今のところの機能

ここに置いてある

• stereocat/cisco_acl_intp

今のところこの辺の機能が実装できています。

• Named/Numbered ACL
• Extended/Standard ACL

名前付き拡張ACLとかで 2×2になるので、主要な4種類の ACL を parse することができます。というより目論見は parse することと言うよりは、読んだ上でアレコレ処理させることなので、ACL Interpreter (ACL Intp) という名前にしてみました。

インストール

bundler で生成しているけど rubygems への登録とかはしてません。というのもまだ大幅に内容を書き換える可能性があると思っているので。そもそもですね。テストとかまだちゃんと網羅的にかけてないのですよ。そこそこ動くよな…というところまでは見えているけど。入れるのはそんなに面倒じゃないはず。git clone して bundle install してください。

Syntax Checker として

とりあえず動かしてみましょうかね。tool/check-acl.rb は ACL Intp の応用として書いてみたツールです。複数のACLを読み込んで解釈し、同じ物を出力するだけです…ってだけだとあまり実用性がないので、エラーがあればそれを教えてくれます。手書きで書いたACLが正しいかどうかチェックするような使い方を想定した物ですね。term-ansicolor を使って、要素別にカラーリングをしています。

stereocat@vnwt10ctrl-of13:~/cisco_acl_intp$ ruby tool/check-acl.rb -h
ruby tool/check-acl.rb [options] [args]
    -c, --color                      enable coloring
    -d, --debug                      enable debug print
        --yydebug                    enable yydebug
    -f, --file FILE                  acl file
stereocat@vnwt10ctrl-of13:~/cisco_acl_intp$

samples ディレクトリにいくつかACLのサンプルがあります。それを読ませてみましょう。-fオプションでファイルをわたしてもいいし、ファイルオプションがなければ標準入力から読むようになっています。

• 元ファイル
  • 対応している4種類のACLを書いてあります。
  • 各 ACL にはいくつかエラーが埋め込んであります。エラーがある行の前後には remark をつけてあります。

stereocat@vnwt10ctrl-of13:~/cisco_acl_intp$ cat samples/err-acl.txt
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 1 deny   any log
access-list 100 remark General Internet Access
access-list 100 permit icmp any any
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
access-list 100 permit tcp any host 210.197.74.200
access-list 100 remark !wrong acl number!
access-list 10 permit udp any eq ntp any eq ntp
access-list 100 remark !------cleared------!
access-list 100 remark !wrong header! caccess-list
caccess-list 100 remark 6to4
access-list 100 remark !------cleared------!
access-list 100 permit 41 any host 192.88.99.1
access-list 100 remark !wrong ip proto number!
access-list 100 permit 256 any host 192.88.99.1
access-list 100 remark !------cleared------!
access-list 100 remark !wrong ip proto!
access-list 100 permit hoge any host 192.88.99.1
access-list 100 remark !------cleared------!
access-list 100 permit ip any host 192.88.99.1
access-list 100 remark others
access-list 100 permit tcp any eq 0 any eq 0
access-list 100 permit udp any eq 0 any eq 0
access-list 100 deny   ip any any log
access-list 110 remark SPLIT_VPN
access-list 110 permit ip 192.168.0.0 0.0.255.255 any

ip access-list extended FA8-OUT
deny   udp any any eq bootpc
deny   udp any any eq bootps
remark !argment error! 65536
permit tcp host 192.168.3.4 173.30.240.0 0.0.0.255 range 32768 65536
remark !------cleared------!
remark !argment error! 255 => 256
deny udp 192.168.3.0 0.0.240.256 lt 1024 any eq 80
remark !------cleared------!
remark network access-list remark!!
permit tcp any any established
deny tcp any any syn rst
remark !syntax error! tcp -> tp (typo)
deny up any any log-input hoge
remark !------cleared------!
permit ip any any log
!
ip access-list standard remote-ipv4
permit 192.168.0.0 0.0.255.255
remark standard access-list last deny!?
deny   any log
!
stereocat@vnwt10ctrl-of13:~/cisco_acl_intp$

実行してみるとこんな感じ。

• 青背景: ACL ヘッダ
• 白文字強調: ACL名/番号 (ID)
• 紫っぽいの: アクション
• 緑: IPアドレス
• 黄: マスク
• 水色: プロトコル関連
• グレー背景: コメント (remark)

いま、Parser 上のエラー処理(エラーリカバリ)は行単位なので、

• エラーがあればその行は捨てる
• 1行に複数のエラーがある場合は、エラー判定できるのは最初に見つかった物だけ

です。ということで、元ファイルのエラー行が消えて、前後の remark 行だけが出てくれてれば正解、ということ。見つかったエラーは上の方にわらわらっと出てます。