URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18305
[ Назад ]

Исходное сообщение
"Не удалить access-list"
Отправлено Isvet , 25-Фев-09 15:41

Извени только начало разбираться в cisco. Документация и гугл не помогли.
Хочу удалить некоторые правила в sl_def_acl
Пишу
rr#>show access-list
Extended IP access list sl_def_acl1
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log
    40 permit ip any any log
rr#>conf t
rr(config)#>ip access-list extended sl_def_acl
rr(config)#>
Он все равно не заходит в правила
Пробую
rr(config)#>ip access-list extended sl_def_acl1
rr(config-ext-nacl)#>
Тут все заходит и можно редактировать правила.
Да еще вопрос как можно удалить весь sl_def_acl1, хоть он и пустой.

Содержание

Не удалить access-list,Andrei_V, 19:43 , 25-Фев-09
- Не удалить access-list,Isvet, 14:18 , 26-Фев-09
  - Не удалить access-list,Andrei_V, 14:55 , 26-Фев-09
    - Не удалить access-list,Isvet, 15:05 , 26-Фев-09
      - Не удалить access-list,Andrei_V, 12:21 , 27-Фев-09
Не удалить access-list,Maxim, 16:02 , 27-Фев-09
- Не удалить access-list,Isvet, 12:44 , 02-Мрт-09
  - Не удалить access-list,bokl, 12:59 , 02-Мрт-09
    - Не удалить access-list,Михаил, 20:41 , 07-Июл-09

Сообщения в этом обсуждении

"Не удалить access-list"
Отправлено Andrei_V , 25-Фев-09 19:43

>Хочу удалить некоторые правила в sl_def_acl
ИМХО "некоторые" не получится - удаляй весь Acl и создавай его заново уже без тех правил, которых хотел удалить.
>Да еще вопрос как можно удалить весь sl_def_acl1, хоть он и пустой.
>
rr(config)#>no ip access-list extended sl_def_acl1

"Не удалить access-list"
Отправлено Isvet , 26-Фев-09 14:18

>>Хочу удалить некоторые правила в sl_def_acl
>
>ИМХО "некоторые" не получится - удаляй весь Acl и создавай его заново
>уже без тех правил, которых хотел удалить.
Нечего не получаеться! Оно как заколдовано...
rr#show access-list
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log
    40 permit ip any any log
rr#config
rr(config)#no ip access-list extended sl_def_acl
rr#show access-list
Extended IP access list sl_def_acl
    10 deny tcp any any eq telnet log
    20 deny tcp any any eq www log
    30 deny tcp any any eq 22 log
    40 permit ip any any log
>>Да еще вопрос как можно удалить весь sl_def_acl1, хоть он и пустой.
>rr(config)#>no ip access-list extended sl_def_acl1
Спасибо помогло!

Может поможет
show hardware
Cisco IOS Software, 2800 Software (C2800NM-IPBASE-M), Version 12.3(8)T8, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Wed 06-Apr-05 16:46 by yiyan
ROM: System Bootstrap, Version 12.3(8r)T7, RELEASE SOFTWARE (fc1)
justice-ar00 uptime is 1 day, 17 hours, 12 minutes
System returned to ROM by reload at 22:09:13 MSK Tue Feb 24 2009
System restarted at 22:09:49 MSK Tue Feb 24 2009
System image file is "flash:c2800nm-ipbase-mz.123-8.T8.bin"
Cisco 2821 (revision 53.51) with 253952K/8192K bytes of memory.
Processor board ID FCZ092571DJ
4 FastEthernet interfaces
2 Gigabit Ethernet interfaces
DRAM configuration is 64 bits wide with parity enabled.
239K bytes of non-volatile configuration memory.
62720K bytes of ATA CompactFlash (Read/Write)
Configuration register is 0x2102

"Не удалить access-list"
Отправлено Andrei_V , 26-Фев-09 14:55

>Нечего не получаеться! Оно как заколдовано...
и
>Спасибо помогло!
Чему верить-то? :)

"Не удалить access-list"
Отправлено Isvet , 26-Фев-09 15:05

>>rr(config)#>no ip access-list extended sl_def_acl1
sl_def_acl1 название другое в конце 1. Эта правило было чистое! Оно нормально удалилось
>>rr(config)#no ip access-list extended sl_def_acl
А вот с правило "sl_def_acl" проблемы с ним нельзя удалить, очистить, редактировать.

"Не удалить access-list"
Отправлено Andrei_V , 27-Фев-09 12:21

>А вот с правило "sl_def_acl" проблемы с ним нельзя удалить, очистить, редактировать.
Как вариант - снимите его сначала с интерфейса, на котором acl установлен, а потом уже удаляйте/редактируйте.

"Не удалить access-list"
Отправлено Maxim , 27-Фев-09 16:02

Этот динамический лист результат применения login block-for.... и навешивается на vty после прописанного количества неуспешных попыток аутентификации

"Не удалить access-list"
Отправлено Isvet , 02-Мрт-09 12:44

>Как вариант - снимите его сначала с интерфейса, на котором acl установлен, а потом уже удаляйте/редактируйте.
Я что-то не вижу чтоб он висел хоть на каком та интерефейсе.
>Этот динамический лист результат применения login block-for.... и навешивается на vty после прописанного количества неуспешных попыток аутентификации
Что-то не вижу хоть слова про login block-for!

Вот полный кофиг!
show running-config
Building configuration...
Current configuration : 1776 bytes
!
! Last configuration change at 15:19:55 MSK Thu Feb 26 2009 by dvmi
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxxxxx
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxxxxxxxxxxxxxxxxxxx
!
username xx password x xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
clock timezone MSK 4
no network-clock-participate aim 0
no network-clock-participate aim 1
no aaa new-model
ip subnet-zero
!
!
no ip cef
!
!
ip domain name xxxxxx.xx
ip name-server xx.x.xx.xx
ip name-server xx.x.xx.xx
no ftp-server write-enable
!
!
!
!
interface GigabitEthernet0/0
description === EXTERNAL INTERFACE ===
ip address xxx.xx.xx.xxx 255.255.255.252
ip access-group 105 in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description === INTERNAL INTERFACE ===
ip address xx.xx.xx.xxx255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/0/0
no ip address
shutdown
!
interface FastEthernet0/0/1
no ip address
shutdown
!
interface FastEthernet0/0/2
no ip address
shutdown
!
interface FastEthernet0/0/3
no ip address
shutdown
!
interface Vlan1
no ip address
!
interface Group-Async1
physical-layer async
no ip address
!
ip classless
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
ip route xx.xx.xx.xx 255.255.255.248 xx.xxx.xx.xxx
no ip http server
!
!
logging trap notifications
logging facility local6
logging xx.xx.xxx.xx
!
control-plane
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login local
transport input telnet
line vty 5 15
privilege level 15
login local
transport input telnet
!
scheduler allocate 20000 1000
ntp clock-period 17179899
ntp update-calendar
ntp server xx.xxx.xx.xx
!
end
Только вот странно что access-list смотриться только когда вводишь команду! А в конфиги она не видна!

"Не удалить access-list"
Отправлено bokl , 02-Мрт-09 12:59

>[оверквотинг удален]
>!
>scheduler allocate 20000 1000
>ntp clock-period 17179899
>ntp update-calendar
>ntp server xx.xxx.xx.xx
>!
>end
>
>Только вот странно что access-list смотриться только когда вводишь команду! А в
>конфиги она не видна!
помоему это "троль"))))

"Не удалить access-list"
Отправлено Михаил , 07-Июл-09 20:41

http://blog.ioshints.info/2007/02/what-is-sldefacl-access-li...