Недавно встретил среди своей команды некоторое непонимание принципов работы ремарок в списках доступа. Ремарки расценивались, как еще еще одна строка с правилом. Не было понимания, как работать с блоками правил под одной ремаркой и т.п.
Хотел найти внятное описание по этой теме, но к своему великому удивлению, ничего не нашел. Поэтому решил описать данную тему сам.
Приступим, создадим некий ACL с несколькими правилами:
(config)#ip access-list extended SOME_ACL
(config-ext-nacl)#remark HOST1
(config-ext-nacl)#permit ip host 1.1.1.1 any
(config-ext-nacl)#remark BLOCK OF RULES
(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 any
(config-ext-nacl)#permit ip 192.168.0.0 0.0.255.255 anyВот так он выглядит при просмотре конфигурации и непосредственно списка
# sh run | sec SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
#sh ip access-list SOME_ACL
Extended IP access list SOME_ACL
10 permit ip host 1.1.1.1 any
20 permit ip 10.0.0.0 0.255.255.255 any
30 permit ip 192.168.0.0 0.0.255.255 anyВот эта разница в выводе, всегда доставляла некоторое неудобство, но к этому привыкаешь. Более того, главное непонимание принципов работы ремарок происходит из-за отсутствия номера у ремарки. (Надо сказать, что в NXOS это изменено и там ремарки - это обычная строка с номером, наравне с правилами)
Так вот, главное откровение кроется в том, что, ремарка тут - это просто текстовая строка, "приклеенная" к введенному далее правилу, не важно, куда вставленному внутри списка.
Например, вводим только одну ремарку и смотрим конфиг:
(config-ext-nacl)#remark HOST2
(config-ext-nacl)#do sh run | s SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
permit ip 192.168.0.0 0.0.255.255 any
remark HOST2Ремарка в конце списка. Ок, далее вводим правило, и, для наглядности вставим его внутрь BLOCK OF RULES.
(config-ext-nacl)#25 permit ip host 2.2.2.2 any
(config-ext-nacl)#do sh run | s SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
remark HOST2
permit ip host 2.2.2.2 any
permit ip 192.168.0.0 0.0.255.255 anyРемарка переместилась над введенным правилом. Тут же развенчиваем второй домысел, нет никаких блоков правил под одной ремаркой. Каждая ремарка приклеивается только к одному правилу. Это знание очень упрощает понимание
Идем далее. Ремарки можно удалять, классически предварив ее командой no. Либо удалив приклеенное к ней правило. Но, вставить ремарку к существующему правилу не получится. В таком случае необходимо удалить правило, написать ремарку и вставить правило на прежнее место.
(config-ext-nacl)#do sh run | s SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
remark HOST2
permit ip host 2.2.2.2 any
permit ip 192.168.0.0 0.0.255.255 any
(config-ext-nacl)#no remark HOST2
(config-ext-nacl)#do sh run | s SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
permit ip host 2.2.2.2 any
permit ip 192.168.0.0 0.0.255.255 any
(config-ext-nacl)# remark HOST2
(config-ext-nacl)# permit ip host 2.2.2.2 any
(config-ext-nacl)#do sh run | s SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
permit ip host 2.2.2.2 any
permit ip 192.168.0.0 0.0.255.255 any
remark HOST2
(config-ext-nacl)#no permit ip host 2.2.2.2 any
(config-ext-nacl)#25 permit ip host 2.2.2.2 any
(config-ext-nacl)#do sh run | s SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
remark HOST2
permit ip host 2.2.2.2 any
permit ip 192.168.0.0 0.0.255.255 anyТакже можно делать многострочные ремарки
(config-ext-nacl)#remark ----------------------
(config-ext-nacl)#remark - MULTILINE REMARK
(config-ext-nacl)#remark ----------------------
Duplicate remark statement
(config-ext-nacl)#remark ---------------------
(config-ext-nacl)#permit ip host 3.3.3.3 any
(config-ext-nacl)#remark ---------------------
(config-ext-nacl)#do sh run | s SOME
ip access-list extended SOME_ACL
remark HOST1
permit ip host 1.1.1.1 any
remark BLOCK OF RULES
permit ip 10.0.0.0 0.255.255.255 any
remark HOST2
permit ip host 2.2.2.2 any
permit ip 192.168.0.0 0.0.255.255 any
remark ----------------------
remark - MULTILINE REMARK
remark ---------------------
permit ip host 3.3.3.3 any
remark ---------------------
Из этого примера, видим, что две одинаковые ремарки друг за другом мы ввести не сможем. Но после того, как ремарка уже приклеена к правилу, можем повторять ее снова. Но необходимо помнить, что если у нас во всем списке есть несколько одинаковых ремарок к разным правилам, то если мы удалим ремарку через конструкцию no remark, то удалится самая первая из всего списка. Т.е. если вы хотели удалить ремарку, которая повторяется в нескольких правилах, то удалять в таком случае лучше вместе с правилом.
Подведем некое резюме.
Ремарка приклеивается к одному правилу, введенному после нее.
Из этого же вытекает, что нет никаких блоков правил под одной ремаркой, это искусственная видимость - первое правило "блока" с ремаркой, остальные без.
Ремарки удаляются через конструкцию no remark или вместе с их правилом.
Приклеить ремарку к уже существующему правилу невозможно без удаления этого правила и последующего восстановления
Возможны многострочные ремарки (но зачем?)
Возможны повторяющиеся в разных правилах ремарки (но смысл?)
