У меня есть расширенный список доступа BLOCK, где у каждого целого есть свой специальный номер. EX:
1038047 deny ip any host 192.168.38.47
1038048 deny ip any host 192.168.38.48
1038049 deny ip any host 192.168.38.49
1038069 deny ip any host 192.168.38.69
1038077 deny ip any host 192.168.38.77
1038080 deny ip any host 192.168.38.80
Формула 1 000 000 + 1 000 * 3_octet + 4_octet, а последняя -
3 000 000 permit ip any any
Но после перезагрузки они становятся:
2020 deny ip any host 192.168.38.27
2030 deny ip any host 192.168.38.32
2040 deny ip any host 192.168.38.37
2050 deny ip any host 192.168.38.38
2060 deny ip any host 192.168.38.43
Это плохо. Есть ли какая-нибудь команда для запрета переупорядочения cisco?
Возможно, я ошибаюсь, но я не думаю, что вы можете использовать такие высокие номера ACL, фактические номера списков определяются их типом, то есть списки ACL IP должны находиться между определенными диапазонами, расширенным IP другим диапазоном и т. Д. (См. ВОТ подробнее).
Я думаю, что вы просто не можете, потому что числа не хранятся в файле конфигурации. Это просто предназначено для использования, чтобы иметь возможность вставить строку в нужное вам место в ACL. Что касается Chopper3 (я еще не могу добавить комментарий), здесь речь идет о порядке строк ACL, а не о номерах ACL, как описано в приведенной вами ссылке.
В соответствии с Cisco, максимальный допустимый порядковый номер в списке доступа IOS - 2147483647. Можете ли вы подтвердить, какую платформу / версию кода вы используете?
Что касается сохраняемости при перезагрузках, как упоминал Джеб, порядковые номера не сохраняются в файле конфигурации. (выполните 'show startup-config', чтобы убедиться в этом) Я не думаю, что это ошибка, просто известное ограничение.
Каковы требования для наличия ваших конкретных порядковых номеров? В более новых версиях IOS в конце любого непустого списка доступа всегда присутствует неявное «запретить все». Если вы не вводите «запретить любой журнал», чтобы вы могли регистрировать неавторизованный трафик в системном журнале, вы можете просто добавить его к существующему списку ACL, и неявный отказ всегда будет в конце?
РЕДАКТИРОВАТЬ:
Я не верю, что есть способ изменить поведение неявного отказа. Одним из решений может быть удаленное сохранение вашей конфигурации (включая порядковые номера), а затем удаление и воссоздание всего ACL при внесении изменений? К сожалению, реализация ACL Cisco основана на подходе «разрешите то, что вам нужно, а остальное - запретите».
Один из способов решения проблемы, если вы используете достаточно свежую версию кода, может заключаться в использовании Списки управления доступом на основе групп объектов. Тогда у вас может быть следующая политика.
Примечание: конфигурация ручной резки; обязательно протестируйте перед развертыванием!
object-group network denied-destination-hosts
host 192.168.38.27
host 192.168.38.32
host 192.168.38.37
host 192.168.38.38
host 192.168.38.43
!
ip access-list extended BLOCK
deny ip any object-group denied-destination-hosts
permit ip any any
!
Это позволило бы вам изменить список запрещенных хостов независимо от ACL «BLOCK» и гарантировать, что оператор «allow» всегда будет последней записью.