詳細講解增強的ACL修改功能

2019-11-04 20:34:38

字體：大中小

來源：轉載

供稿：網友

　　以往在配置中要修改一個訪問控制列表比較麻煩：基本上你只能在ACL的尾部添加新的語句。假如要修改的是ACL的其他部分，只好把訪問控制列表刪除重寫。假如訪問控制列表已經應用到端口上，要把它從端口上撤下來，否則在重新輸入ACL時，由于第一個被輸入的ACL語句立即生效，往往會暫時阻斷使用了該ACL的端口上的大部分通訊，甚至使遠程登錄回話中斷，無法輸入后面的ACL語句。
　　
　　在IOS的新版本（12.2(14)S，12.2(15)T，12.3(2)T以上)中引入了ACL編號(ACL Sequence Numbering)功能，使得訪問控制列表的編輯變得非常的方便和快捷，請看以下操作：
　　
　　 1.建立一個測試用訪問控制列表
　　 R1(config)#ip access-list extended 199
　　 R1(config-ext-nacl)#deny tcp any any eq 80
　　 R1(config-ext-nacl)#deny udp any any eq 8000
　　 R1(config-ext-nacl)#permit ip any any
　　 R1#show run include 199
　　 access-list 199 deny　 tcp any any eq www
　　 access-list 199 deny　 udp any any eq 8000
　　 access-list 199 permit ip any any
　　
　　 2.顯示訪問控制列表語句的當前序號
　　 R1#show ip access-lists 199
　　 Extended IP access list 199
　　　　 10 deny tcp any any eq www
　　　　 20 deny udp any any eq 8000
　　　　 30 permit ip any any
　　
　　 3.在訪問控制列表中指定的位置上增加一個語句
　　 R1(config)#ip access-list extended 199
　　 R1(config-ext-nacl)#12 permit udp any host 192.168.1.1 eq 8000
　　 R1#show ip access-lists 199
　　 Extended IP access list 199
　　　　 10 deny tcp any any eq www
　　　　 12 permit udp any host 192.168.1.1 eq 8000
　　　　 20 deny udp any any eq 8000
　　　　 30 permit ip any any
　　
　　 4.刪除訪問控制列表中的某個特定語句
　　 R1(config)#ip access-list extended 199
　　 R1(config-ext-nacl)#no 20
　　 R1#show ip access-lists 199
　　 Extended IP access list 199
　　　　 10 deny tcp any any eq www
　　　　 12 permit udp any host 192.168.1.1 eq 8000
　　　　 30 permit ip any any
　　
　　 5.重新編排一個訪問控制列表的序號
　　 R1(config)#ip access-list resequence 199 10 10
　　 R1(config)#do show ip access-lists 199
　　 Extended IP access list 199
　　　　 10 deny tcp any any eq www
　　　　 20 permit udp any host 192.168.1.1 eq 8000
　　　　 30 permit ip any any
　　 (在這里do 命令運行您在配置模式下執行一個EXEC命令，該命令要求IOS版本12.2(8)T 以上)

上一篇：NAT上網碰到的奇怪現象的處理方法之一：MTU 修改

下一篇：3680+12AM 做撥入的典型配置