Comando Cisco para mostrar a quais interfaces uma ACL é aplicada


17

Para roteadores e switches Cisco, existe um comando show, ou algo semelhante, que exibirá em quais interfaces lógicas e físicas uma ACL é implementada e em qual direção é aplicada?

Estou procurando algo mais simples que um show run | <some regex>.

Respostas:


18

Não acredito que exista algo mais simples do que show interfaces | <some regex>infelizmente.

Editar:

A partir dos comentários abaixo, @ Santino apontou um RegEx mais conciso:

show ip interface | include line protocol|access list

Até agora, meus testes indicam que isso fornece os mesmos resultados que meu RegEx mais longo abaixo.


Normalmente, uso o seguinte para descobrir onde as ACLs são aplicadas:

show ip interface | include is up|is administratively|is down|Outgoing|Inbound

Isso fornece a você todas as interfaces, independentemente do estado, e quais são as ACLs de saída e de entrada. Por exemplo:

LAB-4510-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound 
Vlan1 is administratively down, line protocol is down
Vlan110 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan140 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
Vlan150 is down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan210 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet1 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/2 is down, line protocol is down
  Inbound  access list is not set
  Outgoing access list is not set

E assim por diante para todas as interfaces.


Este comando funciona em switches e roteadores Cisco. Veja a amostra de saída de um roteador 7200 abaixo:

LAB-7204-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound
GigabitEthernet0/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet0/2 is administratively down, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet0/3 is administratively down, line protocol is down
SSLVPN-VIF0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set

3
Você provavelmente poderia encurtar isso para show ip interface | include line protocol|access list Para NX-OS,show ip access-list summary
Santino

1
@Santino, True! Vou editar minha resposta de acordo. Além disso, ao fazer mais pesquisas, também vejo que Jeremy Stretch no PacketLife já passou por esse caminho com outro RegEx mais curto (mas não tão curto quanto o seu): show ip interface | include line protocol|access list is [^ ]+$ Não tenho certeza se há uma razão para precisarmos da correspondência extra de RegEx depois de "lista de acesso".
Brett Lykins

2
A regex do Stretch filtrará as linhas da lista de acesso que não estão definidas. O final de sua regex corresponde a uma única palavra, que corresponderia a uma ACL, pois eles não podem ter espaços. Boa descoberta.
Santino

1
@ Santino, isso faz sentido! Obrigada pelo esclarecimento. Depois de voltar à página de estiramento Vi a explicação lá também ... :: Reading falhar :: da minha parte :)
Brett Lykins

3

Se você tem um show run | <some regex>comando que gosta e exibe as informações necessárias, sempre pode criar um alias.

Um exemplo usando este comando: alias exec shacls sh ip int | inc line protocol|access list is [^ ]+$.

Então você pode apenas usar alias-name(neste caso shacls) e será o mesmo queshow run | <some regex>

Nota: Você precisaria fazer isso em cada dispositivo IOS. ASAs são ligeiramente diferentes.

Edit: Eu não posso receber crédito, sh ip int | inc line protocol|access list is [^ ]+$como foi o PacketLife IOS Tips .


1

Eu estava mexendo com isso antes e encontrei um regex bastante direto que deveria lhe dar o que você deseja.

sho ip int | inc ^ [AZ] | lista de acesso

A lista é necessária para ignorar a linha de violações de acesso.




0

sh correr | em ^ inter | access-gr

dá saída do running-config


Você poderia editar a pergunta para explicar como esse comando funciona?
Jwbensley

-1

Nos dispositivos Nexus, você pode emitir o resumo da lista de acesso ou o resumo da lista de acesso IP

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.