扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
以往在配置中要修改一个访问控制列表比较麻烦:基本上你只能在ACL的尾部添加新的语句。如果要修改的是ACL的其他部分,只好把访问控制 列表删除重写。如果访问控制列表已经应用到端口上,要把它从端口上撤下来,否则在重新输入ACL时,由于第一个被输入的ACL语句立即生效 ,往往会暂时阻断使用了该ACL的端口上的大部分通讯,甚至使远程登录回话中断,无法输入后面的ACL语句。
在IOS的新版本(12.2(14)S,12.2(15)T,12.3(2)T以上)中引入了ACL编号(ACL Sequence Numbering)功能,使得访问控制列表的编辑变得非常 的方便和快捷,请看以下操作:
1.建立一个测试用访问控制列表
R1(config)#ip access-list extended 199
R1(config-ext-nacl)#deny tcp any any eq 80
R1(config-ext-nacl)#deny udp any any eq 8000
R1(config-ext-nacl)#permit ip any any
R1#show run | include 199
access-list 199 deny tcp any any eq www
access-list 199 deny udp any any eq 8000
access-list 199 permit ip any any
2.显示访问控制列表语句的当前序号
R1#show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
20 deny udp any any eq 8000
30 permit ip any any
3.在访问控制列表中指定的位置上增加一个语句
R1(config)#ip access-list extended 199
R1(config-ext-nacl)#12 permit udp any host 192.168.1.1 eq 8000
R1#show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
12 permit udp any host 192.168.1.1 eq 8000
20 deny udp any any eq 8000
30 permit ip any any
4.删除访问控制列表中的某个特定语句
R1(config)#ip access-list extended 199
R1(config-ext-nacl)#no 20
R1#show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
12 permit udp any host 192.168.1.1 eq 8000
30 permit ip any any
5.重新编排一个访问控制列表的序号
R1(config)#ip access-list resequence 199 10 10
R1(config)#do show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
20 permit udp any host 192.168.1.1 eq 8000
30 permit ip any any
(在这里do 命令运行您在配置模式下执行一个EXEC命令,该命令要求IOS版本12.2(8)T 以上)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者