2011年4月8日 星期五

Cisco 增強的 ACL 修改功能(轉載)

 最近要新增 CoreSwitch 的 ACL,剛好有人整理好資料就收錄進來。

 以往在配置中要修改一個訪問控制列表比較麻煩:基本上你只能在ACL的尾部添加新的語句。如果要修改的是ACL的其他部分,只好把訪問控制列表刪除重寫。如果訪問控制列表已經應用到端口上,要把它從端口上撤下來,否則在重新輸入ACL時,​​由於第一個被輸入的ACL語句立即生效,往往會暫時阻斷使用了該ACL的端口上的大部分通訊,甚至使遠程登錄回話中斷,無法輸入後面的ACL語句。


> 在IOS的新版本(12.2(14)S,12.2(15)T,12.3(2)T以上)中引入了ACL編號(ACL Sequence Numbering)功能,使得訪問控制列表的編輯變得非常的方便和快捷,請看以下操作:
1.建立一個測試用訪問控制列表
 R1(config)#ip access-list extended 199
 R1(config-ext-nacl)#deny tcp any any eq 80
 R1(config-ext-nacl)#deny udp any any eq 8000
 R1(config-ext-nacl)#permit ip any any
 R1#show run | include 199
  access-list 199 deny tcp any any eq www
  access-list 199 deny udp any any eq 8000
  access-list 199 permit ip any any


2.顯示訪問控制列表語句的當前序號
 R1#show ip access-lists 199  Extended IP access list 199
  10 deny tcp any any eq www
  20 deny udp any any eq 8000
  30 permit ip any any


3.在訪問控制列表中指定的位置上增加一個語句
 R1(config)#ip access-list extended 199
 R1(config-ext-nacl)#12 permit udp any host 192.168.1.1 eq 8000 R1#show ip access-lists 199
  Extended IP access list 199
  10 deny tcp any any eq www
  12 permit udp any host 192.168.1.1 eq 8000
  20 deny udp any any eq 8000
  30 permit ip any any


4.刪除訪問控制列表中的某個特定語句
 R1(config)#ip access-list extended 199
 R1(config-ext-nacl)#no 20 R1#show ip access-lists 199
  Extended IP access list 199
  10 deny tcp any any eq www
  12 permit udp any host 192.168.1.1 eq 8000
  30 permit ip any any


5.重新編排一個訪問控制列表的序號
 R1(config)#ip access-list resequence 199 10 10
 R1(config)#do show ip access-lists 199
  Extended IP access list 199
  10 deny tcp any any eq www
  20 permit udp any host 192.168.1.1 eq 8000
  30 permit ip any any
 (在這裡do 命令運行您在配置模式下執行一個EXEC命令,該命令要求IOS版本12.2(8)T 以上)



資料參考來源:http://www.net130.com/CMS/Pub/Tech/tech_instance/95219.htm


沒有留言:

張貼留言