После долгих согласований на работе, мне наконец то купили новую cisco. Она не сильно лучше текущей, просто по протоколам безопасности я должен иметь запасную. В связи с необходимостью расширения количества подсетей (читаем Vlan’ов) я принял решение что будет правильнее и проще написать хороший и правильный конфиг на новую cisco, согласовать остановку предприятия и быстренько её подменить.
Решение конечно может и не самое простое — но так будет лучше. Все причины описывать долго, да и это скажем так слегка конфиденциальная информация :) И так — в качестве новой «головной» циски по моему заказу приобрели Cisco WS-C3560X-24T-S. Железяка без наворотов, но для общего трафика на предприятии мне хватит, по крайней мере пока.
Сегодня я в свое личное свободное время решил переписать access-list’ы (ACL). Старые меня не устраивали как и общей концепцией (создавались более 5 лет назад и не мной), так и видом написания. Старые были написаны с использованием нумерования, вот как это выглядело:
access-list 174 remark ================================================= access-list 174 remark = int vlan74 IN ================================= access-list 174 remark ------------------------------------------------- access-list 174 remark = vlan74 --IP-> vlan74: access-list 174 permit ip 192.168.74.0 0.0.0.255 192.168.74.0 0.0.0.255 access-list 174 permit ip 192.168.74.0 0.0.0.255 host 255.255.255.255 access-list 174 remark ------------------------------------------------- access-list 174 remark = vlan74 --IP-> FCT: access-list 174 permit ip 192.168.74.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 174 permit ip 192.168.74.0 0.0.0.255 192.168.19.0 0.0.0.255 access-list 174 remark ------------------------------------------------- access-list 174 remark = Deny all: access-list 174 permit ip 192.168.74.0 0.0.0.255 host 192.168.73.210 access-list 174 deny ip any any log
В принципе свою задачу этот кусок листа выполняет, однако его редактирование представляет довольно проблематичную задачу. Я для собственного удобства решил немного переписать весь лист. Я использовал именованные acl листы. Их гораздо проще редактировать, можно спокойно работать практически построчно. Такое написание конфига сулит уйму плюсов — в случае необходимости добавления какого то правила я его просто дописываю в нужное место, а не переписываю весь access-list. Вот выглядит тот же кусок правил, но уже переписанный мной. Выполняют они одно и то же — но на лицо удобство в дальнейшем обслуживании.
ip access-list extended vlan74 remark ********** Vlan 74 (iGate) remark ****************************** remark ********** Vlan 74 ip to Vlan 74 ip 10 permit ip 192.168.74.0 0.0.0.255 192.168.74.0 0.0.0.255 20 permit ip 192.168.74.0 0.0.0.255 host 255.255.255.255 remark ****************************** remark ********** Vlan 74 ip to FCT ip 30 permit ip 192.168.74.0 0.0.0.255 192.168.10.0 0.0.0.255 40 permit ip 192.168.74.0 0.0.0.255 192.168.19.0 0.0.0.255 remark ****************************** remark ********** Deny all 50 deny ip any any log remark ******************************