CiscoのACL編集における小技「ip access-list extended」コマンド

 15, 2009 20:00
ip access-list extendedを使ってACLを編集する方法です。

編集する場合。まず「show ip access-list」でACLが編集可能であるか確認をします。


■古いIOSの場合
#sh access-lists
Extended IP access list 100
permit ip 192.168.254.0 0.0.0.255 host 10.1.1.1
permit ip 192.168.254.0 0.0.0.255 host 10.2.1.1
・・・
と表記され、permit の前に行番号が表示されません。
この場合は残念ながら既存ACL100自体を編集する事ができないので、ACLを新たに作成する必要があります。


■新しいIOSの場合
#sh access-lists
Extended IP access list 100
10 permit ip 192.168.254.0 0.0.0.255 host 10.1.1.1
20 permit ip 192.168.254.0 0.0.0.255 host 10.2.1.1
・・・
と表記され、permit/dneyの前に行番号が表示されます。
この場合、「ip access-list extended」コマンドで編集が可能です。

ACL100を編集する場合
# ip access-list extended 100
(conifg-ext-nacl)#

特定行を削除する場合、sh access-listsで確認した行番号を下記の要領で指定します。
(conifg-ext-nacl)#no 10
(conifg-ext-nacl)#no 20

このように「no 行番号」で指定した行が削除されます。


行を挿入する場合
「行番号 permit/deny?」で挿入が可能です。
行10より前に挿入したい場合は10より若い番号を、行10と20の間に挿入したい場合は11?19の中から指定します。

(conifg-ext-nacl)#1 permit ip 192.168.254.0 0.0.0.255 host 10.1.0.1
(conifg-ext-nacl)#15 deny ip 192.168.254.0 0.0.0.255 host 10.1.1.2


この方法で行の追加削除を行った場合、sh access-lists で表示される行番号が連番ではなくなってしまい、見難くなります。
そこで以下のコマンドで行番号を揃える事が可能です。

(config)#ip access-list resequence 100 10 10
ip access-list resequence ACL番号 行の開始番号 行の加算値 となります。

こちらの操作は見栄えだけの問題ですので、必ずしも必要ではありません。
ただし行番号が1、2、3・・・と連番になっている状態で、2と3の間にACLを新たに挿入したいという要件が発生した場合は必要な作業となります。

Tag:ACL


COMMENT 0


WHAT'S NEW?