Comando Cisco per mostrare a quali interfacce viene applicato un ACL

17

Per router e switch Cisco, esiste un comando show o qualcosa di simile che mostrerà su quali interfacce fisiche e logiche è implementata una ACL e in quale direzione viene applicata?

Sto cercando qualcosa di più semplice di un show run | <some regex>.

cisco  switch  router  acl  interface 
Adam Loveless
fonte

Risposte:

18

Non credo che ci sia qualcosa di più semplice di show interfaces | <some regex>sfortunatamente.

Modificare:

Dai commenti qui sotto, @ Santino ha sottolineato un RegEx più conciso:

show ip interface | include line protocol|access list

I miei test finora indicano che ciò fornisce gli stessi risultati del mio RegEx più lungo di seguito.

Di solito uso quanto segue per trovare dove vengono applicati gli ACL:

show ip interface | include is up|is administratively|is down|Outgoing|Inbound

Questo ti dà ogni interfaccia, indipendentemente dallo stato, quindi quali sono le ACL in uscita e in entrata. Per esempio:

LAB-4510-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound 
Vlan1 is administratively down, line protocol is down
Vlan110 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan140 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
Vlan150 is down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan210 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet1 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/2 is down, line protocol is down
  Inbound  access list is not set
  Outgoing access list is not set

E così via per ogni interfaccia.

Questo comando funziona su router e switch Cisco. Vedi l'output di esempio da un router 7200 di seguito:

LAB-7204-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound
GigabitEthernet0/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet0/2 is administratively down, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet0/3 is administratively down, line protocol is down
SSLVPN-VIF0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Brett Lykins
fonte
3
Probabilmente potresti accorciarlo a show ip interface | include line protocol|access list For NX-OS,show ip access-list summary
Santino,
1
@Santino, True! Modificherò la mia risposta di conseguenza. Inoltre, facendo ulteriori ricerche, vedo anche che Jeremy Stretch presso PacketLife è già stato su questa strada con un altro RegEx più breve (ma non così breve come il tuo): show ip interface | include line protocol|access list is [^ ]+$ non sono sicuro se c'è un motivo per cui abbiamo bisogno della corrispondenza RegEx extra dopo "elenco di accesso".
Brett Lykins,
2
La regex di Stretch filtrerà le righe dell'elenco di accesso che non sono state impostate. La fine della sua regex corrisponde a una sola parola, che corrisponderebbe a un ACL poiché non possono avere spazi. Buona scoperta.
Santino,
1
@Santino, ha senso! Grazie per la spiegazione. Dopo essere tornato alla pagina di Stretch ho visto la spiegazione anche lì ... :: Lettura fallita :: da parte mia :)
Brett Lykins,
3

Se hai un show run | <some regex>comando che ti piace che mostra le informazioni che ti servono, puoi sempre creare un alias.

Un esempio di questo comando: alias exec shacls sh ip int | inc line protocol|access list is [^ ]+$.

Quindi puoi semplicemente usare alias-name(in questo caso shacls) e sarà lo stesso dishow run | <some regex>

Nota: è necessario eseguire questa operazione su ciascun dispositivo IOS. Gli ASA sono leggermente diversi.

Modifica: non posso prendermi il merito per sh ip int | inc line protocol|access list is [^ ]+$come era dai suggerimenti IOS PacketLife .

bigbash
fonte
1

Prima stavo scherzando con questo e ho trovato una regex piuttosto diretta che dovrebbe darti quello che vuoi.

sho ip int | inc ^ [AZ] | lista di accesso

L'elenco è necessario per ignorare la riga delle violazioni dell'accesso.

omega
fonte
1

Lo ricordo così. Il più semplice e il più breve da ricordare per me.

sh ip int | i line|list
High-fi
fonte
simpatico e conciso
Jeff Wright,
0

sh run | in ^ inter | access-gr

fornisce l'output da running-config

stella del rock
fonte
Potresti modificare la domanda per spiegare come funziona questo comando?
Jwbensley,
-1

Sui dispositivi Nexus puoi pubblicare il riepilogo dell'elenco di accesso o mostrare il riepilogo dell'elenco di accesso ip

JoJo
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.