Modification en live

Voici un exemple:

R1#sh ip access-lists
Extended IP access list 101
    1 permit ip host 10.1.1.1 host 11.1.1.1
    2 permit ip host 12.1.1.1 host 13.1.1.1
    3 deny tcp host 14.1.1.1 host 15.1.1.1 eq www
    4 permit ip host 14.1.1.1 host 15.1.1.1
    5 deny tcp host 16.1.1.1 host 17.1.1.1 eq www
    6 permit ip host 16.1.1.1 host 17.1.1.1

Si je veux insérer une règle entre la ligne 1 et 2, il faut re-sequencer la liste:

R1(config)# ip access-list resequence 101 10 10

Le premier 10 correspond au nombre de départ, le second à l'incrément.

Voici donc le résultat obtenu:

R1#sh ip access-lists
Extended IP access list 101
    10 permit ip host 10.1.1.1 host 11.1.1.1
    20 permit ip host 12.1.1.1 host 13.1.1.1
    30 deny tcp host 14.1.1.1 host 15.1.1.1 eq www
    40 permit ip host 14.1.1.1 host 15.1.1.1
    50 deny tcp host 16.1.1.1 host 17.1.1.1 eq www
    60 permit ip host 16.1.1.1 host 17.1.1.1

Il est maintenant possible d'insérer ma ligne.

R1(config)# ip access-list extended 101
R1(config-ext-nacl)# 11 access-list 101 deny tcp host 12.1.1.1 host 13.1.1.1 eq www

Le résultat est alors:

R1# sh ip access-lists
Extended IP access list 101
    10 permit ip host 10.1.1.1 host 11.1.1.1
    11 deny tcp host 12.1.1.1 host 13.1.1.1 eq www
    20 permit ip host 12.1.1.1 host 13.1.1.1
    30 deny tcp host 14.1.1.1 host 15.1.1.1 eq www
    40 permit ip host 14.1.1.1 host 15.1.1.1
    50 deny tcp host 16.1.1.1 host 17.1.1.1 eq www
    60 permit ip host 16.1.1.1 host 17.1.1.1

Recréer l'ACL de 0

L'autre solution est de gérer des fichiers de configuration pour chaque ACL et de tout ré-appliquer à chaque modification. Pour ne pas bloquer les utilisateurs, il faut donc penser à retirer l'ACL de l'interface, de modifier l'ACL puis de la ré-appliquer. Voici par exemple un exemple de fichier:

!
line vty 0 4
 no access-class NETMGT-IN in
!
exit
!
no ip access-list extended NETMGT-IN
ip access-list extended MGT-IN
 remark -- VLAN Administrateur
 permit tcp 192.168.14.0 0.0.0.31 gt 1023 host 0.0.0.0 eq 22
 permit tcp 192.168.44.0 0.0.0.15 gt 1023 host 0.0.0.0 eq 22
 remark -- Acces VPN
 permit tcp 192.168.160 0.0.0.63 gt 1023 host 0.0.0.0 eq 22
 remark -- Deny ALL
 deny ip any any log
!
exit
!
line vty 0 4
 access-class MGT-IN in
!
exit
!

Liens