Commande Cisco pour montrer à quelles interfaces une ACL est appliquée

17

Pour les routeurs et commutateurs Cisco, existe-t-il une commande show, ou quelque chose de similaire, qui affichera sur quelles interfaces physiques et logiques une ACL est implémentée et dans quelle direction elle est appliquée?

Je cherche quelque chose de plus simple qu'un show run | <some regex>.

Adam Loveless
la source

Réponses:

18

Je ne pense pas qu'il y ait quelque chose de plus simple que show interfaces | <some regex>malheureusement.

Éditer:

D'après les commentaires ci-dessous, @ Santino a souligné un RegEx plus concis:

show ip interface | include line protocol|access list

Mes tests jusqu'à présent indiquent que cela donne les mêmes résultats que mon RegEx plus long ci-dessous.


J'utilise généralement les éléments suivants pour trouver où les listes de contrôle d'accès sont appliquées:

show ip interface | include is up|is administratively|is down|Outgoing|Inbound

Cela vous donne toutes les interfaces, quel que soit l'état, puis ce que sont les ACL sortants et entrants. Par exemple:

LAB-4510-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound 
Vlan1 is administratively down, line protocol is down
Vlan110 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan140 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
Vlan150 is down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan210 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet1 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/2 is down, line protocol is down
  Inbound  access list is not set
  Outgoing access list is not set

Et ainsi de suite pour chaque interface.


Cette commande fonctionne à la fois sur les commutateurs et les routeurs Cisco. Voir l'exemple de sortie d'un routeur 7200 ci-dessous:

LAB-7204-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound
GigabitEthernet0/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet0/2 is administratively down, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet0/3 is administratively down, line protocol is down
SSLVPN-VIF0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Brett Lykins
la source
3
Vous pourriez probablement raccourcir cela en show ip interface | include line protocol|access list For NX-OS,show ip access-list summary
Santino
1
@Santino, c'est vrai! Je modifierai ma réponse en conséquence. De plus, en faisant d'autres recherches, je constate également que Jeremy Stretch de PacketLife a déjà emprunté cette voie avec un autre RegEx plus court (mais pas aussi court que le vôtre): show ip interface | include line protocol|access list is [^ ]+$ je ne sais pas s'il y a une raison pour laquelle nous avons besoin de la correspondance RegEx supplémentaire après "liste d'accès".
Brett Lykins
2
L'expression régulière de Stretch filtrera les lignes de liste d'accès qui ne sont pas définies. La fin de son expression régulière correspond à un seul mot, qui correspondrait à une ACL car ils ne peuvent pas avoir d'espaces. Bonne trouvaille.
Santino
1
@Santino, c'est logique! Merci pour l'explication. Après être retourné à la page de Stretch, j'ai également vu l'explication ... ::
Échec de
3

Si vous avez une show run | <some regex>commande que vous aimez qui affiche les informations dont vous avez besoin, vous pouvez toujours créer un alias.

Un exemple en utilisant cette commande: alias exec shacls sh ip int | inc line protocol|access list is [^ ]+$.

Ensuite, vous pouvez simplement utiliser alias-name(dans ce cas shacls) et ce sera la même chose queshow run | <some regex>

Remarque: vous devez effectuer cette opération sur chaque périphérique IOS. Les ASA sont légèrement différents.

Edit: je ne peux pas prendre le crédit sh ip int | inc line protocol|access list is [^ ]+$car c'était des conseils PacketLife IOS .

bigbash
la source
1

J'étais en train de jouer avec cela plus tôt et j'ai trouvé une expression rationnelle assez droite qui devrait vous donner ce que vous voulez.

sho ip int | inc ^ [AZ] | liste d'accès

La liste est nécessaire pour ignorer la ligne des violations d'accès.

oméga
la source
1

Je m'en souviens de cette façon. Le plus simple et le plus court à retenir pour moi.

sh ip int | i line|list
Haute-fi
la source
agréable et concis
Jeff Wright
0

show ip interface devrait faire l'affaire.

Fredpbaker
la source
0

sh run | dans ^ inter | access-gr

donne la sortie de running-config

rock star
la source
Pourriez-vous modifier la question pour expliquer le fonctionnement de cette commande?
jwbensley
-1

Sur les appareils Nexus, vous pouvez émettre un résumé de la liste d'accès ou un résumé de la liste d'accès IP

JoJo
la source