ACL modifiering

ACL poster är sekventiellt numrerade. Hur ändras ordningen när man lägger ett nytt villkor i samma ACL?

När ACL skapas på en router numreras alla villkor sekventiellt, helt automatiskt. Till exempel att modifiera den felaktiga IP-adressen 19.168.10.10 till 192.168.10.10:

  • R1# show access-list
  • Standard IP access list 1
    • 10 deny 19.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255
  • R1#conf t
  • R1(config)# ip access-list standard 1
  • R1(config-std-nacl)# no 10
  • R1(config-std-nacl)# 10 deny host 192.168.10.10
  • R1(config-std-nacl)# end
  • R1# show access-lists
    • Standard IP access list 1
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255

Antag att samma ACL är namngiven NO-ACCESS och att host 192.168.10.5 ska också nekas åtkomst. Om man lägger till en ny post i den befintliga access-list 1 kommer posten att läggas sist och då blir det fel eftersom posten är efter att man tillåter allt trafik:

  • R1# show access-list
  • Standard IP access list NO-ACCESS
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255
    • 30 deny 192.168.10.5

Vi vill ändra den ordningen så att den tredje raden ändras till rad 2 och får en numerisk identifikation som 15.

  • R1(config)# ip access-list standard NO-ACCESS
  • R1(config-std-nacl)# 15 deny 192.168.10.5
  • R1(config-std-nacl)# end
  • R1# show access-lists
  • Standard IP access list NO-ACCESS
    • 15 deny 192.168.10.5
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255

Observera att den nya villkoren visas först och detta ordnas med en hashing-algoritm som inte tas upp här. Det som är viktig är att villkoret placeras före permit-raden.

ACL statistiks

Observera att resultatet av kommandoexekvering show access-list kan visa matchningar. Detta är användbart vid felsökningar, men om man vill nollställa statistiken får man använda kommandot clear access-list counters NO-ACCESS.

  • R1# show access-lists
  • Standard IP access list NO-ACCESS
    • 10 deny 192.168.10.10  (30 matches)
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255  (64 matches)
  • R1# clear access-list counters NO-ACCESS
  • R1# show access-lists
  • Standard IP access list NO-ACCESS
    • 10 deny 192.168.10.10
    • 20 permit 192.168.10.0, wildcard bits 0.0.0.255