“Best practice” spune ca primele linii dintr-un ACL sa fie acelea care sunt cel mai des validate de catre traficul care tranziteaza interfata pe care acel ACL este aplicat.
Atunci cand “best practice-ul” intern unui service provider impune filtrarea accesului per destinatie pentru fiecare client, devine destul de dificil de aproximat care intrare ACL va fi cel mai des validata.
Poate totusi in aceste conditii devine interesant de tinut intrarile ACL ordonate dupa adresa IP destinatie pentru a facilita citirea acestora in cazul unui troubleshoot-ing.
#show ip access-list 180
Extended IP access list 180
10 permit icmp any any
20 permit tcp any any established
30 permit tcp any host 172.16.65.5 eq 1000
40 permit tcp any host 172.16.65.8 eq 6547
50 permit tcp any host 172.16.65.9 eq 6244
60 permit tcp any host 172.16.65.13 eq 3542
70 permit tcp any host 172.16.68.7 eq 1232
Adaugarea unei noi reguli ACL pentru a permite traficul TCP catre destinatia 172.16.65.10:3234 poate fi facuta rapid, fara a periclita traficul si mentinand modul de indexare a intarilor ACL (din 10 in 10, prima intrare avand indexul 10), astfel:
(config)#ip access-list extended 180
(config-ext-nacl)#55 permit tcp any host 172.16.65.10 eq 3234
(config-ext-nacl)#exit
(config)#ip access-list resequence 180 10 10
(config)#end
#show ip access-list 180
Extended IP access list 180
10 permit icmp any any
20 permit tcp any any established
30 permit tcp any host 172.16.65.5 eq 1000
40 permit tcp any host 172.16.65.8 eq 6547
50 permit tcp any host 172.16.65.9 eq 6244
60 permit tcp any host 172.16.65.10 eq 3234
70 permit tcp any host 172.16.65.13 eq 3542
80 permit tcp any host 172.16.68.7 eq 1232
primul lucru pe care l-am facut a fost sa ma uit daca exista ceva asemanator pentru “prefix-list” 🙂 … si nu exista din pacate. foarte utila pare comanda asta, nu stiam de ea.