalabaer
Nein mehr braucht man nicht !
Ich schau gleich mal nach !
MfG
Mr. Oiso
-
hi nasham
Dafür gibt es doch Befehle !
Wenn Du über vty 0 per telnet auf dem Router bist reicht in der Regel ein einfaches
Router#terminal monitor
kurz
term mon
Damit sollte er Dir sämtliche debug messages welche per default an die Console gesendet werden auch via vty0 angezeigt werden.
Solltest Du z.B. in einer ACL irgendwo log am Ende einer Zeile stehen haben, so kannst Du Dir auch diese matching Packets an der vty 0 anzeigen lassen.
Hier benötigst Du dann
Router(config)#logging monitor
Und schon siehst Du auch diese Info's in Echtzeit !
MfG
Mr. Oiso
-
Hi Koalabaer
Vom Prinzip her sollte es möglich sein !
Nur welchen Router genau hast Du zur Verfügung ?
Poste doch bitte mal nen "show version"
Bei einem Cisco 801 seh ich da wahrscheinlich schwarz !
Der macht in der Regel nur ppp over Bri !
Ansonsten benötigst Du schon das ATM Interface (ADSLoISDN z.B. Cisco 836 oder SOHO96).
Auch die Software für die anderen 800 Series Typen bringen das PPPoE Feature
wahrscheinlich nicht mit !
In wie weit die Software kompatibel kann ich erst sehen, wenn ich weiß um welche Hardware es sich handelt !
MfG
Mr. Oiso
-
hi whatisthematrix
Supi ! Soweit alles o.k. !
Also DNS klappt nun vom Router aus ! Gut !
Mach doch bitte mal nen "show version" im enable mode -
Router#show version
Dann poste mal das Ergebnis, dann sehen wir was Du als WAN/LAN interfaces so noch
zur Verfügung hast !
Ansonsten bleibt Dir nur die secondary IP am eth !
Damit hättest Du dann das Sub-Netz für Deinen Client im 172.16.11.0 / 24 Netz aufgemacht. Für diesen Client wäre dann der Router das Gateway und DNS gleichzeitig !
MfG
Mr. Oiso
-
hi Koalabaer
Erkläre mal etwas genauer was Du vor hast !
pppoe ist doch nicht etwa das was Du suchst, oder ?
Du benötigst den Router doch sicher nur um über ISDN raus/rein in Dein Lan zu kommen, oder was genau möchtest Du tun ?
MfG
Mr. Oiso
-
hi morte
O.k. ! Hatte übersehen !
C2924M-XL-EN
Hast Du in der oberen Expansion Slot Leiste überhaupt ein Modul stecken ?
Wenn ja, welches ?
Ansonsten must du eben nur ein Crossover von einem der 24 10/100 Ports darunter auf den 2950 stecken ! Und fertig !
Danach kannst Du dann konfigurieren !
Eben genau diese beiden fastethernet Ports !
interface fastethernet 0/x x=der Port auf welchem da Crossover steckt !
MfG
Mr. Oiso
-
hi morte
Gegenfarge :
Von welchen zwei Router sprichst Du ?
Die beiden Switches sind keine Layer 3 Maschinen, mit denen Du nicht routen kannst.
Das Routing übernimmt nacher der 2621 Router !
Für die Vlan Trunk Verbindung der Switches benötigst Du nur ein Crossover von einem
der FastEthernet Port von einem Switch zum nächsten. Oder Du gehst über Gigabit !
Welcher 2900XL ist es ?
C2924-XL-EN
C2924C-XL-EN
C2912-XL-EN
oder sagar
C2912MF-XL
C2924M-XL-EN
?????
MfG
Mr. Oiso
-
hi nasham
Natürlich geht das !
Was aber meinst Du mit Remote Login Server ?
Wer ist dieser Host ?
Ist es ein Server welcher Remote auf dem selben Router eingewahlt ist ?
Oder stellt der Router eine Verbindung zu einem Remote Login Server her ?
MfG
Mr. Oiso
-
hi whatisthematrix
Zu Frage 1.
Ja genau ! In der Regel wird bei Dir der Netgear Router 172.16.1.7 wohl als DNS-Server
eingetragen sein, oder ?
Hast Du eventuell nen Windows ADS auf dem ein DNS-Server konfiguriert ist ?
In der Regel bekommt der Netgear die DNS-Server Adr. vom ISP automatisch mitgeteilt.
Ergo forwarded er jeden DNS Request über die 172.16.1.7 welche Du als DNS Server im LAN angibst. Oder über den Windows DNS !
Jetzt kannst Du hingehen und entweder den Windows DNS Server auf dem Router eintragen und oder den Netgear ! Auch beide sind möglich !
Du kannst bis zu 6 DNS Server auf dem Cisco eintragen.
