cisco access-list の指定位置に追加する方法

Cisco

ciscoスイッチのaccess-listの設定で特定の位置に設定を追加する方法をまとめます。
すでに設定してあるaccess-listにあらたにaccess-listコマンドで追加すると、必ず一番下に追加されてしまいます。
例えばこんな感じです。

追加前
access-list 10 permit 192.168.1.3
access-list 10 deny   any log
access-list 20 permit 192.168.1.3
access-list 20 deny   any log
access-list 100 permit ip 192.168.1.16 0.0.0.7 192.168.1.16 0.0.0.7
access-list 100 permit ip 192.168.211.32 0.0.0.15 192.168.1.32 0.0.0.15

追加後
(config)# access-list 20 permit 192.168.1.4
access-list 10 permit 192.168.1.3
access-list 10 deny   any log
access-list 20 permit 192.168.1.3
access-list 20 deny   any log
access-list 20 permit 192.168.1.4
access-list 100 permit ip 192.168.1.16 0.0.0.7 192.168.1.16 0.0.0.7
access-list 100 permit ip 192.168.211.32 0.0.0.15 192.168.1.32 0.0.0.15

access-listの設定をする際、permitで許可して最後に全てdenyするといった方法を取りますが、
この設定だと、新たに許可したい時にdenyの後ろに設定が入ってしまって許可が有効になりません。
今まで、一旦access-list を消して、新しい設定を投入しなおす方法をとっていましたが、
これだと一瞬access-listが消えてしまうということで、特定の位置にaccess-list設定を追加したいと思いました。
以下、特定の箇所にaccess-listを挿入する方法です。

# show running-config
略
access-list 10 permit 192.168.1.3
access-list 10 deny   any log
access-list 20 permit 192.168.1.3
access-list 20 deny   any log
access-list 100 permit ip 192.168.1.16 0.0.0.7 192.168.1.16 0.0.0.7
access-list 100 permit ip 192.168.211.32 0.0.0.15 192.168.1.32 0.0.0.15
略

access-list 20番のdenyの1つ上にリストを追加したい場合の方法。

まずシーケンス番号を確認。

# show ip access-lists
Standard IP access list 10
    10 permit 192.168.1.3
    20 deny   any log
Standard IP access list 20
    10 permit 192.168.1.3
    20 deny   any log
Extended IP access list 100
    10 permit ip 192.168.1.16 0.0.0.7 192.168.1.16 0.0.0.7
    20 permit ip 192.168.1.32 0.0.0.15 192.168.1.32 0.0.0.15

ここで、挿入したい場所を確認すると、Standard IP access list 20番の10〜20間であることがわかる。

この情報を控えておいて以下の挿入コマンドを実行する。

# conf t
(config)# ip access-list standard 20
(config-std-nacl)# 11 permit 192.168.1.4
(config-std-nacl)# exit

これでアクセスリスト20番の11番目に新しいリストが挿入されます。

# show running-config
略
access-list 10 permit 192.168.1.3
access-list 10 deny   any log
access-list 20 permit 192.168.1.3
access-list 20 permit 192.168.1.4
access-list 20 deny   any log
access-list 100 permit ip 192.168.1.16 0.0.0.7 192.168.1.16 0.0.0.7
access-list 100 permit ip 192.168.211.32 0.0.0.15 192.168.1.32 0.0.0.15
略