Chỉnh sửa Cisco IOS ACL mà không cần treo bộ định tuyến


7

Tôi có Sê-ri Bộ định tuyến 1941 của Cisco và tôi muốn thực hiện một số thay đổi đối với danh sách truy cập trên bộ định tuyến. Tôi đã biết rằng tôi sẽ phải xóa một trong danh sách và sau đó thêm lại mọi thứ với những cái bổ sung của tôi trong khi nêu rõ những từ chối ở cuối danh sách. Khi gỡ bỏ, nó đã hoạt động tốt nhưng khi thêm vào, nó bị treo sau câu lệnh đầu tiên. Và bất cứ khi nào tôi thử dán mã cùng một lúc, nó cũng bị treo.

Tôi đã thử sao chép tệp vào tftp, thực hiện một số chỉnh sửa và sau đó đưa nó trở lại, tôi gặp một số lỗi với phía ký chứng chỉ của nó khiến một số khiếu nại .. Làm cách nào tôi có thể giải quyết vấn đề với ACL?

[Biên tập]

Hiện tại, đây là những gì tôi có,

interface GigabitEthernet0/0
 description ### WAN INTERFACE ###
 ip address xxx.xxx.xxx.xxx 255.xxx.xxx.xxx
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 duplex full
 speed 100
 no cdp enable
!
interface GigabitEthernet0/1
 description ### LAN INTERFACE ###
 no ip address
 ip flow ingress
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.1
 description ### 1st FLR NETWORK ###
 encapsulation dot1Q 1 native
 ip address 192.168.1.1 255.255.255.0
 ip access-group 110 in
 ip accounting output-packets
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
!
interface GigabitEthernet0/1.2
 description ### GROUND FLR NETWORK ###
 encapsulation dot1Q 2
 ip address 192.168.2.1 255.255.255.0
 ip access-group 110 in
 ip accounting output-packets
 ip flow ingress
 ip nat inside
 ip virtual-reassembly
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip flow-export source GigabitEthernet0/1
ip flow-export version 9
ip flow-export destination 192.168.1.120 9996
ip flow-top-talkers
 top 10
 sort-by bytes
!
ip nat source static 192.168.1.19 interface Loopback100
ip nat inside source list NAT interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 xxx.vvv.vvv.vvv
!
ip access-list standard NAT
 permit 192.168.1.0 0.0.0.255
 permit 192.168.2.0 0.0.0.255
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
access-list 110 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
access-list 110 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
access-list 110 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit udp any any
access-list 110 permit ip any any

Và tôi muốn thêm những cái khác vào nó ... như thế này ...

access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
access-list 110 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
access-list 110 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255

Cảm ơn bạn đã hỏi thăm; vui lòng xem xét thêm chi tiết cho câu hỏi. Tối thiểu, chúng ta cần xem ACL ban đầu, (các) giao diện nào được áp dụng và chi tiết về cách bạn thay đổi nó cho mỗi lần thử thất bại ở trên.
Mike Pennington

Những thay đổi tôi muốn thực hiện là cấp quyền truy cập cho 192.168.1.222 và 192.168.1.120 trên 192.168.2. mạng để họ kéo dữ liệu đến các máy chủ tương ứng để theo dõi. Vì vậy, tôi đã cố gắng xóa một phần của danh sách để xóa mọi thứ và thêm vào đó, bất cứ ai, nó bị treo và tôi phải khởi động lại bộ định tuyến
Olanrewaju Olukosi

Bạn có thể sắp xếp lại ACL của mình không? Bạn vẫn cần hỗ trợ? Nếu vậy, vui lòng tham gia trò chuyện NE và cho tôi biết làm thế nào tôi có thể hỗ trợ
Mike Pennington

Câu trả lời:


16

Lý do bộ định tuyến của bạn bị treo là do bạn đang chỉnh sửa ACL thông qua cùng giao diện mà nó được áp dụng. Thông thường những gì xảy ra là bạn vô tình chặn mình.

