ルータを停止せずにCisco IOS ACLを編集する

7

Ciscoルータ1941シリーズを使用していますが、ルータのアクセスリストにいくつか変更を加えたいです。リストの1つを削除し、最後に拒否するものを記載しながら、追加したものを含めてすべてを再度追加する必要があることを知りました。削除するとうまくいきましたが、追加すると最初のステートメントの後でハングします。また、コードを一度に貼り付けようとすると、ハングアップします。

ファイルをtftpにコピーして編集し、元に戻しました。証明書の署名側でエラーが発生し、いくつかの不満が出ました。ACLで問題を解決するにはどうすればよいですか?

[編集]

現在、これは私が持っているものです、

interface GigabitEthernet0/0
 description ### WAN INTERFACE ###
 ip address xxx.xxx.xxx.xxx 255.xxx.xxx.xxx
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 duplex full
 speed 100
 no cdp enable
!
interface GigabitEthernet0/1
 description ### LAN INTERFACE ###
 no ip address
 ip flow ingress
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.1
 description ### 1st FLR NETWORK ###
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.255.0
 ip access-group 110 in
 ip accounting output-packets
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
!
interface GigabitEthernet0/1.2
 description ### GROUND FLR NETWORK ###
 encapsulation dot1Q 2
 ip address 192.168.2.1 255.255.255.0
 ip access-group 110 in
 ip accounting output-packets
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip flow-export source GigabitEthernet0/1
ip flow-export version 9
ip flow-export destination 192.168.1.120 9996
ip flow-top-talkers
 top 10
 sort-by bytes
!
ip nat source static 192.168.1.19 interface Loopback100
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 xxx.vvv.vvv.vvv
!
ip access-list standard NAT
 permit 192.168.1.0 0.0.0.255
 permit 192.168.2.0 0.0.0.255
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
access-list 110 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
access-list 110 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
access-list 110 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit udp any any
access-list 110 permit ip any any

そして、それに追加したいと思います...このように...

access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
access-list 110 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
access-list 110 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
cisco  router  cisco-ios  troubleshooting  acl 
オランレワジュ・オルコシ
ソース
尋ねていただきありがとうございます; 質問に詳細を追加することを検討してください。少なくとも、元のACL、それが適用されているインターフェイス、および上記の失敗した試行ごとに変更する方法の詳細を確認する必要があります
マイクペニントン2014年
変更したいのは、192.168.2の192.168.1.222と192.168.1.120へのアクセスを許可することです。監視のためにそれぞれのサーバーにデータをプルします。だから私はすべてを削除するためにリストの一部を削除しようとしました、そしてそれを追加すると、誰でも、それがハングし、ルーターを再起動しなければなり
ません
ACLを再編成できましたか?それでも支援が必要ですか?もしそうなら、NEチャットに参加して、私がどのように支援できるかを知らせてください
マイクペニントン14年

回答:

16

ルーターがハングする理由は、ACLが適用されているのと同じインターフェイスを介してACLを編集しているためです。通常何が起こるかは、誤って自分をブロックしてしまうことです。

ほとんどの人はこの最初のセクション(ACLを変更する最も簡単な方法)に興味があるでしょうが、私はこの回答の最後でACLを再編成することを提案していることに注意してください。

Cisco IOS ACLを変更する最も簡単な方法

新しいCisco IOSイメージ(Cisco 1941のイメージなど)はIPアクセスリストの行番号をサポートしています。つまり、ACLを削除せずに変更できます...

元のACL 110の例を使用しますが、前述のとおり、ACLを2つの異なるACLに再編成することを検討する必要があります。

ステップ1、ACL 110はすでにルータ上にあります

LAB_RTR#sh access-list 110
Extended IP access list 110
    10 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
    20 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
    30 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
    40 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
    50 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    60 permit udp any any
    70 permit ip any any

シスコがACL 110に自動的に追加した行番号をメモします。denyステートメントのため、行50の前にACLエントリを追加する必要があることに注意してください。

ステップ2、ACL 110を新しいエントリで修正し、40行目から開始します

LAB_RTR#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
LAB_RTR(config)#ip access-list extended 110
LAB_RTR(config-ext-nacl)#41 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
LAB_RTR(config-ext-nacl)#42 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
LAB_RTR(config-ext-nacl)#43 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
LAB_RTR(config-ext-nacl)#44 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
LAB_RTR(config-ext-nacl)#end
LAB_RTR#
LAB_RTR#
LAB_RTR#
LAB_RTR#sh access-list 110
Extended IP access list 110
    10 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
    20 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
    30 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
    40 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
    41 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
    42 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
    43 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
    44 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
    50 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    60 permit udp any any
    70 permit ip any any
LAB_RTR#

ステップ3、ACLを自動的に再番号付けします

シスコは設定を再番号付けする方法も提供しているため、自動行番号は便利です...

