access-list 삭제 시 주의 사항
access-list 101 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet
access-list 101 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
access-list 101 permit tcp host 1.1.1.4 host 2.2.2.2 eq telnet
위 extended acl 중 한 행을 삭제하려고 아래의 명령을 주었더니, 해당 101 acl이 모두 지워져버렸다.
(config)#no access-list 101 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
?acl 삭제 시 주의 사항
1. 해당 인터페이스에서 ip access-group 을 삭제한다.
2. access-list 를 삭제한다. (한행만 지워도 해당 번호의 모든 acl이 지워진다.)
Cisco IOS Access Control Lists (ACLs)
www.pluralsight.com
?지우지 말고 수정을 할 수는 없을까?
access-list의 순서 번호를 지정하여, 해당 라인만 삭제 가능하다.
1.먼저 순서 번호를 확인한다.
IOU3#sh ip access-lists
Extended IP access list 101
10 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet
20 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
30 permit tcp host 1.1.1.4 host 2.2.2.2 eq telnet
2. extended 에서 지우고자 하는 번호를 입력한다.
IOU3(config)#ip access-list extended 101 #해당 EXTENDED ACL 진입
IOU3(config-ext-nacl)#no 10 #순서번호 10
3. 해당 줄이 잘 지워졌다.
IOU3(config-ext-nacl)#do sh run
access-list 101 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
access-list 101 permit tcp host 1.1.1.4 host 2.2.2.2 eq telnet
*기존 ACL에 추가하는 방법
1.아래의 명령어를 입력한다.
IOU3(config)#ip access-list extended 101 #해당 EXTENDED ACL 진입
IOU3(config-ext-nacl)#25 permit tcp host 1.1.1.3 host 2.2.2.2 eq telnet #순서번호25번 이하 입력
2.확인해 보니, 추가가 잘 되었다.
IOU3(config-ext-nacl)#do sh ip access-list
Extended IP access list 101
10 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet
20 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
25 permit tcp host 1.1.1.3 host 2.2.2.2 eq telnet
참고: https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html
Configuring IP Access Lists
This document describes how IP access control lists (ACLs) can filter network traffic.
www.cisco.com