네트워크 이야기(cisco 등)

access-list 삭제 시 주의 사항

깐돌런 2022. 7. 27. 16:22

access-list 101 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet
access-list 101 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
access-list 101 permit tcp host 1.1.1.4 host 2.2.2.2 eq telnet

 

위 extended acl 중 한 행을 삭제하려고 아래의 명령을 주었더니, 해당 101 acl이 모두 지워져버렸다.

(config)#no access-list 101 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet

 

?acl 삭제 시 주의 사항

1. 해당 인터페이스에서 ip access-group 을 삭제한다.

2. access-list 를 삭제한다. (한행만 지워도 해당 번호의 모든 acl이 지워진다.)

 

참고: https://www.pluralsight.com/blog/it-ops/cisco-access-lists#:~:text=To%20completely%20remove%20an%20entire,to%20delete%20the%20entire%20ACL.

 

Cisco IOS Access Control Lists (ACLs)

 

www.pluralsight.com

 

?지우지 말고 수정을 할 수는 없을까?

access-list의 순서 번호를 지정하여, 해당 라인만 삭제 가능하다.

1.먼저 순서 번호를 확인한다.

IOU3#sh ip access-lists
Extended IP access list 101
    10 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet
    20 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
    30 permit tcp host 1.1.1.4 host 2.2.2.2 eq telnet

 

2. extended 에서 지우고자 하는 번호를 입력한다.
IOU3(config)#ip access-list extended 101   #해당  EXTENDED ACL 진입
IOU3(config-ext-nacl)#no 10  #순서번호 10

 

3. 해당 줄이 잘 지워졌다.
IOU3(config-ext-nacl)#do sh run
access-list 101 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
access-list 101 permit tcp host 1.1.1.4 host 2.2.2.2 eq telnet

 

*기존 ACL에 추가하는 방법

1.아래의 명령어를 입력한다.

IOU3(config)#ip access-list extended 101    #해당  EXTENDED ACL 진입

IOU3(config-ext-nacl)#25 permit tcp host 1.1.1.3 host 2.2.2.2 eq telnet #순서번호25번 이하 입력

 

2.확인해 보니, 추가가 잘 되었다.
IOU3(config-ext-nacl)#do sh ip access-list
Extended IP access list 101
    10 permit tcp host 1.1.1.1 host 2.2.2.2 eq telnet
    20 permit tcp host 1.1.1.2 host 2.2.2.2 eq telnet
    25 permit tcp host 1.1.1.3 host 2.2.2.2 eq telnet

 

참고: https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html

 

Configuring IP Access Lists

This document describes how IP access control lists (ACLs) can filter network traffic.

www.cisco.com