読者です 読者をやめる 読者になる 読者になる

底辺エンジニアの備忘録

30過ぎて、記憶力低下が著しい為、メモ代わりにしていく予定。 自身のスキルが低いので、内容の正確さは保障できません・・・OTL

ACL編集

cisco

自分は割と当たり前だと思ってたけど、一緒に働いていて知らなかった人もいたのでメモ代わり

 

ACLは特に要件なければ名前付きIP アクセスリストが無難な気がします。

理由はACLの編集が出来るから。

 

例えば、10.1.1.1から192.168.1.1〜192.168.1.3への通信を許可する場合は・・・

100〜199の番号付きACLだと流し込んだ後は・・

Router(config)#do sho ip access-lists
Extended IP access list 100
    10 permit ip host 10.1.1.1 host 192.168.1.1
    20 permit ip host 10.1.1.1 host 192.168.1.2
    30 permit ip host 10.1.1.1 host 192.168.1.3

新規で作る分には問題ないけど、↑の状況で「192.168.1.2は削除したい」ってなったら・・・

「ACL100を削除してもっかい入れなおし」が発生。

 まぁ、「もっかい入れなおし」がアリならそれはそれでいいんですが、これが名前付きACLだと、編集が楽

Router(config)#do sho ip acce
Extended IP access list test
    10 permit ip host 10.1.1.1 host 192.168.1.1
    20 permit ip host 10.1.1.1 host 192.168.1.2
    30 permit ip host 10.1.1.1 host 192.168.1.3

 

この状態から・・・

Router(config)#ip access-list extended test
Router(config-ext-nacl)#no 20
Router(config-ext-nacl)#exi
Router(config)#ip access-list resequence test 10 10

Router(config)#do sho ip acce
Extended IP access list test
    10 permit ip host 10.1.1.1 host 192.168.1.1
    20 permit ip host 10.1.1.1 host 192.168.1.3
こっちだとACLの追加と削除は行番号指定でできるから便利

 

例えば帯域制御でclass-mapでmatchの指定がACLとかだと、削除してもっかい入れなおしは不便に思います・・・というか個人的にはあり得ない気がします。