Versuch mal erst den Netgear und mach dann von der Router Console oder vty einen
ping auf : http://www.heise.de z.B.
sollte gehen.
Solltest Du über den Windows ADS gehen, dann benötigst Du für die Netbios Names Auflösung in Deinem Netz auf dem Router zusätzlich den domain Namen.
"ip domain-name intern.xyz.de" eventuell auch über den Netgear, dann aber provider.de/com/net etc.
Hierzu jedoch etwas extra :
Mit Deiner Router Konfiguration stimmt was nicht !
Das Loopback interface ist keine WAN Schnittstelle. Sondern wie der Name schon sagt, eine virtuelle Netzwerkschleife auf dem Router.
Ergo mußt Du die Lan IP 172.16.1.144 schon an das eth0 konfigurieren, sonst geht nix.
Was für einen Router hast Du da ? Hat er noch andere Schnittstellen ?
Sollte Dir keine weitere Schnittstelle gegeben sein, somust Du den Router schon auf den Switch, welcher Euer Lan (Layer 2) hält klemmen, und dann mit einer
"ip address 172.16.11.x 255.255.255.0 sec" arbeiten.
Damit hat der Router dann 2 IP-Adr., einmal im Sub-Netz 172.16.1.0 und 172.16.11.0.
Deinen PC klemmst Du dann auch auf den Switch und kannst die Adr. beibehalten.
MfG
Mr. Oiso
-
hi tom12
Tip:
Versuch's mal mit einer Port Range von 1-21 und 23-65535 !
Das sind dann nur zwei statt einem Eintrag und der telnet SSL bleibt frei !
MfG
Mr. Oiso
-
hi Morte
Da fällt mir noch ein ! Bei den IOS Versionen hab ich es auf das Image abgesehen.
z.B.: System image file is "flash:c3500XL-c3h2s-mz-120.5.2-XU.bin"
oder System image file is "flash:c3620-io3-mz.123-9c.bin"
damit lässt sich mehr anfangen bzgl. des verwendeten Feature Pack's !
Allerdings kannst Du bei der Vlan Konfiguration zwischen den Switches schon mal anfangen.
So habe ich zum Beispiel einen Trunk über eine Gigabit-Strecke von einem 3524XL zu einem 2950er am laufen.
Hierbei ist der 3524 der Server !
3524XL
ETESW01#sh vtp status
VTP Version : 2
Configuration Revision : 2
Maximum VLANs supported locally : 254
Number of existing VLANs : 7
VTP Operating Mode : Server
VTP Domain Name : ETE
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Disabled
MD5 digest : 0xDE 0x52 0xF1 0xE7 0xA8 0x64 0x5C 0xA2
Configuration last modified by 192.168.1.6 at 3-25-04 11:33:02
interface GigabitEthernet0/1
description ETeWartung
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,1002-1005
switchport mode trunk
2950
ETeWartung#sh vtp status
VTP Version : 2
Configuration Revision : 2
Maximum VLANs supported locally : 250
Number of existing VLANs : 7
VTP Operating Mode : Client
VTP Domain Name : ETE
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Enabled
MD5 digest : 0xDE 0x52 0xF1 0xE7 0xA8 0x64 0x5C 0xA2
Configuration last modified by 192.168.1.6 at 3-25-04 11:33:02
interface GigabitEthernet0/1
description connected to ETESW01
switchport mode trunk
So in etwa wird konfiguriert:
ETeWartung#vlan database
% Warning: It is recommended to configure VLAN from config mode,
as VLAN database mode is being deprecated. Please consult user
documentation for configuring VTP/VLAN in config mode.
ETeWartung(vlan)#?
VLAN database editing buffer manipulation commands:
abort Exit mode without applying the changes
apply Apply current changes and bump revision number
exit Apply changes, bump revision number, and exit mode
no Negate a command or set its defaults
reset Abandon current changes and reread current database
show Show database information
vlan Add, delete, or modify values associated with a single VLAN
vtp Perform VTP administrative functions.
ETeWartung(vlan)#vtp ?
client Set the device to client mode.
domain Set the name of the VTP administrative domain.
password Set the password for the VTP administrative domain.
pruning Set the administrative domain to permit pruning.
server Set the device to server mode.
transparent Set the device to transparent mode.
v2-mode Set the administrative domain to V2 mode.
ETeWartung(vlan)#
MfG
Mr. Oiso
-
hi Morte
So, ich habe nochmal nachgesehen.
Dabei habe ich festgestellt, dass auch der 2900er wohl ISL und 802.1q unterstützt, welches Du für das Vlan Trunking ´zwischen den beiden Switches benötigst.
Es ist doch ein 2900XL oder ?
Ganz genau würde ich es sagen können, wenn Du auf den einzelnen Devices mal nen
"show version" Command absetzt und das Ergebnis hier postest.
