[問題ID:37414]
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
yuta524
投稿数: 6
投稿数: 6
解説に下記のようにございます。
access-list 20 deny 192.168.20.128 0.0.0.31
access-list 20 permit any
access-list 20 deny 192.168.20.160 0.0.0.31
結果、追加した設定の前に「access-list 20 permit any」が処理されるため、ルータ2の動作は現状と変わりません。
この場合、「access-list 20 permit any」の効果を打ち消さないと
access-list 20 deny 192.168.20.160 0.0.0.31
を有効にすることができないという理解なのですが、打ち消しはどのように行うのでしょうか。
access-list 20 deny 192.168.20.128 0.0.0.31
access-list 20 permit any
access-list 20 deny 192.168.20.160 0.0.0.31
結果、追加した設定の前に「access-list 20 permit any」が処理されるため、ルータ2の動作は現状と変わりません。
この場合、「access-list 20 permit any」の効果を打ち消さないと
access-list 20 deny 192.168.20.160 0.0.0.31
を有効にすることができないという理解なのですが、打ち消しはどのように行うのでしょうか。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:以下の公式ドキュメントにも記載があるのですが、「番号付き標準アクセスリストは個別のエントリを削除できない」のです。
https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat2960swt/cg/005/swcfg/swacl.html#40026
引用:なので、打ち消しには
・現在の設定内容の退避
・no access-list XX でACL字体を削除
・正しい(期待する)ACLの入れ直し
の手順が必要です。
「えーそんなのめんどくさーい」という方には、名前付きアクセスリストをおすすめします。が、理屈を知っていればこんなずるいやり方もあります。シーケンス番号はずれてしまいますが。
※利用を推奨するものではないです。
この場合、「access-list 20 permit any」の効果を打ち消さないと
access-list 20 deny 192.168.20.160 0.0.0.31
を有効にすることができないという理解なのですが、打ち消しはどのように行うのでしょうか。
https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-access/cat2960swt/cg/005/swcfg/swacl.html#40026
引用:
ACL 全体を削除するには、 no access-list access-list-number グローバル コンフィギュレーション コマンドを使用します。番号付きアクセス リストから個々の ACE は削除できません。
・現在の設定内容の退避
・no access-list XX でACL字体を削除
・正しい(期待する)ACLの入れ直し
の手順が必要です。
「えーそんなのめんどくさーい」という方には、名前付きアクセスリストをおすすめします。が、理屈を知っていればこんなずるいやり方もあります。シーケンス番号はずれてしまいますが。
※利用を推奨するものではないです。
R1#show access-list
Standard IP access list 20
10 deny 192.168.20.128, wildcard bits 0.0.0.31
20 permit any
30 deny 192.168.20.160, wildcard bits 0.0.0.31
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#no access-list 20 ?
<cr>
→個別のエントリじゃなくアクセスリストそのものの削除しかできない
R1(config)#ip access-list standard 20 ←「20」という名前の標準アクセスリストとして扱うと
R1(config-std-nacl)#no 20 ←シーケンス番号20を指定して削除できる
R1(config-std-nacl)#do show access-list
Standard IP access list 20
10 deny 192.168.20.128, wildcard bits 0.0.0.31
30 deny 192.168.20.160, wildcard bits 0.0.0.31
→シーケンス番号20がなくなっている
yuta524
投稿数: 6
投稿数: 6
おおお!なるほど、そうなんですね!
名前付きを使わない場合、全消しで対応するしかないんですね。
理解しました。ありがとうございます。
名前付きを使わない場合、全消しで対応するしかないんですね。
理解しました。ありがとうございます。