Lưu ý rằng tôi đưa ra đề xuất sắp xếp lại ACL của bạn ở cuối câu trả lời này, mặc dù hầu hết mọi người sẽ quan tâm đến phần đầu tiên này (cách dễ nhất để thay đổi ACL).


Cách dễ nhất để thay đổi ACL Cisco IOS

Hình ảnh Cisco IOS mới hơn (chẳng hạn như hình ảnh trên Cisco 1941) hỗ trợ đánh số dòng danh sách truy cập IP , có nghĩa là bạn có thể sửa đổi ACL của mình mà không cần xóa ...

Tôi sẽ sử dụng ví dụ về ACL 110 ban đầu của bạn, mặc dù như tôi đã đề cập, bạn thực sự nên xem xét sắp xếp lại ACL của mình thành hai ACL khác nhau.

Bước 1, ACL 110 đã có trên bộ định tuyến :

LAB_RTR#sh access-list 110
Extended IP access list 110
    10 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
    20 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
    30 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
    40 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
    50 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    60 permit udp any any
    70 permit ip any any

Lưu ý các số dòng mà Cisco tự động thêm vào ACL 110. Hãy nhớ rằng bạn cần thêm các mục ACL trước dòng 50, do tuyên bố từ chối.

Bước 2, Sửa đổi ACL 110 tại chỗ với các mục mới, bắt đầu sau dòng 40 :

LAB_RTR#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
LAB_RTR(config)#ip access-list extended 110
LAB_RTR(config-ext-nacl)#41 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
LAB_RTR(config-ext-nacl)#42 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
LAB_RTR(config-ext-nacl)#43 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
LAB_RTR(config-ext-nacl)#44 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
LAB_RTR(config-ext-nacl)#end
LAB_RTR#
LAB_RTR#
LAB_RTR#
LAB_RTR#sh access-list 110
Extended IP access list 110
    10 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
    20 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
    30 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
    40 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
    41 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
    42 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
    43 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
    44 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
    50 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    60 permit udp any any
    70 permit ip any any
LAB_RTR#

Bước 3, Tự động đánh số lại ACL :

Số dòng tự động là tốt, bởi vì Cisco cũng cung cấp cho bạn một cách để đánh số lại cấu hình ...

LAB_RTR#conf t
LAB_RTR(config)#! Renumber ACL 110, from line 10... increment in steps of 10
LAB_RTR(config)#ip access-list resequence 110 10 10
LAB_RTR(config)#end
LAB_RTR#

LAB_RTR#sh access-list 110
Extended IP access list 110
    10 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
    20 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
    30 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
    40 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
    50 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
    60 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
    70 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
    80 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
    90 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
    100 permit udp any any
    110 permit ip any any
LAB_RTR#

Cách ban đầu để thay đổi ACL Cisco IOS

Ban đầu, cách an toàn nhất để thay đổi ACL của bạn là xóa nó khỏi các giao diện được đề cập (điều này đã ngăn chặn sự cố nếu bạn thay đổi ACL thông qua cùng giao diện mà nó được áp dụng).

Sử dụng kỹ thuật này nếu IOS của bạn không hỗ trợ đánh số dòng danh sách truy cập IP :

interface GigabitEthernet0/1.1
 no ip access-group 110 in
!
interface GigabitEthernet0/1.2
 no ip access-group 110 in

Bây giờ bạn có thể thêm các dòng ACL mới, nhưng thực hiện trước khi các mục khác cho phép bất kỳ mục nào ...

! Reset the ACL
no access-list 110
!
access-list 110 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
access-list 110 permit ip host 192.168.2.44 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.18
access-list 110 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
!! New ACL lines before the deny statement
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.120
access-list 110 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
access-list 110 permit ip 192.168.2.0 0.0.0.255 host 192.168.1.222
access-list 110 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
!! Deny statement
access-list 110 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 permit udp any any
access-list 110 permit ip any any

Cuối cùng, áp dụng lại ACL cho công tắc ...

interface GigabitEthernet0/1.1
 ip access-group 110 in
!
interface GigabitEthernet0/1.2
 ip access-group 110 in

