URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16760
[ Назад ]
Исходное сообщение
"Исправление ACL на CISCO"
Отправлено alptv , 21-Июл-08 19:14 
Добрый день.
Подскажите, как правельно и удобнее всего (с помощью чего) править ACL в конфиге на CISCO.
  А то бывает нужно добавить строчку и её нужно поднять например повыше, а приходится весь лист снимать, а потом сного писать уже изменённый.
Спасибо.
Содержание
Сообщения в этом обсуждении
"Исправление ACL на CISCO"
Отправлено SergTel , 21-Июл-08 20:26 
>Добрый день.
>Подскажите, как правельно и удобнее всего (с помощью чего) править ACL в
>конфиге на CISCO.
>  А то бывает нужно добавить строчку и её нужно поднять
>например повыше, а приходится весь лист снимать, а потом сного писать
>уже изменённый.
>Спасибо.

Если именнованный список то можешь добавить строчку с указанием номера строки

"Исправление ACL на CISCO"
Отправлено Mike , 02-Сен-08 15:18 
>Добрый день.
>Подскажите, как правельно и удобнее всего (с помощью чего) править ACL в
>конфиге на CISCO.
>  А то бывает нужно добавить строчку и её нужно поднять
>например повыше, а приходится весь лист снимать, а потом сного писать
>уже изменённый.
>Спасибо.

RouterX# conf t
RouterX(config)#ip access-list standard(extended)name
а далее вводишь строку листа с номером например
RouterX(config-std-nacl)#15 permit 10.5.5.5 0.0.0.255
только надо посмотреть сначала лист


RouterX(config)# show ip access-list

"Исправление ACL на CISCO"
Отправлено AlexDv , 02-Сен-08 16:20 
>Добрый день.
>Подскажите, как правельно и удобнее всего (с помощью чего) править ACL в
>конфиге на CISCO.
>  А то бывает нужно добавить строчку и её нужно поднять
>например повыше, а приходится весь лист снимать, а потом сного писать
>уже изменённый.
>Спасибо.

Сделать файл на компьютере

no access-list 109
access-list 109 permit tcp any any eq www
access-list 109 deny ip any any
end

и копировать его в running-config по tftp или rcp

"Исправление ACL на CISCO"
Отправлено harrytv , 02-Сен-08 19:27 
>[оверквотинг удален]
>>Спасибо.
>
>Сделать файл на компьютере
>
>no access-list 109
>access-list 109 permit tcp any any eq www
>access-list 109 deny ip any any
>end
>
>и копировать его в running-config по tftp или rcp

Уважаю ...


"Исправление ACL на CISCO"
Отправлено uone , 22-Сен-08 10:31 
+восторг )
"Исправление ACL на CISCO"
Отправлено harrytv , 02-Сен-08 19:23 
>Добрый день.
>Подскажите, как правельно и удобнее всего (с помощью чего) править ACL в
>конфиге на CISCO.
>  А то бывает нужно добавить строчку и её нужно поднять
>например повыше, а приходится весь лист снимать, а потом сного писать
>уже изменённый.
>Спасибо.

1. sh run
2. вырезаешь кусок со своим ACL в буфер
3. Открываешь notepad, буфер в него.
4. правишь, результат в буфер
5. conf t
6. no access-list XX
7. вставить в терминал из буфера

Файл из блокнота сохрани с именем ACL - пригодится.
Если ACL висит на интерфейсе к которому ты подключен, возможны грабли, т.к.
ввод идет построчно,последняя строка deny any any, а отвязывать от интерфейса лениво  (отвалишься - поймешь)


  


"Исправление ACL на CISCO"
Отправлено Сергей , 08-Сен-08 10:54 
вопрос такой , а можно ACL менять через SNMP или еще как-нибудь
(существуют ли еще варианты авторизации или управления доступом, не считая VDPN с радиусом) и при заливке по тфтп, нужен весь конфиг или токлько необходимые строчки ?

"Исправление ACL на CISCO"
Отправлено harrytv , 09-Сен-08 11:48 
>вопрос такой , а можно ACL менять через SNMP или еще как-нибудь
>

Можно, ищи в форуме snmp и config ...

"Исправление ACL на CISCO"
Отправлено Сергей , 22-Сен-08 02:08 
>>вопрос такой , а можно ACL менять через SNMP или еще как-нибудь
>>
>
>Можно, ищи в форуме snmp и config ...

Обрыл все, нашел только как менять с помощью заливки по tftp кусочек конфига с
access-list.

Хотелось менять напрямую через SNMP, но я так понял это невозможно ?

"Исправление ACL на CISCO"
Отправлено harrytv , 22-Сен-08 12:05 
>[оверквотинг удален]
>>>
>>
>>Можно, ищи в форуме snmp и config ...
>
>Обрыл все, нашел только как менять с помощью заливки по tftp кусочек
>конфига с
>access-list.
>
>Хотелось менять напрямую через SNMP, но я так понял это невозможно ?
>

Насколько я знаю, только заливка по tftp. А чем плох такой вариант?


"Исправление ACL на CISCO"
Отправлено Logix , 22-Сен-08 21:26 
>[оверквотинг удален]
>>
>>Обрыл все, нашел только как менять с помощью заливки по tftp кусочек
>>конфига с
>>access-list.
>>
>>Хотелось менять напрямую через SNMP, но я так понял это невозможно ?
>>
>
>Насколько я знаю, только заливка по tftp. А чем плох такой вариант?
>

На самом деле полно софта, что это умеет делать, причём разного от профессионального и для разного железа  до самописного. Но как бы хорош этот софт не был - всё равно придёшь обратно к методам изменения ACL указанным в верхних постах. (;-))


"Исправление ACL на CISCO"
Отправлено Сергей , 22-Сен-08 21:35 
>[оверквотинг удален]
>>>Хотелось менять напрямую через SNMP, но я так понял это невозможно ?
>>>
>>
>>Насколько я знаю, только заливка по tftp. А чем плох такой вариант?
>>
>
>На самом деле полно софта, что это умеет делать, причём разного от
>профессионального и для разного железа  до самописного. Но как бы
>хорош этот софт не был - всё равно придёшь обратно к
>методам изменения ACL указанным в верхних постах. (;-))

Да вопрос собсно в том, что если будет много правил,
скажем около 10-ка тыс., при заливке через тфтп не будет пропадать связь ?

"Исправление ACL на CISCO"
Отправлено Andrew , 23-Сен-08 11:17 
>Да вопрос собсно в том, что если будет много правил,
>скажем около 10-ка тыс., при заливке через тфтп не будет пропадать связь
>?

А есть еще другая рекомендация от пропадания связи - снимать предварительно ACL с интерфейса, а после изменения конфигурации обратно ставить.