Команда Cisco, щоб показати, до яких інтерфейсів застосовано ACL


17

Для маршрутизаторів та комутаторів Cisco чи існує команда show чи щось подібне, що відображатиме, в яких фізичних та логічних інтерфейсах реалізований ACL та в якому напрямку він застосовується?

Я шукаю щось простіше, ніж a show run | <some regex>.

Відповіді:


18

Я не вірю, що є щось простіше, ніж show interfaces | <some regex>на жаль.

Редагувати:

З коментарів нижче, @ Santino вказав на більш стислий RegEx:

show ip interface | include line protocol|access list

Наразі моє тестування свідчить, що це дає ті ж результати, що і мої довгі RegEx нижче.


Зазвичай я використовую таке, щоб знайти, де застосовуються ACL:

show ip interface | include is up|is administratively|is down|Outgoing|Inbound

Це дає вам кожен інтерфейс, незалежно від стану, то, що таке вихідні та вхідні ACL. Наприклад:

LAB-4510-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound 
Vlan1 is administratively down, line protocol is down
Vlan110 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan140 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
Vlan150 is down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan210 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet1 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/2 is down, line protocol is down
  Inbound  access list is not set
  Outgoing access list is not set

І так далі для кожного інтерфейсу.


Ця команда працює як на комутаторах Cisco, так і на маршрутизаторах. Дивіться зразок виводу з маршрутизатора 7200 нижче:

LAB-7204-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound
GigabitEthernet0/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet0/2 is administratively down, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet0/3 is administratively down, line protocol is down
SSLVPN-VIF0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set

3
Можливо, ви могли б скоротити це до show ip interface | include line protocol|access list NX-OS,show ip access-list summary
Сантіно,

1
@Santino, правда! Я відповідно відредагую свою відповідь. Крім того, роблячи подальші дослідження, я також бачу, що Джеремі Стретч на PacketLife вже був по цій дорозі з іншим коротшим RegEx (але не такий короткий, як у вас): show ip interface | include line protocol|access list is [^ ]+$ Я не впевнений, чи є причина, що нам потрібна додаткова відповідність RegEx після "списку доступу".
Brett Lykins

2
Регекс Stretch відфільтрує рядки списку доступу, які не встановлені. Кінець його регулярної виразки відповідає одному слову, яке відповідатиме ACL, оскільки вони не можуть мати пробілів. Гарна знахідка.
Сантіно

1
@Santino, це має сенс! Дякую за пояснення. Повернувшись на сторінку "Стретч", я також побачив пояснення ... ::
Невдача

3

Якщо у вас є show run | <some regex>вподобана команда, яка відображає потрібну інформацію, ви завжди можете зробити псевдонім.

Приклад використання цієї команди: alias exec shacls sh ip int | inc line protocol|access list is [^ ]+$.

Тоді ви можете просто використовувати alias-name(у цьому випадку шалі), і це буде те саме, що іshow run | <some regex>

Примітка. Вам потрібно буде зробити це на кожному пристрої IOS. ASA трохи відрізняються.

Змінити: Я не можу взяти кредит на , sh ip int | inc line protocol|access list is [^ ]+$як це було з PacketLife IOS рад .


1

Я раніше возився з цим і виявив досить прямолінійний вираз, який повинен дати вам те, що ви хочете.

шо ip int | inc ^ [AZ] | список доступу

Список необхідний для ігнорування рядка порушень доступу.


1

Я пам’ятаю це таким чином. Найпростіший і найкоротший для мене запам'ятовується.

sh ip int | i line|list

приємно і лаконічно
Jeff Wright


0

ш бігати | в ^ між | доступ-гр

дає вихід із запущеного конфігурації


Чи можете ви відредагувати питання, щоб пояснити, як працює ця команда?
jwbensley

-1

На пристроях Nexus можна видавати показ резюме списку доступу або показувати зведення списку доступу до ip

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.