Команда Cisco, чтобы показать, к каким интерфейсам применяется ACL

17

Для маршрутизаторов и коммутаторов Cisco есть команда show или что-то подобное, которая будет отображать, на каких физических и логических интерфейсах реализован ACL и в каком направлении он применяется?

Я ищу что-то более простое, чем show run | <some regex>.

Адам Лавлесс
источник

Ответы:

18

Я не верю, что есть что-то попроще, чем, show interfaces | <some regex>к сожалению.

Редактировать:

Из комментариев ниже, @ Сантино указал на более лаконичный RegEx:

show ip interface | include line protocol|access list

Мои тесты пока показывают, что это дает те же результаты, что и мой более длинный RegEx ниже.


Я обычно использую следующее, чтобы найти, где применяются ACL:

show ip interface | include is up|is administratively|is down|Outgoing|Inbound

Это дает вам каждый интерфейс, независимо от состояния, а также исходящие и входящие ACL. Например:

LAB-4510-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound 
Vlan1 is administratively down, line protocol is down
Vlan110 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan140 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
Vlan150 is down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan210 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet1 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/2 is down, line protocol is down
  Inbound  access list is not set
  Outgoing access list is not set

И так для каждого интерфейса.


Эта команда работает как на коммутаторах, так и на маршрутизаторах Cisco. См. Пример выходных данных от маршрутизатора 7200 ниже:

LAB-7204-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound
GigabitEthernet0/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet0/2 is administratively down, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet0/3 is administratively down, line protocol is down
SSLVPN-VIF0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Бретт Ликинс
источник
3
Вы могли бы, вероятно, сократить это для show ip interface | include line protocol|access list NX-OS,show ip access-list summary
Сантино
1
@ Сантино, правда! Я буду редактировать свой ответ соответственно. Кроме того, проводя дальнейшие исследования, я также вижу, что Джереми Стретч из PacketLife уже прошел этот путь с другим более коротким RegEx (но не таким коротким, как у вас): show ip interface | include line protocol|access list is [^ ]+$ я не уверен, есть ли причина, по которой нам нужно дополнительное соответствие RegEx после "списка доступа".
Бретт Ликинс
2
Регулярное выражение Stretch отфильтровывает строки списка доступа, которые не установлены. Конец его регулярного выражения соответствует одному слову, которое будет соответствовать ACL, поскольку они не могут иметь пробелов. Хорошая находка.
Сантино
1
@ Сантино, это имеет смысл! Спасибо за объяснение. Вернувшись на страницу Стретча, я тоже увидел там объяснение ... ::
Ошибка
3

Если у вас есть show run | <some regex>команда, которая вам нравится, которая отображает необходимую вам информацию, вы всегда можете создать псевдоним.

Пример использования этой команды: alias exec shacls sh ip int | inc line protocol|access list is [^ ]+$.

Тогда вы можете просто использовать alias-name(в этом случае Shacls), и это будет так же, какshow run | <some regex>

Примечание. Это необходимо сделать на каждом устройстве IOS. ASAs немного отличаются.

Редактировать: я не могу взять кредит, sh ip int | inc line protocol|access list is [^ ]+$как это было от PacketLife IOS Tips .

bigbash
источник
1

Раньше я возился с этим и нашел довольно простое регулярное выражение, которое должно дать вам то, что вы хотите.

шо ip int | inc ^ [AZ] | список доступа

Список необходим для игнорирования строки нарушения прав доступа.

омега
источник
1

Я помню это таким образом. Самый простой и короткий для запоминания для меня.

sh ip int | i line|list
High-Fi
источник
красиво и лаконично
Джефф Райт
0

show ip interface должен сделать свое дело.

fredpbaker
источник
0

бегать | в ^ inter | access-gr

дает вывод из running-config

рокзвезда
источник
Не могли бы вы отредактировать вопрос, чтобы объяснить, как работает эта команда?
Jwbensley
-1

На устройствах Nexus вы можете выполнить команду show show-list summary или show ip access-list

JoJo
источник