CatalystのACL設定は、指定のACEを指定のACLの末尾に追加しようとします。
access-list 6 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.168.2.0 0.0.0.255
access-list 6 deny any
access-list 7 permit 192.168.1.0 0.0.0.255
access-list 7 permit 192.168.2.0 0.0.0.255
access-list 7 deny any
access-list 8 permit 192.168.1.0 0.0.0.255
access-list 8 permit 192.168.2.0 0.0.0.255
access-list 8 deny any
とあったとき、新たに
access-list 7 permit 172.162.1.1
を設定すると
access-list 6 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.168.2.0 0.0.0.255
access-list 6 deny any
access-list 7 permit 192.168.1.0 0.0.0.255
access-list 7 permit 192.168.2.0 0.0.0.255
access-list 7 deny any
access-list 7 permit 172.162.1.1
access-list 8 permit 192.168.1.0 0.0.0.255
access-list 8 permit 192.168.2.0 0.0.0.255
access-list 8 deny any
としようとするのですが、deny anyで全て弾いているため、追加部分は無意味として、実際は追加されず、
access-list 6 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.168.2.0 0.0.0.255
access-list 6 deny any
access-list 7 permit 192.168.1.0 0.0.0.255
access-list 7 permit 192.168.2.0 0.0.0.255
access-list 7 deny any
access-list 8 permit 192.168.1.0 0.0.0.255
access-list 8 permit 192.168.2.0 0.0.0.255
access-list 8 deny any
のままです。途中に挿入や上書きはできません。上書きなどをしたい場合は、
と7番目のACL全体を削除してから初めから設定し直す必要があります。いずれの操作でもaccess-list 7以外の設定に影響はなく、そのままです。
なお、access-list 7 deny any
が無かった場合は追加されるのですが、自動でソートされ
access-list 6 permit 192.168.1.0 0.0.0.255
access-list 6 permit 192.168.2.0 0.0.0.255
access-list 6 deny any
access-list 7 permit 172.162.1.1
access-list 7 permit 192.168.1.0 0.0.0.255
access-list 7 permit 192.168.2.0 0.0.0.255
access-list 8 permit 192.168.1.0 0.0.0.255
access-list 8 permit 192.168.2.0 0.0.0.255
access-list 8 deny any
となりました。1~99のIP標準アクセス リストではそもそも暗黙とdeny anyがあるようですので付けないのが正当かも知れません。100~199のIP拡張アクセス リストはまた少し動作が異なりますので、ご注意ください。
上記動作はCatalyst 3560CG、IOS 15.0(2)SE2で確認しました。IOSのバージョンが異なる場合は動作が違う可能性がありますので、ご注意ください。CatalystではなくCiscoルーターの場合は細部が異なる場合がありますので、さらにご注意ください。
詳細はCiscoのマニュアル等をご確認してください。こちらの記事も参考になると思います。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/09/14 12:12