LAB_RTR#conf t
LAB_RTR(config)#! Renumber ACL 110, from line 10... increment in steps of 10
LAB_RTR(config)#ip access-list resequence 110 10 10
LAB_RTR(config)#end
LAB_RTR#

LAB_RTR#sh access-list 110
Extended IP access list 110
    10 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
    20 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
    30 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
    40 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
    50 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
    60 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
    70 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
    80 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
    90 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    100 permit udp any any
    110 permit ip any any
LAB_RTR#

Cisco IOS ACLを変更する元の方法

元々、ACLを変更する最も安全な方法は、問題のインターフェースからACLを削除することでした(これにより、ACLが適用されたのと同じインターフェースを介してACLを変更する場合の問題が回避されました)。

IOSがIPアクセスリストの行番号付けをサポートしていない場合は、この手法を使用します。

interface GigabitEthernet0/1.1
 no ip access-group 110 in
!
interface GigabitEthernet0/1.2
 no ip access-group 110 in

これで新しいACL行を追加できますが、他のエントリが許可する前に追加してください...

! Reset the ACL
no access-list 110
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
access-list 110 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
access-list 110 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
!! New ACL lines before the deny statement
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
access-list 110 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
access-list 110 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
!! Deny statement
access-list 110 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit udp any any
access-list 110 permit ip any any

最後に、スイッチにACLを再適用します...

interface GigabitEthernet0/1.1
 ip access-group 110 in
!
interface GigabitEthernet0/1.2
 ip access-group 110 in

ACLの再編成

Gigabit0 / 1.1とGigabitEthernet0 / 1.2に2つの異なるACLを使用することを検討する必要があります...これはあなたが何をしようとしているのか推測ですが、私が正しく解釈していることは明らかではありません...

access-list 111 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
access-list 111 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
access-list 111 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
access-list 111 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
access-list 111 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 111 permit udp any any
access-list 111 permit ip any any
!
interface GigabitEthernet0/1.1
 no ip access-group 110 in
 ip access-group 111 in
!
interface GigabitEthernet0/1.2
 no ip access-group 110 in
マイク・ペニントン
ソース
これは本当に私を救ったので、どうもありがとう。これは私の印刷ドキュメントに追加されます。本当に、ACLの再編成にもっと光を当てることができますか?長期的にはそれが役立つようです。
Olanrewaju Olukosi 2014年
たぶん今夜はこのことについて話をすることができるでしょう。今は仕事の準備を始めなければなりません。短い要約は、すべてのパケットの進入をブロックしようとすることです(私があなたが何をしているかに基づいて)。各ACLを作成して、そのサブネットから送信され、他のサブネットに送信されるパケットのみをブロックします。それは私が答えのACL再編成部分でやろうとしたことですが、私はあなたの意図について仮定をしなければなりませんでした... ACL 111はGi0 / 1.1からのトラフィックの進入のみを考慮します。
マイクペニントン2014年
1
そのため、XRまたはジュニパーで "Commit"コマンドを実行できるのは素晴らしいことです:)
Alex
1
@ Alex、fyi ... tftpまたはeem構成はciscoで最も近いものです...私は、eemを使用して、ロックアウトされることが懸念され、通常の構成ロールバック機能を使用できないといういくつかの不愉快な状況を解決しました
マイクペニントン2014年
1
ACLにも名前を付けることができ、おそらくそうする必要があります。
LapTop006 2014年
0

「最初のステートメントが有効になり、その後に続く暗黙の拒否ステートメントがすぐにアクセスの問題を引き起こす可能性がある」ため、貼り付け時にハングする可能性があります。

IPアクセスリストの作成に役立つヒント ¹

•インターフェイスに適用する前にアクセスリストを作成します。空のアクセスリストが適用されたインターフェイスは、すべてのトラフィックを許可します。

•アクセスリストを適用する前に設定するもう1つの理由は、存在しないアクセスリストをインターフェイスに適用してから、アクセスリストの設定に進むと、最初のステートメントが有効になり、その後に続く暗黙の拒否ステートメントにより、即時アクセスの問題。

¹ ソースCisco

ロニー・ロイストン
ソース
-1

ACLは、プロセッササイクルを節約するために、実装後に調整する必要があります。ルーターは、条件の1つに一致するまでACLの各行を処理する必要があります。そうしないと、すべてのACLの最後にある暗黙の「deny any」に常に一致します。showコマンドを使用して、各ACLステートメントのヒットを確認します。最もヒットする行がACLで高くなるようにステートメントを並べ替えます。メモ帳を使用してACLを書き換えます。

engweb.info
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.