Comando de Cisco para mostrar a qué interfaces se aplica una ACL

17

Para los enrutadores y conmutadores Cisco, ¿existe un comando show, o algo similar, que muestre en qué interfaces físicas y lógicas se implementa una ACL y en qué dirección se aplica?

Estoy buscando algo más simple que a show run | <some regex>.

Adam Loveless
fuente

Respuestas:

18

No creo que haya algo más simple que show interfaces | <some regex>desafortunadamente.

Editar:

De los comentarios a continuación, @ Santino señaló un RegEx más conciso:

show ip interface | include line protocol|access list

Mis pruebas hasta ahora indican que esto da los mismos resultados que mi RegEx más largo a continuación.


Usualmente uso lo siguiente para encontrar dónde se aplican las ACL:

show ip interface | include is up|is administratively|is down|Outgoing|Inbound

Esto le brinda todas las interfaces, sin importar el estado, y cuáles son las ACL de salida y de entrada. Por ejemplo:

LAB-4510-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound 
Vlan1 is administratively down, line protocol is down
Vlan110 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan140 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
Vlan150 is down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is VENDOR->INTERNET
Vlan210 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet1 is administratively down, line protocol is down
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet1/2 is down, line protocol is down
  Inbound  access list is not set
  Outgoing access list is not set

Y así sucesivamente para cada interfaz.


Este comando funciona en conmutadores y enrutadores Cisco. Vea la salida de muestra de un enrutador 7200 a continuación:

LAB-7204-A#show ip interface | include is up|is administratively|is down|Outgoing|Inbound
GigabitEthernet0/1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
FastEthernet0/2 is administratively down, line protocol is down
GigabitEthernet0/2 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
GigabitEthernet0/3 is administratively down, line protocol is down
SSLVPN-VIF0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback0 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Loopback1 is up, line protocol is up
  Outgoing access list is not set
  Inbound  access list is not set
Brett Lykins
fuente
3
Probablemente podría acortar eso a show ip interface | include line protocol|access list Para NX-OS,show ip access-list summary
Santino
1
@Santino, cierto! Editaré mi respuesta en consecuencia. Además, al investigar más, también veo que Jeremy Stretch en PacketLife ya ha recorrido este camino con otro RegEx más corto (pero no tan corto como el tuyo): show ip interface | include line protocol|access list is [^ ]+$ no estoy seguro de si hay una razón por la que necesitamos la correspondencia adicional de RegEx después de "lista de acceso".
Brett Lykins el
2
La expresión regular de Stretch filtrará las líneas de la lista de acceso que no estén establecidas. El final de su expresión regular coincide con una sola palabra, que coincidiría con una ACL ya que no pueden tener espacios. Buen descubrimiento.
Santino
1
@Santino, eso tiene sentido! Gracias por la explicación. Después de volver a la página de Stretch, vi la explicación allí también ... ::
Error de
3

Si tiene un show run | <some regex>comando que le gusta que muestra la información que necesita, siempre puede crear un alias.

Un ejemplo usando este comando: alias exec shacls sh ip int | inc line protocol|access list is [^ ]+$.

Luego puede usar alias-name(en este caso, chales) y será lo mismo queshow run | <some regex>

Nota: Debería hacer esto en cada dispositivo IOS. Los ASA son ligeramente diferentes.

Editar: No puedo tomar el crédito por sh ip int | inc line protocol|access list is [^ ]+$eso fue de PacketLife IOS Tips .

bigbash
fuente
1

Estaba jugando con esto antes y encontré una expresión regular bastante sencilla que debería darte lo que quieres.

sho ip int | inc ^ [AZ] | lista de acceso

La lista es necesaria para ignorar la línea de infracciones de acceso.

omega
fuente
1

Lo recuerdo así. Más fácil y más corto de recordar para mí.

sh ip int | i line|list
Alta fidelidad
fuente
agradable y conciso
Jeff Wright
0

show ip interface debería hacer el truco.

fredpbaker
fuente
0

sh corre | in ^ inter | access-gr

da salida de la configuración de ejecución

estrella de rock
fuente
¿Podría editar la pregunta para explicar cómo funciona este comando?
jwbensley
-1

En los dispositivos Nexus, puede emitir mostrar resumen de lista de acceso o mostrar resumen de lista de acceso ip

JoJo
fuente