Tổ chức lại ACL

Bạn thực sự nên cân nhắc sử dụng hai ACL khác nhau cho Gigabit0 / 1.1 và GigabitEthernet0 / 1.2 ... đây là dự đoán về những gì bạn đang cố gắng thực hiện, nhưng không rõ là tôi đang diễn giải chính xác mọi thứ ...

access-list 111 permit ip 192.168.1.0 0.0.0.255 host 192.168.2.44
access-list 111 permit ip host 192.168.1.18 192.168.2.0 0.0.0.255
access-list 111 permit ip host 192.168.1.120 192.168.2.0 0.0.0.255
access-list 111 permit ip host 192.168.1.222 192.168.2.0 0.0.0.255
access-list 111 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 111 permit udp any any
access-list 111 permit ip any any
!
interface GigabitEthernet0/1.1
 no ip access-group 110 in
 ip access-group 111 in
!
interface GigabitEthernet0/1.2
 no ip access-group 110 in

Cảm ơn rất nhiều vì điều này đã thực sự cứu tôi. Điều này sẽ được thêm vào tài liệu in của tôi. Thực sự, bạn có thể vui lòng làm sáng tỏ hơn để tổ chức lại ACL không? Vì có vẻ như sẽ giúp về lâu dài.
Olanrewaju Olukosi

Có lẽ chúng ta có thể trò chuyện về điều này tối nay, tôi phải bắt đầu chuẩn bị cho công việc vào lúc này. Tóm tắt ngắn là cố gắng chặn tất cả các gói tin của bạn (dựa trên những gì tôi thấy bạn đang làm); xây dựng mỗi ACL để nó chỉ chặn các gói có nguồn gốc từ mạng con đó và đi đến các gói khác. Đó là những gì tôi đã cố gắng thực hiện trong phần sắp xếp lại ACL của câu trả lời, nhưng tôi phải đưa ra các giả định về ý định của bạn ... ACL 111 chỉ xem xét việc xâm nhập giao thông từ Gi0 / 1.1.
Mike Pennington

1
Đó là lý do tại sao thật tuyệt khi có lệnh "Cam kết" trên XRs hoặc Junipers :)
Alex

1
Cấu hình @Alex, fyi ... tftp hoặc eem là thứ gần gũi nhất trên cisco ... Tôi đã sử dụng eem để giải quyết một số tình huống khó chịu khi tôi lo lắng rằng mình có thể bị khóa và không thể sử dụng các tính năng khôi phục cấu hình thông thường
Mike Pennington

1
Bạn có thể, và có lẽ nên, đặt tên cho ACL là tốt.
LapTop006

0

Nó có khả năng bị treo vì khi dán "tuyên bố đầu tiên có hiệu lực và tuyên bố từ chối ngầm có thể khiến bạn gặp vấn đề truy cập ngay lập tức."

Gợi ý hữu ích để tạo danh sách IP truy cập ¹

• Tạo danh sách truy cập trước khi áp dụng nó vào giao diện. Một giao diện với danh sách truy cập trống được áp dụng cho nó cho phép tất cả lưu lượng truy cập.

• Một lý do khác để định cấu hình danh sách truy cập trước khi áp dụng là vì nếu bạn đã áp dụng danh sách truy cập không tồn tại vào giao diện và sau đó tiến hành định cấu hình danh sách truy cập, câu lệnh đầu tiên có hiệu lực và câu lệnh từ chối ngầm có thể gây ra cho bạn vấn đề truy cập ngay lập tức.

¹ nguồn Cisco


-1

ACL nên được điều chỉnh sau khi thực hiện để lưu chu kỳ bộ xử lý. Bộ định tuyến phải xử lý từng dòng của ACL cho đến khi nó khớp với một trong các điều kiện, hoặc nếu không sẽ luôn khớp với 'từ chối bất kỳ' ở cuối tất cả các ACLS. Sử dụng lệnh show để xem các lần truy cập trên mỗi câu lệnh ACL. Sắp xếp lại các câu lệnh sao cho các dòng hit nhất cao hơn trong ACL. Sử dụng notepad để viết lại ACL của bạn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.