HP ProCurve: Редактирование ACL |
Написал Ярослав Гасов | |
14.12.2011 | |
Для того чтобы вставить новое правило в ACL, необходимо указать в начале правила номер строки в которую необходимо вставить правило. Например, если есть ACL test с такими правилами: sw(config)# sh access-list config ip access-list extended "test" 10 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 20 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 30 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80 40 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389 exit
Если необходимо вставить правило между 20 и 30 правилами, то необходимо написать соответствующий номер перед добавляемым правилом: sw(config)# ip access-list extended test sw(config-ext-nacl)# 25 permit tcp any any eq 8080 Результат вставки правила: sw(config-ext-nacl)# sh access-list config ip access-list extended "test" 10 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 20 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 25 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 8080 30 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80 40 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389 Перенумерация правил в существующем ACLЕсли все правила в ACL идут по порядку и нет возможности вставить новое правило между существующими, то можно выполнить перенумерацию строк в ACL. Для этого используется команда: sw(config)# ip access-list resequence <имя-ACL> <номер первого правила> <шаг> Например, если есть ACL test с такими правилами (правила набраны просто для количества и могут быть неприменимы для реальных ситуаций): sw(config)# sh access-list config ip access-list extended "test" 1 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 2 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 3 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80 4 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389 5 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23 6 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 1234 7 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 443 8 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 443 9 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit
Пример перенумерации правил (первое правило будет с номером 10 и шаг будет 10): sw(config)# ip access-list resequence test 10 10
В результате ACL test теперь выглядит так: sw(config)# sh access-list config ip access-list extended "test" 10 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 20 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 30 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80 40 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389 50 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23 60 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 1234 70 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 443 80 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 443 90 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit Просмотр настроек ACL и счетчиков срабатыванияПросмотр настроек ACL в наиболее удобном виде: sw(config)# sh access-list config ip access-list extended "test" 20 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 30 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23 40 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 exit
Источник: http://xgu.ru/wiki/ProCurve_Security
|