Jump to content

Добавление в начало access-list (Cisco IOS)

zander
 Share

Recommended Posts

zander

zander

Posted
Posted

Есть

 

ip access-list extended RULE

deny ip x.x.x.x x.x.x.x any

deny ip y.y.y.y y.y.y.y any

permit ip any any

 

как вставить новое deny z.z.z.z z.z.z.z any в начало списка ?

SergeiK

SergeiK

Posted
Posted (edited)

Правильный метод - держишь tftp сервер. На нем держишь файл со всеми правилами

no ip access-list extended RULE

ip access-list extended RULE

deny ip x.x.x.x x.x.x.x any

deny ip y.y.y.y y.y.y.y any

permit ip any any

 

Редактируешь, как тебе надо, после чего copy tftp run.

 

Другой метод: если это правило не стоит на интерфейсе в твою сторону, то можно no access-list xxx

И заново в нужном порядке набираешь.

 

Если это правило стоит на интерфейсе в твою сторону, то надо его сначало снять, или же первой строкой поставить - пускать меня с моего IP.

Иначе потеряешь связь и привет!

Edited by SergeiK
zander

zander

Posted
  • Author
Posted
Правильный метод - держишь tftp сервер. На нем держишь файл со всеми правилами

no ip access-list extended RULE

ip access-list extended RULE

deny ip x.x.x.x x.x.x.x any

deny ip y.y.y.y y.y.y.y any

permit ip any any

 

Редактируешь, как тебе надо, после чего copy tftp run.

 

Другой метод: если это правило не стоит на интерфейсе в твою сторону, то можно no access-list xxx

И заново в нужном порядке набираешь.

 

Если это правило стоит на интерфейсе в твою сторону, то надо его сначало снять, или же первой строкой поставить - пускать меня с моего IP.

Иначе потеряешь связь и привет!

 

А просто вставить никак значит ?

olebedev

olebedev

Posted
Posted

Нет, даже это не совсем правильный метод, сначала надо снять этот самый access-list с порта на который он назначен, а уже затем делать no ip access-list и далее по списку...

tankistua

tankistua

Posted
Posted
Иначе потеряешь связь и привет!
Для того, чтобы не было подобных казусов есть правильная команда - reload

 

пишешь в консоли reload 30

 

и если ты в течение 30 минут не наберешь reload cancel то маршрутизатор сам перегрузиться.

Применение думаю понятно какое.

 

 

Касательно темы - удалить лист, заполнить заново. Либо тфтп весь конфиг и копировать его в стартап, а не в ранниг. Иначе может получиться адская смесь, потому что конфиги циска пытается объединить по возможности. Иногда получается не очень красиво.

ram_scan

ram_scan

Posted
Posted
Для того, чтобы не было подобных казусов есть правильная команда - reload

пишешь в консоли reload 30

Ох уж эти ребутофилы. Отучаться от винды надо. Тут правильно уже сказали, снять акцесс лист с интерфейса, грохнуть его и вколотить любым доступным способом заново. Тем более что copy-paste еще никто не отменил.

 

А рутер бутается больше минуты.

Vicus

Vicus

Posted
Posted

ip access-list extended RULE

dynamic TEST1 deny ip any any

deny ip x.x.x.x x.x.x.x any

deny ip y.y.y.y y.y.y.y any

permit ip any any

 

Далее чтобы добавить:

либо из консоли циски, либо через rsh

access-template RULE TEST1 z.z.z.z z.z.z.z any

 

Чтобы удалить:

clear access-template RULE TEST1 z.z.z.z z.z.z.z any

 

Удобно тем, что можно добавлять удалять правила не перегружая весь access-list.

zander

zander

Posted
  • Author
Posted
ip access-list extended RULE

dynamic TEST1 deny ip any any

deny ip x.x.x.x x.x.x.x any

deny ip y.y.y.y y.y.y.y any

permit ip any any

 

Далее чтобы добавить:

либо из консоли циски, либо через rsh

access-template RULE TEST1 z.z.z.z z.z.z.z any

 

Чтобы удалить:

clear access-template RULE TEST1 z.z.z.z z.z.z.z any

 

Удобно тем, что можно добавлять удалять правила не перегружая весь access-list.

А при hardreset'е они выживут ? Или wr mem постоянно слать ?

UglyAdmin

UglyAdmin

Posted
Posted

Когда он ip access-list extended <NAME>, его можно редактировать построчно.

типа

#sh access-list <NAME>

Extended IP access list <NAME> (Compiled)

10 deny ip x.x.x.x x.x.x.x any

20 deny ip y.y.y.y y.y.y.y any

30 permit ip any any

#conf t

(config)#ip access-list extended <NAME>

(config-ext-nacl)#5 deny ip z.z.z.z z.z.z.z any

 

 

Также можно удалять отдельные строки по номеру

(config-ext-nacl)#no 10

 

RTFM, короче :)

Vicus

Vicus

Posted
Posted
А при hardreset'е они выживут ? Или wr mem постоянно слать ?
Нет, это удобно лишь в том случае если часто удаляются-вставляются однотипные правила, например из скрипта какого-нить. Но и хардресет это уже почти авария в моем понимании, у меня аптаймы по несколько месяцев...

 

Когда он ip access-list extended <NAME>, его можно редактировать построчно.

типа

#sh access-list <NAME>

Extended IP access list <NAME> (Compiled)

10 deny ip x.x.x.x x.x.x.x any

20 deny ip y.y.y.y y.y.y.y any

30 permit ip any any

#conf t

(config)#ip access-list extended <NAME>

(config-ext-nacl)#5 deny ip z.z.z.z z.z.z.z any

 

Также можно удалять отдельные строки по номеру

(config-ext-nacl)#no 10

 

RTFM, короче :)

И опять же в случае удаленной заливки возвращаемся к ненавидимому мною способом: rcp file user@cisco:running-config :( А все из-за conf t
olebedev

olebedev

Posted
Posted

Способ со снятием с интерфейса и заливкой заново и затем установкой на интерфейс кстати рекомендован самой Сisco они так в CiscoWorks делают

zander

zander

Posted
  • Author
Posted
Способ со снятием с интерфейса и заливкой заново и затем установкой на интерфейс кстати рекомендован самой Сisco они так в CiscoWorks делают

dynamic ведь они тоже не просто так придумали

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.