Allerdings deutet die Software Version 12.0(5)WC3b darauf hin.
Diese unterstützt also auf dem 2900XL wie auch auf den 3500XL Series Switches Vlan
Trunking im ISL und 802.1q (auch dot1q genannt).
Soweit gut !
Der 2950er unterstützt allerdings nur noch 802.1q, dieses hatte ich heute morgen vergessen zu sagen.
Ergo bleibt Dir nur eine Vlan Lösung mit diesem Protokoll.
Hierzu benötige ich aber nochmal den Show Version Command vom Router !
Frage : Welcher Router Type ? 2620,2621....oder sogar XM Serie ?
Hier kommt es unter umständen dazu, dass Du das IOS Release wechseln must.
Eventuell hast Du nur ein IP-Feature Pack, mit welchem kein 802.1q Protokoll angeboten wird.
Dieses kannst Du aber schnell nachschauen.
Router(config)#interface fastethernet 0/1.1
Router(config-subif)#encapsulation do1q 1
Probier es mal aus ! Sollte er den Command encapsulation am Sub-Interface nicht kennen
wirds nicht mit dem Inter-Vlan Routing ohne Update !
Hierzu benötigst Du dann ein IP-Plus Feature Pack.
Um nochmal auf das "Wirrwar" mit dem VMPS-Server zu sprechen zu kommen, so darfst Du den VTP-Server damit nicht verwechsel.
Die dynamische vlan Zuweisung kannst Du nur wie "jobe" beschrieben mit statischer Port-konfiguration umgehen, ohne weitere Mittel aufzuwenden.
Damit fällt VMPS gänzlich weg.
Der VTP-Server ist lediglich einer der beiden Switches. VTP = Virtuelles Trunk Protokoll
Mit diesem Konfiguriert man die Switches nach einer Art Server-Client Prinzip !
Dazu kannst Du mal auf einem der beiden Switches sh vtp status machen !
Da kommt dann in etwa sowas bei raus !
ETeWartung#sh vtp status
VTP Version : 2
Configuration Revision : 2
Maximum VLANs supported locally : 250
Number of existing VLANs : 7
VTP Operating Mode : Client
VTP Domain Name : ETE
VTP Pruning Mode : Disabled
VTP V2 Mode : Disabled
VTP Traps Generation : Enabled
MD5 digest : 0xDE 0x52 0xF1 0xE7 0xA8 0x64 0x5C 0xA2
Configuration last modified by 192.168.1.6 at 3-25-04 11:33:02
ETeWartung#
Hier siehst Du dann den Operating Mode ! Genau dieser ist mit VTP-Server gemeint.
MfG
Mr. Oiso
-
hi whatisthematrix
Wozu benutzt Du den 1400er Router ?
Und wohin soll der dns zeigen ?
Wenn Du diesen Router als Internet Gateway konfigurierst, sollte es in der Regel auch so
laufen !
ip domain-lookup ist (default) enabled !
Wenn Du aber über einen internen DNS auflösen möchtest, so gebe ihm
1. "ip name-server lokale-dns-ip"
2. "ip domain-name intern.xyz.de"
Danach sollte der Router in der Lage sein einen Netz-internen Host via Name anzupingen.
MfG
Mr. Oiso
-
Hi Morte
Vom Prinzip her sollte es möglich sein.
Jedoch sollte sich die Sache mit dem Notebook und dem automatischen Zuordnen zu
einem Vlan nicht so leicht realisieren lassen. Für eine dynamiasche Vlan-Zuweisung benötigst Du einen VMPS Server (Vlan Membership Policy Server). Sowas kann bis dato nur der Cat 6500 oder ein Cat 4000 (soweit ich weiß) !
Ist der 2900er Switch noch so'n altes Teil ?
Dann solltest Du Dich über ihn mal schlau machen, was er Vlan technisch noch so drauf hat ! Welches IOS ? Kann er also überhaupt schon 802.1q ?
Ansonsten kannst Du auch mit ISL arbeiten.
Zum Vlan (VTP Server) würde ich deshalb den 2950er machen.
Zusätzlich solltest Du Dich mit den entsprechenden encapsulation's auf dem Router
befassen. Dieser sollte möglichst an einem der beiden Interfaces ebenfalls ISL oder
802.1q unterstützen, damit er die Vlan's gegeneinander routen kann.
Ansonsten poste mal Deine IOS Versionen der Switches und des Router's.
Muss jetzt leider zum Kunden !
Help you as soon as possible !
MfG
Mr. Oiso
-
Hi Kliefoth
Die Command Refernce findest Du einmal hier für IOS Version 12.1(20)EA2
Oder Du gibst als Search: "Command Reference Cat 3550" an.
Geht auch ohne CCO ! Ob Du jedoch dann genau die Version findest, welche Du laufen hast, weiss ich nicht !
