Exempel 1

Studera följande exempel där man anger felaktig IP-adress i en ACL konfiguration:

  • R1(config)# access-list 1 deny 19.168.10.10 0.0.0.255

Tydligen vill man neka nätverkstrafik från 192.168.10.10 men fel inträffar. Hur kan felet korrigeras?

  • R1(config)# no access-list 1
  • R1(config)# access-list 1 permit 192.168.10.0 0.0.0.25

Först raderas ACL 1 och därefter skapas listan igen. Trots allt innehåller listan endast en rad (egentligen två) och därför är det lätt att radera och skapa en ny ACL med samma identifikation. Men vad hade hänt om listan innehöll flera rader? Ja, så länge det handlar om standard ACL är denna metod den enda man kan använda. Däremot extended ACL lista har fler möjligheter.

Anta att en extended ACL med namn INCREMENTAL_SEQUENCE skapas på router R1

  • R1(Config)# ip access-list extended INCREMENTAL_SEQ
  • R1(config-ext-nacl)# permit ip 11.0.0.0 0.0.0.255 any
  • R1(config-ext-nacl)# permit ip 22.0.0.0 0.0.0.255 any
  • R1(config-ext-nacl)# permit ip 33.0.0.0 0.0.0.255 any
  • R1(config-ext-nacl)# permit ip 44.0.0.0 0.0.0.255 any
  • R1(config-ext-nacl)# permit ip 55.0.0.0 0.0.0.255 any
  • R1(config-ext-nacl)# end
  • R1# show ip access-list INCREMENTAL_SEQ

10 permit ip 11.0.0.0 0.0.0.255 any
20 permit ip 22.0.0.0 0.0.0.255 any
30 permit ip 33.0.0.0 0.0.0.255 any
40 permit ip 44.0.0.0 0.0.0.255 any
50 permit ip 55.0.0.0 0.0.0.255 any

Det syns att som default listas alla villkor i en ACL som 10, 20 och så vidare. Nu vill jag ha en ny rad mellan ACE 10 och 20 som ska blockera nätverkstrafik från host 15.1.1.1

  • R1(config)# ip access-list extended INCREMENTAL_SEQ
  • R1(config-ext-nacl)# 15 deny ip host 15.1.1.1 any
  • R1(config-ext-nacl)# end
  • R1# show ip access-list INCREMENTAL_SEQ

10 permit ip 11.0.0.0 0.0.0.255 any
15 deny ip host 15.1.1.1 any
20 permit ip 22.0.0.0 0.0.0.255 any
30 permit ip 33.0.0.0 0.0.0.255 any
40 permit ip 44.0.0.0 0.0.0.255 any
50 permit ip 55.0.0.0 0.0.0.255 any

Nu vill jag radera ACE 40:

  • R1# configure terminal
  • R1(config)# ip access-list extended INCREMENTAL_SEQ
  • R1(config-ext-nacl)# no 40
  • R1(config-ext-nacl)# end
  • R1# show ip access-list INCREMENTAL_SEQ

10 permit ip 11.0.0.0 0.0.0.255 any
15 deny ip host 15.1.1.1 any
20 permit ip 22.0.0.0 0.0.0.255 any
30 permit ip 33.0.0.0 0.0.0.255 any
50 permit ip 55.0.0.0 0.0.0.255 any

Nu vill jag ha tillbaka den standard ordningen med mellanrum 10.

  • R1(config)# ip access-list resequence INCREMENTAL_SEQ 10 10
    R1(config)# end
    R1# show ip access-list INCREMENTAL_SEQ

10 permit ip 11.0.0.0 0.0.0.255 any
20 deny ip host 15.1.1.1 any
30 permit ip 22.0.0.0 0.0.0.255 any
40 permit ip 33.0.0.0 0.0.0.255 any
50 permit ip 55.0.0.0 0.0.0.255 any