CISCO ACL 順序修改

來源:本站原創 網絡技術 超過1,338 views圍觀 0條評論

利用序列號修改思科IOS的ACL

在“過去”,你在一個訪問控制列表中唯一可以添加一條新條目的位置就是它的底部。在訪問控制列表的指定位置添加條目的是不可能實現的工作。如果你想在一個已經存在的訪問控制列表的指定位置添加條目,就必須將其所有內容復制到記事本中,進行修改,并刪除現有的訪問控制列表,將新修改的作為新列表,進行重建和再編譯。

通過引入序列號,思科改變了這一切。該功能是從網絡操作系統12.2(14)版本開始提供的。通過使用序列號,你可以在希望的位置添加條目,也可以在需要刪除的位置進行刪除,并對列表進行重新排列。這項新功能讓訪問控制列表的管理變得非常方便。

你們中的很多人應該已經非常熟悉訪問控制列表中序列號的編輯了。如果不了解這樣的操作的話,可以看看下面提供的這個例子。

讓我們看看這樣的操作是多么的簡單。在這個例子中,我們將打開一個現有的訪問控制列表,在里面添加一條數據,對列表進行重新排列,接著還要刪除一條數據。所做的這一切,我們都會在同一個使用界面下進行。在這個例子中,我使用的是一個簡單的擴展訪問控制列表,但操作也適用于其它類型的訪問控制列表。

下面顯示的就是show run命令運行后的結果:

interface Ethernet0/0

ip access-group MYTESTACL in

ip access-list extended MYTESTACL

permit ip 10.10.10.0 0.0.0.255 any

permit icmp 10.10.10.0 0.0.0.255 any

deny ip 10.10.20.0 0.0.0.255 any

permit tcp 10.10.30.0 0.0.0.255 host 192.168.87.65 eq www

正如你所看到的,序列號不會顯示在路由器運行配置中。只有運行show access-list查看訪問列表顯示命令才能顯示輸入的序列號信息。

router#sh access-list

Extended IP access list MYTESTACL

10 permit ip 10.10.10.0 0.0.0.255 any

20 permit icmp 10.10.10.0 0.0.0.255 any

30 deny ip 10.10.20.0 0.0.0.255 any

40 permit tcp 10.10.30.0 0.0.0.255 host 192.168.87.65 eq www

現在在獲得了需要的信息后,我們就可以在希望的位置插入一條新數據了,并且不會干擾現有訪問控制列表的運行。在這個例子中,我們將在第二十五個序列號的位置插入一條新的許可證聲明。請務必注意,在語句的第一部分就是新的序列號。

router#conf t

router(config)#ip access-list extended MYTESTACL

router(config-ext-nacl)#25 permit tcp host 10.10.20.5 host 192.168.87.65 eq www

下面顯示的就是調整變化后的結果:

router#sh access-list MYTESTACL

Extended IP access list MYTESTACL

10 permit ip 10.10.10.0 0.0.0.255 any

20 permit icmp 10.10.10.0 0.0.0.255 any

25 permit tcp host 10.10.20.5 host 192.168.87.65 eq www (**note new line)

30 deny ip 10.10.20.0 0.0.0.255 any

40 permit tcp 10.10.30.0 0.0.0.255 host 192.168.87.65 eq www

現在我們對更改后的訪問控制列表進行重新編譯。訪問控制列表將按照我選擇的開始序列號以及增加標準對整個內容進行操作。

router(config)#ip access-list resequence MYTESTACL 100 20

下面顯示的就是運行show access-list顯示訪問列表命令后的結果:

router#sh access-lists MYTESTACL

Extended IP access list MYTESTACL

100 permit ip 10.10.10.0 0.0.0.255 any

120 permit icmp 10.10.10.0 0.0.0.255 any

140 permit tcp host 10.10.20.5 host 192.168.87.65 eq www

160 deny ip 10.10.20.0 0.0.0.255 any

180 permit tcp 10.10.30.0 0.0.0.255 host 192.168.87.65 eq www

在例子的最后,我們將刪除訪問控制列表中的一條信息而不是刪除整個列表。

router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

router(config)#ip access-list extended MYTESTACL

router(config-ext-nacl)#no 120 permit icmp 10.10.10.0 0.0.0.255 any

(**note the sequence number)

router#sh access-list MYTESTACL

Extended IP access list MYTESTACL

100 permit ip 10.10.10.0 0.0.0.255 any

140 permit tcp host 10.10.20.5 host 192.168.87.65 eq www

160 deny ip 10.10.20.0 0.0.0.255 any

180 permit tcp 10.10.30.0 0.0.0.255 host 192.168.87.65 eq www

請注意,你不必每次修改訪問控制列表后就進行重新排列的操作。

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:CISCO ACL 順序修改
本文鏈接:http://www.qdxgqk.live/?p=3344轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
下篇文章:
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