ACL modifiering

Hur numreras raderna i åtkomstlistorna? Hur ändras ordningen när man lägger ett nytt villkor i samma ACL? Här nedan visas först modifieringar i standard numrerad ACL och därefter standard namngivna ACL. Modifieringar görs med två metoder:

Modifiera numrerad ACL – Text redigerare

ACL med flera åtkomstvillkor bör skapas först i en text-redigerar såsom Anteckningar. Det tillåter planering, ändringar och i slutändan kopiera och klistra in på routern. Till exempel antag att istället 192 skrev man 19 i första oktetten i en IP adress.

  • R1# show run | section access-list
  • access-list 1 deny 19.168.10.10
  • access-list 1 permit 192.168.10.0 0.0.0.255

Modifiering:

  • Kopiera ACL information, som visas med kommando show running-config, till Anteckningar.
  • Modifiera ACL  – R1(config)# no access-list 1
  • Ta bort den felaktiga ACL
  • Kopiera den modifierade ACL i Anteckningar och klistra in på routern

Modifiera numrerad ACL – Sekventiella numreringar i ACL

När ACL skapas på en router numreras alla villkor sekventiellt, helt automatiskt. Till exempel att modifiera den felaktiga IP-adressen 19.168.10.10 till 192.168.10.10:

  • R1# show access-list
  • Standard IP access list 1
    • 10 deny 19.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255
  • R1#conf t
  • R1(config)# ip access-list standard 1
  • R1(config-std-nacl)# no 10
  • R1(config-std-nacl)# 10 deny host 192.168.10.10
  • R1(config-std-nacl)# end
  • R1# show access-lists
  • Standard IP access list 1
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255

Modifiera namngiven ACL

Antag att host 192.168.10.5 ska också nekas åtkomst. Om man lägger till en ny post i den befintliga access-list 1 kommer posten att läggas sist och då blir det fel eftersom posten är efter att man tillåter allt trafik:

  • R1# show access-list
  • Standard IP access list NO-ACCESS
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255
    • 30 deny 192.168.10.5
  • R1# configure terminal
  • R1(config)# ip access-list standard NO-ACCESS
  • R1(config-std-nacl)# 15 deny 192.168.10.5
  • R1(config-std-nacl)# end
  • R1# show access-lists
  • Standard IP access list NO-ACCESS
    • 15 deny 192.168.10.5
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255

Observera att den nya villkoren visas först och detta ordnas med en hashing-algoritm som inte tas upp här. Det som är viktig är att villkoret placeras före permit-raden.

ACL statistiks

Observera att resultatet av kommandoexekvering show access-list kan visa matchningar. Detta är användbart vid felsökningar, men om man vill nollställa statistiken får man använda kommandot clear access-list counters NO-ACCESS.

  • R1# show access-lists
  • Standard IP access list NO-ACCESS
    • 10 deny 192.168.10.10  (30 matches)
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255  (64 matches)
  • R1# clear access-list counters NO-ACCESS
  • R1# show access-lists
  • Standard IP access list NO-ACCESS
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255