<HTML>
<HEAD>
<META content="text/html; charset=iso-8859-1" http-equiv=Content-Type>
<META content="OPENWEBMAIL" name=GENERATOR>
</HEAD>
<BODY bgColor=#ffffff>
When rebuilding the ACL  especially long ones, it can take a few seconds
 before the final 'permit ip any any' entry makes it across to allow 
traffic.  By default fastiron ACL will deny all un-matched traffic.
<br />

<br />
With regards to switching between ACL's, I guess letting bad traffic 
past for a brief moment is better than denying all traffic during that time.  I was just 
hoping there was a better way.  Oh well.
<br />

<br />
~Randy
<br />
<br /><font size="2"><b>On Mon, 12 Sep 2011 12:02:38 -0400, Scott T. Cameron wrote</b>
<br />> 
I'm not following you when you say "implicit deny".  If you remove 
the actual line where you apply the ACL to an interface, it will permit all 
traffic.  Then you can go make changes to the ACL and re-apply.
<br />> 
<br />> 
In the worst case, you might have unintentional traffic pass for a couple of 
seconds.
<br />> 
<br />> If you really want to have the least window possible, 
use a different ACL ID and switch.
<br />> 
<br />> Scott
<br />
<br />
</font>

</BODY>
</HTML>