Cisco

具有最小中斷的 Cisco 路由器和 ACL

  • February 13, 2017

我有一個 Cisco 1921 路由器,其中配置了以下訪問控制列表:

編輯訪問列表 199 拒絕 192.168.1.24

access-list 199 permit any any

我希望能夠隨時刪除和添加新的訪問列表條目,以阻止我不想訪問網際網路的 IP,有時還阻止所有 IP 訪問。

如何在不中斷網際網路流量或其他不受更改影響的其他 IP 地址的所有 IP 流量的情況下執行此操作?

例如,當我刪除第一個訪問列表條目時,許可選項消失,所有網際網路訪問都將失去,直到重新進入系統。

使用擴展訪問列表。這將允許您將條目插入現有 ACL 以及刪除條目,而無需刪除/重新添加整個列表。

因此,例如:

rtr-b(config)#ip access-list extended 199 rtr-b(config-ext-nacl)#100 deny ip host 192.168.1.24 any rtr-b(config-ext-nacl)#1000 permit ip any any

然後產生如下所示的輸出:

Extended IP access list 199 100 deny ip host 192.168.1.24 any 1000 permit ip any any

如前所述,從這一點開始,我可以添加更多行或刪除現有行。我可能會通過創建一個編號為 90 的條目來插入新規則,或者如果這更有意義的話,可以在 100 之後添加一個。這些行也可以重新排序(添加更多可用編號)。更重要的是,所有這些都可能在 ACL 仍應用於介面時發生。

是在相當近的 IOS 版本中了解有關 ACL 設置的配置指南的好地方。

引用自:https://serverfault.com/questions/832183