目次
はじめに
Cisco catalyst(iosシリーズ)のACL設定方法を行う機会が多かったのですが、手順が抜けてしまったり失念してしまったりすることがあったので個人的なメモとして記録します。
より良い改善点などがあれば、ご指摘頂けると嬉しいです。
手順
enable モードへ移行
enconfファイルをバックアップ
大量のACLやオブジェクトを作成すると config ファイルだけでは読みにくいため、conf ファイルと別に保持。
show ip access-lists | redirect tftp://172.19.xx.yyy/cisco-sw-acl
show object-group | redirect tftp://172.19.xx.yyy/cisco-sw-obj
copy startup-config tftp://172.19.xx.yyy/cisco-sw-configvlanxxxx_inの事前設定確認
show access-lists | section vlanxxxx_invlanxxxx_inの設定を追加
- 任意→任意のオブジェクトグループへ TCP 123port を許可
- 172.16.xx.yy→任意のオブジェクトグループ へ TCP 80port を許可
conf t
ip access-list extended vlanxxxx_in
nn permit tcp any object-group grp-obj-name1 eq 123
nn permit tcp host 172.16.xx.yy object-group grp-obj-name2 eq 80
exitリシーケンス
リシーケンスしておくと後から見やすく、次回設定追加もやりやすい
ip access-list resequence vlanxxxx_in 10 10
exitvlanxxxx_inの事後設定確認
show access-lists | section vlanxxxx_inconfファイルをバックアップ
show ip access-lists | redirect tftp://172.19.xx.yyy/cisco-sw-acl
show object-group | redirect tftp://172.19.xx.yyy/cisco-sw-obj
copy startup-config tftp://172.19.xx.yyy/cisco-sw-configwrite memory
wrまとめ
他にも show running-config を grep で引っ掛けるようにする際に include を使うと便利
show running-config | include rip
コメント