我已经扩展了访问列表BLOCK,每个整体都有自己的特殊号码。 EX:
1038047 deny ip any host 192.168.38.47 1038048 deny ip any host 192.168.38.48 1038049 deny ip any host 192.168.38.49 1038069 deny ip any host 192.168.38.69 1038077 deny ip any host 192.168.38.77 1038080 deny ip any host 192.168.38.80 公式是1 000 000 + 1 000 * 3_octet + 4_octet,最后一个是
3 000 000 permit ip any any
但重启后,他们成为:
2020 deny ip any host 192.168.38.27 2030 deny ip any host 192.168.38.32 2040 deny ip any host 192.168.38.37 2050 deny ip any host 192.168.38.38 2060 deny ip any host 192.168.38.43
这是坏的。 有没有任何命令禁止cisco重新sorting?
根据思科 ,IOS访问列表中的最大有效序列号是2147483647.你能确认你正在运行的平台/代码版本吗?
就重启过程中的持久性而言,如Jeb所述,序列号不存储在configuration文件中。 (做一个'显示启动configuration'来validation这一点)我不认为这是一个错误,只是一个已知的限制。
具体的序列号是什么要求? 在较新版本的IOS中,在任何非空访问列表的末尾总是隐式地“拒绝任何”。 除非input'拒绝任何日志',以便可以将未授权的stream量logging到系统日志中,否则可以简单地追加到现有的ACL中,并且隐式拒绝将始终处于末尾?
编辑:
我不相信有一种方法来改变隐含的拒绝行为。 一种解决scheme可能是远程存储configuration(包括序列号),然后在进行更改时删除并重新创build整个ACL。 不幸的是,思科的ACL实现是围绕“允许你需要的,否认其他”的方式来devise的。
解决这个问题的一个方法是,假设您运行的是最新的代码版本,则可以使用基于对象组的ACL 。 那么你可以有一个如下的政策。
注意:手动configuration; 确保在部署之前进行testing!
object-group network denied-destination-hosts host 192.168.38.27 host 192.168.38.32 host 192.168.38.37 host 192.168.38.38 host 192.168.38.43 ! ip access-list extended BLOCK deny ip any object-group denied-destination-hosts permit ip any any !
这将允许您修改被拒绝的主机列表,而不pipe“BLOCK”ACL如何,并确保您的“许可”声明总是最后一个条目。
我可能是错的,但我不认为你可以使用高的ACL号码,实际的列表号码是由他们的types定义的,即IP ACL必须在一定范围之间,扩展IP另一个范围等(详情请见这里 )。
我认为你不能这样做,因为这些数字没有存储在configuration文件中。 这只是为了能够在ACL中插入所需的行。 而对于Chopper3(我还没有添加评论),这里是在谈论ACL行sorting,而不是在你给的链接中描述的ACL数字。