Polecenie Cisco, aby pokazać, do których interfejsów jest stosowana lista ACL

17

Czy w przypadku routerów i przełączników Cisco istnieje komenda show lub coś podobnego, która pokaże, w jakim fizycznym i logicznym interfejsie implementowana jest lista ACL i w jakim kierunku jest stosowana?

Szukam czegoś prostszego niż show run | <some regex>.

cisco switch router acl interface Adam Loveless
źródło

Odpowiedzi:

18

Nie wierzę, że jest coś prostszego niż show interfaces | <some regex>niestety.

Edytować:

Z poniższych komentarzy @ Santino wskazał bardziej zwięzły RegEx:

show ip interface | include line protocol|access list

Moje dotychczasowe testy wskazują, że daje to takie same wyniki jak mój dłuższy RegEx poniżej.

Zazwyczaj używam następujących, aby dowiedzieć się, gdzie są stosowane listy ACL:

show ip interface | include is up|is administratively|is down|Outgoing|Inbound

Daje to każdy interfejs, bez względu na stan, a następnie jakie są listy ACL dla wiadomości Outbound i Inbound. Na przykład:

LAB-4510-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound 
Vlan1 is administratively down, line protocol is down
Vlan110 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan140 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
Vlan150 is down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan210 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet1 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/2 is down, line protocol is down
  Inbound  access list is not set
  Outgoing access list is not set

I tak dalej dla każdego interfejsu.

To polecenie działa zarówno na przełącznikach Cisco, jak i routerach. Zobacz przykładowe dane wyjściowe z routera 7200 poniżej:

LAB-7204-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound
GigabitEthernet0/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet0/2 is administratively down, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet0/3 is administratively down, line protocol is down
SSLVPN-VIF0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Brett Lykins
źródło
3
Prawdopodobnie mógłbyś to skrócić do show ip interface | include line protocol|access list For NX-OS,show ip access-list summary
Santino
1
@Santino, prawda! Odpowiednio zmodyfikuję swoją odpowiedź. Ponadto, prowadząc dalsze badania, widzę również, że Jeremy Stretch w PacketLife przeszedł już tę drogę z innym krótszym RegEx (ale nie tak krótkim jak twój): show ip interface | include line protocol|access list is [^ ]+$ Nie jestem pewien, czy istnieje powód, dla którego potrzebujemy dodatkowego dopasowania RegEx po „liście dostępu”.
Brett Lykins
2
Wyrażenie regularne Stretch odfiltruje nie ustawione linie listy dostępu. Koniec wyrażenia regularnego pasuje do jednego słowa, które pasowałoby do ACL, ponieważ nie mogą mieć spacji. Dobre znalezisko.
Santino
1
@Santino, to ma sens! Dziękuję za wyjaśnienie. Po powrocie na stronę Stretcha zobaczyłem tam również wyjaśnienie ... :: Błąd odczytu :: z mojej strony :)
Brett Lykins
3

Jeśli masz takie show run | <some regex>polecenie, które wyświetla potrzebne informacje, zawsze możesz utworzyć alias.

Przykładem poleceniem: alias exec shacls sh ip int | inc line protocol|access list is [^ ]+$.

Następnie możesz po prostu użyć alias-name(w tym przypadku shaclów) i będzie to to samo coshow run | <some regex>

Uwaga: musisz to zrobić na każdym urządzeniu IOS. ASA są nieco inne.

Edycja: Nie mogę wziąć za kredyt, sh ip int | inc line protocol|access list is [^ ]+$ponieważ to było z PacketLife IOS Tips .

bigbash
źródło
1

Bałam się z tym wcześniej i znalazłem dość prosty regex, który powinien dać ci to, czego chcesz.

sho ip int | inc ^ [AZ] | lista dostępu

Lista jest potrzebna, aby zignorować linię naruszeń dostępu.

omega
źródło
1

Tak to pamiętam. Najłatwiejszy i najkrótszy do zapamiętania dla mnie.

sh ip int | i line|list
High-fi
źródło
ładne i zwięzłe
Jeff Wright
0

show ip interface powinien załatwić sprawę.

Fredpbaker
źródło
0

biegnij | in ^ inter | access-gr

podaje dane wyjściowe z uruchomionej konfiguracji

gwiazda rocka
źródło
Czy możesz edytować pytanie, aby wyjaśnić, jak działa to polecenie?
jwbensley
-1

Na urządzeniach Nexus możesz wyświetlać podsumowanie listy dostępu lub podsumowanie listy dostępu ip

JoJo
źródło