結論:line numberを上書きでOK
特にどこかに明確に記述されていなかったので備忘。
ASA8.6で試しています(確か・・・)
ASAでextendedのACLを投入することはよくあると思いますが、router, switchと違って、seqナンバーでの整理ではなく、lineナンバーで記述されています。
例えばrouter/switch(r&s)の場合だとshow access-listsを叩くと以下のように表示されます。
Extended IP access list TEST
10 permit ip 192.168.1.0 255.255.255.0 any (400 matches)
20 deny ip any any (99186 matches)
上の例で何かのpermit条件をACL TESTに入れたい場合は、seq番号の20以下のどこかに投入していくことになります。
例えば、192.168.1.0/24のうち、192.168.1.1だけはdenyしたいといった要件の場合、seq10の前にまずhostで192.168.1.1を拒否するACLを入れる事になります。
(config)#ip access ext TEST
(config-ext-nacl)#9 deny ip host 192.168.1.1 any
これを入れると
Extended IP access list TEST
9 deny ip host 192.168.1.1 any
10 permit ip 192.168.1.0 255.255.255.0 any (400 matches)
20 deny ip any any (99186 matches)
このときに例えば、seq 10の部分に何かを投入しようとすると、
(config-ext-nacl)#10 per udp host 172.16.1.1 any eq domain
% Duplicate sequence number
「seqがかぶってるよ」とはじかれてしまいます。
ところがASAの場合は、こうではありません。
同じようにASAでshow access-listを叩くとこんな具合で表示されます。
access-list TEST line 1 extended permit ip 192.168.1.0 255.255.255.0 any
access-list TEST line 2 extended deny ip any any
seq番号の代わりにline番号となり、間が詰まっています。
この場合にr&sの感覚で192.168.1.1のみを拒否する設定を入れたいと思うと、line番号が詰まっているので投入できないと思ってしまいますが、ASAの場合は、line番号を上書きで対処できます。
(config)#access-list TEST line 1 extended deny ip host 192.168.1.1 any
show access-listを確認してみます。
access-list TEST line 1 extended deny ip host 192.168.1.1 any
access-list TEST line 2 extended permit ip 192.168.1.0 255.255.255.0 any
access-list TEST line 3 extended deny ip any any
つまり、ASAの場合はr&sと違ってline番号にACLを挿入できるということになります。さらに言うと、line番号をかなりの老番で設定したとしても、勝手に続き番号に変更されてしまうので、あまり意味がありません。
例えば
access-list TEST line 100 extended deny ip any any
これを投入していたとしても、line番号は勝手に2だとか3だとかに変えられてしまいます。
こういったベースの概念は統一してほしいところですが、まあなかなか難しいんでしょうかね。
0 件のコメント:
コメントを投稿