GASOV.COM - HP ProCurve: Редактирование ACL

Навигация

Главная

Поиск

Новости

- - - - - - -

Авторизация

Кто он-лайн

Главная

Статьи

HP ProCurve

HP ProCurve: Редактирование ACL

Написал Ярослав Гасов

14.12.2011

Для того чтобы вставить новое правило в ACL, необходимо указать в начале правила номер строки в которую необходимо вставить правило.

Например, если есть ACL test с такими правилами:

sw(config)# sh access-list config   ip access-list extended "test"     10 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     20 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     30 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80     40 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389     exit

Если необходимо вставить правило между 20 и 30 правилами, то необходимо написать соответствующий номер перед добавляемым правилом:

sw(config)# ip access-list extended test sw(config-ext-nacl)# 25 permit tcp any any eq 8080

Результат вставки правила:

sw(config-ext-nacl)# sh access-list config   ip access-list extended "test"     10 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     20 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     25 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 8080     30 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80     40 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389

Перенумерация правил в существующем ACL

Если все правила в ACL идут по порядку и нет возможности вставить новое правило между существующими, то можно выполнить перенумерацию строк в ACL.

Для этого используется команда: sw(config)# ip access-list resequence <имя-ACL> <номер первого правила> <шаг>

Например, если есть ACL test с такими правилами (правила набраны просто для количества и могут быть неприменимы для реальных ситуаций):

sw(config)# sh access-list config   ip access-list extended "test"     1 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     2 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     3 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80     4 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389     5 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23     6 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 1234     7 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 443     8 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 443     9 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     exit

Пример перенумерации правил (первое правило будет с номером 10 и шаг будет 10):

sw(config)# ip  access-list resequence test 10 10

В результате ACL test теперь выглядит так:

sw(config)# sh access-list config   ip access-list extended "test"     10 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     20 permit ospf 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     30 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 80     40 permit tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 3389     50 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23     60 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 1234     70 deny tcp 10.0.1.1 0.0.0.0 10.0.1.100 0.0.0.0 eq 443     80 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 443     90 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     exit

Просмотр настроек ACL и счетчиков срабатывания

Просмотр настроек ACL в наиболее удобном виде:

sw(config)# sh access-list config   ip access-list extended "test"     20 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     30 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 23     40 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255     exit

Источник: http://xgu.ru/wiki/ProCurve_Security

< Пред.		След. >

Производственный кооператив "Геолог" - геологоразведовательные работы, разведка месторождений, подсчет запасов, бурение скважин, геологический отчет...