具有最小中斷的 Cisco 路由器和 ACL

我有一個 Cisco 1921 路由器，其中配置了以下訪問控制列表：

編輯訪問列表 199 拒絕 192.168.1.24

access-list 199 permit any any

我希望能夠隨時刪除和添加新的訪問列表條目，以阻止我不想訪問網際網路的 IP，有時還阻止所有 IP 訪問。

如何在不中斷網際網路流量或其他不受更改影響的其他 IP 地址的所有 IP 流量的情況下執行此操作？

例如，當我刪除第一個訪問列表條目時，許可選項消失，所有網際網路訪問都將失去，直到重新進入系統。

使用擴展訪問列表。這將允許您將條目插入現有 ACL 以及刪除條目，而無需刪除/重新添加整個列表。

因此，例如：

rtr-b(config)#ip access-list extended 199 rtr-b(config-ext-nacl)#100 deny ip host 192.168.1.24 any rtr-b(config-ext-nacl)#1000 permit ip any any

然後產生如下所示的輸出：

Extended IP access list 199 100 deny ip host 192.168.1.24 any 1000 permit ip any any

如前所述，從這一點開始，我可以添加更多行或刪除現有行。我可能會通過創建一個編號為 90 的條目來插入新規則，或者如果這更有意義的話，可以在 100 之後添加一個。這些行也可以重新排序（添加更多可用編號）。更重要的是，所有這些都可能在 ACL 仍應用於介面時發生。

這是在相當近的 IOS 版本中了解有關 ACL 設置的配置指南的好地方。

引用自：https://serverfault.com/questions/832183