cisco acl配置命令(思科路由器acl配置命令格式)

發(fā)布時間：2024-03-18

本文為大家介紹cisco acl配置命令(思科路由器acl配置命令格式)，下面和小編一起看看詳細(xì)內(nèi)容吧。
cisco acl序列修改
在“過去”，您可以在acl 中添加新條目的唯一位置是在它的底部。不可能在訪問控制列表的特定位置添加條目。如果要在現(xiàn)有訪問控制列表的指定位置添加條目，則必須將其所有內(nèi)容復(fù)制到記事本中，修改它，刪除現(xiàn)有訪問控制列表，并將新修改的作為新列表，然后繼續(xù)重建和重新編譯。
思科通過引入序列號改變了這一切。此功能從網(wǎng)絡(luò)操作系統(tǒng)版本12.2(14) 開始可用。通過使用序列號，您可以在需要的地方添加條目，在需要的地方刪除條目，并重新排列列表。這個新功能使管理訪問控制列表變得非常方便。
你們中的許多人應(yīng)該已經(jīng)非常熟悉在訪問控制列表中編輯序列號。如果你不明白這樣的操作，你可以看看下面提供的例子。
讓我們看看這樣做是多么容易。在這個例子中，我們將打開一個現(xiàn)有的訪問控制列表，向其中添加一個項目，重新排列列表，然后刪除一個項目。我們將在同一個用戶界面下完成所有這些工作。在此示例中，我使用了一個簡單的擴(kuò)展acl，但該操作也適用于其他類型的acl。
show run命令的運行結(jié)果如下：
接口ethernet0/0
ip 訪問組mytestacl 在
ip 訪問列表擴(kuò)展mytestacl
允許ip 10.10.10.0 0.0.0.255 任何
允許icmp 10.10.10.0 0.0.0.255 任何
拒絕ip 10.10.20.0 0.0.0.255 任何
允許tcp 10.10.30.0 0.0.0.255 主機(jī)192.168.87.65 eq www
如您所見，序列號不會顯示在路由器運行配置中。輸入的序列號信息只能通過show access-list命令查看訪問列表才能顯示出來。
router#sh 訪問列表
擴(kuò)展ip 訪問列表mytestacl
10 允許ip 10.10.10.0 0.0.0.255 任何
20 允許icmp 10.10.10.0 0.0.0.255 任何
30 拒絕ip 10.10.20.0 0.0.0.255 任何
40 允許tcp 10.10.30.0 0.0.0.255 主機(jī)192.168.87.65 eq www
現(xiàn)在我們有了我們需要的信息，我們可以在不干擾現(xiàn)有訪問控制列表的操作的情況下，在所需位置插入一條新數(shù)據(jù)。在這個例子中，我們將在第25 個序列號位置插入一個新的許可證聲明。需要注意的是，聲明的第一部分是新的序列號。
路由器#conf t
路由器（配置）#ip 訪問列表擴(kuò)展mytestacl
路由器（config-ext-nacl）#25 permit tcp host 10.10.20.5 host 192.168.87.65 eq www
下圖是調(diào)整更改后的結(jié)果：
router#sh 訪問列表mytestacl
擴(kuò)展ip 訪問列表mytestacl
10 允許ip 10.10.10.0 0.0.0.255 任何
20 允許icmp 10.10.10.0 0.0.0.255 任何
25 permit tcp host 10.10.20.5 host 192.168.87.65 eq www（**注意換行）
30 拒絕ip 10.10.20.0 0.0.0.255 任何
40 允許tcp 10.10.30.0 0.0.0.255 主機(jī)192.168.87.65 eq www
現(xiàn)在我們重新編譯更改后的訪問控制列表。訪問控制列表將使用我選擇的起始序列號和增加的標(biāo)準(zhǔn)對整個事物進(jìn)行操作。
路由器（配置）#ip 訪問列表重新排序mytestacl 100 20
執(zhí)行show access-list命令查看訪問列表的結(jié)果如下：
router#sh 訪問列表mytestacl
擴(kuò)展ip 訪問列表mytestacl
100 允許ip 10.10.10.0 0.0.0.255 任何
120 允許icmp 10.10.10.0 0.0.0.255 任何
140 允許tcp 主機(jī)10.10.20.5 主機(jī)192.168.87.65 eq www
160 拒絕ip 10.10.20.0 0.0.0.255 任何
180 允許tcp 10.10.30.0 0.0.0.255 主機(jī)192.168.87.65 eq www
在示例的最后，我們將刪除訪問控制列表中的一條信息，而不是刪除整個列表。
路由器#conf t
輸入配置命令，每行一個。以cntl/z 結(jié)束。
路由器（配置）#ip 訪問列表擴(kuò)展mytestacl
路由器（config-ext-nacl）#no 120 permit icmp 10.10.10.0 0.0.0.255 any
（**注意序號）
router#sh 訪問列表mytestacl
擴(kuò)展ip 訪問列表mytestacl
100 允許ip 10.10.10.0 0.0.0.255 任何
140 允許tcp 主機(jī)10.10.20.5 主機(jī)192.168.87.65 eq www
160 拒絕ip 10.10.20.0 0.0.0.255 任何
180 允許tcp 10.10.30.0 0.0.0.255 主機(jī)192.168.87.65 eq www
請注意，您不必在每次修改訪問控制列表時都重新排列它。
好了，cisco acl配置命令(思科路由器acl配置命令格式)的介紹到這里就結(jié)束了，想知道更多相關(guān)資料可以收藏我們的網(wǎng)站。