我扩展了访问列表 BLOCK,其中每个整体都有自己的特殊编号。前任:
1038047 deny ip any host 192.168.38.47
1038048 deny ip any host 192.168.38.48
1038049 deny ip any host 192.168.38.49
1038069 deny ip any host 192.168.38.69
1038077 deny ip any host 192.168.38.77
1038080 deny ip any host 192.168.38.80
公式是 1 000 000 + 1 000*3_octet+4_octet ,最后一个是
3 000 000 permit ip any any
但重新启动后,它们变成:
2020 deny ip any host 192.168.38.27
2030 deny ip any host 192.168.38.32
2040 deny ip any host 192.168.38.37
2050 deny ip any host 192.168.38.38
2060 deny ip any host 192.168.38.43
这是坏的。是否有任何命令禁止 cisco 重新测序整体?
我可能错了,但我认为您不能使用那么高的 ACL 编号,实际列表编号由它们的类型定义,即 IP ACL 必须在某些范围之间,扩展 IP 另一个范围等(有关详细信息,请参见此处)。
我认为你不能因为数字没有存储在配置文件中。这只是用于能够在 ACL 中您想要的位置插入一行。对于 Chopper3(我还不能添加评论),这里讨论的是 ACL 行排序,而不是您给出的链接中描述的 ACL 编号。
根据Cisco的说法,IOS 访问列表中的最大有效序列号是 2147483647。您能确认您正在运行什么平台/代码版本吗?
正如 Jeb 所提到的,就重启后的持久性而言,序列号不存储在配置文件中。(做一个“显示启动配置”来验证这一点)我不认为这是一个错误,只是一个已知的限制。
拥有您的特定序列号有什么要求?在较新版本的 IOS 中,在任何非空访问列表的末尾总是有一个隐含的“拒绝任何任何”。除非您输入“拒绝任何日志”以便将未经授权的流量记录到 syslog,否则您可以简单地附加到现有 ACL,并且隐式拒绝将始终位于末尾?
编辑:
我不相信有办法改变隐含的否认行为。一种解决方案可能是远程存储您的配置(包括序列号),然后在您进行更改时删除并重新创建整个 ACL?不幸的是,思科的 ACL 实施是围绕“允许您需要的,拒绝其余的”方法设计的。
解决此问题的一种方法(假设您正在运行足够新的代码版本)可能是使用Object Group-Based ACLs。然后,您可以制定如下政策。
注:手切配置;确保在部署之前进行测试!
这将允许您独立于“BLOCK”ACL 修改拒绝主机列表,并确保您的“permit”语句始终是最后一个条目。