Подготовка к замене головной Cisco. Правка ACL

Cisco WS-C3560X-24T-S

После долгих согласований на работе, мне наконец то купили новую cisco. Она не сильно лучше текущей, просто по протоколам безопасности я должен иметь запасную. В связи с необходимостью расширения количества подсетей (читаем Vlan’ов) я принял решение что будет правильнее и проще написать хороший и правильный конфиг на новую cisco, согласовать остановку предприятия и быстренько её подменить.

Решение конечно может и не самое простое — но так будет лучше. Все причины описывать долго, да и это скажем так слегка конфиденциальная информация :) И так — в качестве новой «головной» циски по моему заказу приобрели Cisco WS-C3560X-24T-S. Железяка без наворотов, но для общего трафика на предприятии мне хватит, по крайней мере пока.

Сегодня я в свое личное свободное время решил переписать access-list’ы (ACL). Старые меня не устраивали как и общей концепцией (создавались более 5 лет назад и не мной), так и видом написания. Старые были написаны с использованием нумерования, вот как это выглядело:

access-list 174 remark =================================================
access-list 174 remark = int vlan74 IN =================================
access-list 174 remark -------------------------------------------------
access-list 174 remark = vlan74 --IP-> vlan74:
access-list 174 permit ip 192.168.74.0 0.0.0.255 192.168.74.0 0.0.0.255
access-list 174 permit ip 192.168.74.0 0.0.0.255 host 255.255.255.255
access-list 174 remark -------------------------------------------------
access-list 174 remark = vlan74 --IP-> FCT:
access-list 174 permit ip 192.168.74.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 174 permit ip 192.168.74.0 0.0.0.255 192.168.19.0 0.0.0.255
access-list 174 remark -------------------------------------------------
access-list 174 remark = Deny all:
access-list 174 permit ip 192.168.74.0 0.0.0.255 host 192.168.73.210
access-list 174 deny ip any any log

В принципе свою задачу этот кусок листа выполняет, однако его редактирование представляет довольно проблематичную задачу. Я для собственного удобства решил немного переписать весь лист. Я использовал именованные acl листы. Их гораздо проще редактировать, можно спокойно работать практически построчно. Такое написание конфига сулит уйму плюсов — в случае необходимости добавления какого то правила я его просто дописываю в нужное место, а не переписываю весь access-list. Вот выглядит тот же кусок правил, но уже переписанный мной. Выполняют они одно и то же — но на лицо удобство в дальнейшем обслуживании.

ip access-list extended vlan74
remark ********** Vlan 74 (iGate)
remark ******************************
remark ********** Vlan 74 ip to Vlan 74 ip
10 permit ip 192.168.74.0 0.0.0.255 192.168.74.0 0.0.0.255
20 permit ip 192.168.74.0 0.0.0.255 host 255.255.255.255
remark ******************************
remark ********** Vlan 74 ip to FCT ip
30 permit ip 192.168.74.0 0.0.0.255 192.168.10.0 0.0.0.255
40 permit ip 192.168.74.0 0.0.0.255 192.168.19.0 0.0.0.255
remark ******************************
remark ********** Deny all
50 deny ip any any log
remark ******************************

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *


*