MfG
Mr. Oiso
-
Hi sajagin
Richtig ! Du hast es erfasst !
Dir fehlt z.B. die interface encapsulation frame-relay
und frame-relay interface-dlci X
auf beiden Seiten.
Zusätzlich sollte auf einer der beiden Router dann auch die
clockrate eingetragen werden damit es läuft.
Du kannst aber auch mit einem Sub-Interface arbeiten.
1.Router
interface serial0
no ip address
encapsulation frame-relay
no keepalive
clockrate 2000000
!
interface serial0.1 point-to-point
ip address 1.1.1.1 w.x.y.z
frame-relay interface-dlci 16
2.Router
interface serial0
no ip address
encapsulation frame-relay
no keepalive
!
interface serial0.1 point-to-point
ip address 1.1.1.2 w.x.y.z
frame-relay interface-dlci 16
als Beispiel !
MfG
Mr. Oiso
-
Hi darkjedi
Zu Deiner letzten Aussage: Völlig richtig !
Klar macht eine 1000MBit Verbindung zum Server erst dann Sinn, wenn die entsprechende
Bandbreite auch von den Client's abgenommen wird. Da ich aber in der Regel von mehr als
10 Client's via 100MBit ausgehe, lohnt es sich schon fast immer.
Ansonsten hilft dir beim Puffern auch flow-control welcher auf dem Sever ein "slower transmit" empfängt, sobald der Switch die Daten nicht los wird. Aber ich denke, dass ist das kleinere Übel.
Was das Forwarding source-based angeht, so hast Du recht. Der Switch initiiert mit jeder neuen Quell-Mac eine neue Session über den Channel zum Server. Sprich: Er nimmt immer im wechsel die physikalischen Interfaces aus dem Channel.
Andersherum, vom Server zum Switch, ist es dann die Aufgabe des Server's selbst, z.B.
über HP Teaming das Balancing via MAC oder IP-Adr. vorzunehmen.
Den Switch ist es nachher egal, ob er über Link 1 oder 2 aus dem Channel das Paket entgegennimmt. Er muss es wahrscheinlich eh über unterschiedliche Eth-Port's forwarden.
Was die Konfiguration anbelangt, so muss man hier etwas aufpassen.
Hast Du die Channel-group via "auto" oder "desirable" konfiguriert, so macht der Switch automatisch das, wovon Du ausgehst: source-based forwarding vom Client über den Channel zum Server.
Hast Du jedoch die Channel-group allerdings hart auf "on" konfiguriert, so brauchst Du noch den globalen Command:
port-channel load-balancing src-mac
sonst macht er nicht dass, was für die optimale Channelauslastung zum Server hin sinnvoll wäre.
Das hängt mit dem Posting von cyberdyne zusammen, welcher Recht hat, wenn er sagt: PAgP oder LACP machen dynamisch ein paar intelligente Dinge, wie z.B. auch das default source-based forwarding mit.
Zum Schluß noch was zu Sailer:
Auch er hat Recht, jedoch handelt es sich bei seiner Aussage um "In Reihe geschaltete Link's"
Bei einem Etherchannel als solchem, trifft das jedoch nicht zu. Dieses ist eine parallele Zusammenfassung von Links gleicher Bandbreite zu einem logischen/virtuellen Link mit vielfacher Bandbreite von biszu x8 ! Mehr als 8x 10/100/1000 geht bei Cisco nicht !
MfG
Mr. Oiso
-
Hi Wolke2k4
Posteingang ist wieder leer !
Thanks & regards
Mr. Oiso
Access-list Frage
in Cisco Forum — Allgemein
Geschrieben
Hi Werner
Habe im Moment kaum Zeit !
Drum erstmal kurz !
Ein Buch gibt es natürlich zum Thema. Anbieten täte ich den CCNA Self Study Guide
ISBN 1-58720-083-X
Darin staeht alles was Du wissen mußt.
Sonst schau mal hier vorbei !
http://www.networkclue.com/routing/Cisco/access-lists/editing.php
Es gibt auch nen "Config Editor" einmal von Cisco und auch hier :
http://www.winagents.com/de/products/cisco-config-editor
Allerdings traue ich den Dingern nicht immer über den weg !
Zum Teil natürlich weil sie nur die Standards abdecken und nie den Featureumfang
einer IOS Version abdecken. Dafür gibt es einfach zu viele.
Was Deine Konfiguration angeht, da würde ich mal erst die ACL 111 löschen !
Erst vom Interface dialer 1 nehmen.
Router(config-if)#no access-group 111 in
danach
Router(config)#no access-list 111
Die ACL 100 kannst wahrscheinlich auch löschen (nicht im gebrauch)
Die ACL 102 darfst Du nicht löschen, die ist für's NAT !
Melde mich gleich wieder !
Bin im Meeting !
MfG
Mr. Oiso