ACL hantering

Hur numreras raderna i åtkomstlistorna? Hur ändras ordningen när man lägger ett nytt villkor i samma ACL? Det beror på konfigurationssätt:

I klassiskt arbetssätt får vi bara lägga till nytt villkor i slutet av ett ACL. Det säger själv att vi inte kan lägga till en ny rad i mitten av listan. Till exempel ACL 10, 20, 30, 40 och 50. Om vi skulle ha en ACL numrerad med 15 är inte tillåtet. Det enda sättet att göra det är att radera befintlig ACL och skapa ny ACL med modifieringen. I modernt arbetssätt kan vi lägga till nya villkor i ACL varhelst utan att återskapa en ny ACL.
I klassiskt arbetssätt får vi inte ta bort ett villkor från ACL. Det enda sättet att ta bort ett villkor, som är bland andra, är det att radera hela ACL och återskapa det som nytt. I modernt arbetssätt kan vi radera vilken villkor som helst från ACL.
Modernt arbetssätt använder sekvensnummer för villkor som vi skapar. Med dessa sekvensnummer kan vi ändra i en befintlig ACL utan att återskapa den.

Obs! Oavsett metoden vi använder för att skapa en standard ACL, kommer tillämpningsprocessen att vara densamma.

Till exempel konfigureras en numrerad standard ACL som tillåter host 192.168.1.2 åtkomst till insidan och nekar till alla andra.

  • Router(config)# acces-list 10 permit host 192.168.1.2
  • Router(config)# acces-list 10 deny any
  • Router(config)# end
  • Router# show access-lists
    • Standard IP access list 10
    • 10 permit 192.168.1.2
    • 20 deny any

Första raden numreras med 10 och den andra med 20. Nu behöver man klistra in en ny villkor i åtkomstlista 10 som inkluderar hosten 192.168.1.5 efter den första raden:

  • Router(config)# ip access-list standard 10
  • Router(config-std-acl)# 15 permit host 192.168.1.5
  • Router(config-std-acl)# end
  • Router# show access-lists
    • Standard IP access list 10
    • 10 permit 192.168.1.2
    • 15 permit 192.168.1.5
    • 20 deny any log

Lyckad konfiguration men nu vill man ta bort den rad numrerad som 15.

  • Router(config)# ip access-list standard 10
  • Router(config-std-acl)# no 15
  • Router(config-std-acl)# end
  • Router# show access-lists
    • Standard IP access list 10
    • 10 permit 192.168.1.2
    • 20 deny any log

Nu vill man istället ändra nummer på raderna genom att ersätta de med 100 och 110:

  • Router(config)# ip access-list resequence 10 100 10
  • Router(config)# end
  • Router# show access-lists
    • Standard IP access list 10
    • 100 permit 192.168.1.2
    • 110 deny any log