Một trong những con số CCIE cần phải nhớ là SAP, LSAP code dùng cho DLSW filtering. Tuy nhiên tôi là người hay quên và khá kém cỏi trong việc nhớ các chữ số hex vô nghĩa như 0xF0,0x04,0x00 . Vì vậy tôi thường phải tìm các biện pháp "back-up" lỡ trong trường hợp vô thi mà quên mấy cái số này thì hỏng.

Con thuyền cứu mạng trong kỳ thi lab chỉ là dĩa Document CD của Cisco. Dĩa CD này giống như là một kho báu nếu ta biết cách... đào. Đã có bạn nào tìm thử xem trong Cisco Docs CD có chứa các code trên ở đâu không, chia sẻ cho anh em với?

xin chào anh,

Các code trên anh phải learn-by-heart!

Thật ra, anh nên thực tập tất cả các loại filtering ACL không những trên dlsw+ mà còn trên tất cả các loại bridge-type. Do CCIE lab hiện giờ không còn token-ring nên anh có thể bỏ qua CRB và RSRB. Tuy nhiên anh vẫn cần TB và DLSW+.

Quay trở lại vấn đề mà anh hỏi.

1. Filter LSAP: dùng access-list 200.
2. Filer MAC-address: dùng access-list 700.
3. Filter NetBios name: dùng access-list 1100. Anh apply access-list cho bridge-group bằng lệnh input-pattern-list.

MAC access-lists: chú ý nhớ code cho SNA và NetBIOS.

00 NULL/ALL
04,05,08,0C,0D SNA
E0 IPX
F0 NetbIOS

anh apply các access-list này vào dlsw+ bằng lệnh

#...remote-peer lsap-output-list...

Ví dụ: để cho phép SNA
access-list 200 permit 0x0000 0x000D
để deny SNA:
access-list 200 deny 0x0000 0x0D0D
filtering trong dlsw:

dlsw local-peer peer-id 10.1.1.1
dlsw remote-peer 0 tcp 10.2.2.2 lsap-output-list 200

Ví dụ 2: cho phép Netbios:

access-list 200 permit 0xf0f0 0x0101
dlsw remote-peer 0 tcp 10.1.1.1 lsap-output-list 200

Linh cho rằng, anh còn nhiều thứ phải thực tập bao gồm: filter netbios name (permit/deny netbios..), bit swapping sang dạng canonical/non-canonical, access-expressions...

Mong được tiếp tục trao đổi với anh.

SVN,

"Learn by Heart" là cách cuối cùng phải làm khi không còn lựa chọn nào khác. Tuy nhiên điều mình muốn nhấn mạnh là khả năng tìm tòi resource từ documentation CD. Đây là con thuyền cứu mệnh duy nhất khi "Learn by Heart" fail hoặc đề bài đưa ra một vấn đề mà ta không nhớ nổi. Bạn có thể practice rất nhiều nhưng không thể cam đoan rằng mình nhớ hết mọi thứ. Trong kỳ thi CCIE lab, mọi chuyện đều có thể xảy ra và cách tốt nhất là ta tìm các biện pháp đề phòng nếu có thể và luôn đặt câu hỏi "nếu như".

Một trong những code hiếm hoi mà tôi tìm thấy trên docs cd là code F0 của Netbios trong phần command reference của lệnh dlsw icannotreach saps

Examples

The following example specifies that NetBIOS traffic will be denied:

dlsw icannotreach saps F0

Có bạn nào tìm được code nào khác không ?

Hi anh,

Rất đơn giản để nhớ:

FILTERING SNA:

IBM SNA traffic dùng SAP từ range 0x00 đến 0xFF.

SAP phải là bội số của 0x04, bắt đầu bằng x04. Access-list dưới đây sẽ cho phép những SNA SAPs phổ biến nhất và cấm tất cả các loại SAP còn lại. Chú ý là có một lệnh deny mặc định:

access-list 200 permit 0x0000 0x0D0D
access-list 200 permit 0x0000 0x0D0D


DSAP SSAP Wildcard Mask for DSAP and SSAP respectively
|-------| |-------| |-------| |-------|
0000 0000 0000 0000 0000 1101 0000 1101

Trong mỗi SAP sẽ có bit C/R. Nếu bit này được set, SAP đó là dùng cho Response. Ví dụ 0x05, 0x09...

FILTERING NETBIOS:


NetBioS dùng SAP 0xF0 cho command và 0xF1 cho response. Thông thường, người quản trị dùng các SAP value này để filter NetBiOS. Access-list dưới đây sẽ cho phép NetBioS traffic và deny tất cả loại traffic còn lại:

access-list 200 permit 0xF0F0 0x0101

Nếu anh muốn chặn NetBioS và cho phép tất cả các loại traffic còn lại:

access-list 200 deny 0xF0F0 0x0101
access-list 200 permit 0x0000 0xFFFF

Sau cùng, anh có thể tham khảo thêm ở đây:
http://www.cisco.com/warp/customer/698/acl200.html

thank you,