我有一台 Cisco 1921 路由器,其中配置了以下访问控制列表:
编辑访问列表 199 拒绝 192.168.1.24
access-list 199 permit any any
我希望能够随时删除和添加新的访问列表条目,以阻止我不想访问互联网的 IP,有时甚至阻止所有 IP 访问。
如何在不中断互联网流量或不受更改影响的其他 IP 地址的所有 IP 流量的情况下做到这一点?
例如,当我删除第一个访问列表条目时,允许选项就会消失,并且所有互联网访问都会丢失,直到重新进入系统。
答案1
使用扩展访问列表。这将允许您将条目插入现有 ACL 以及删除条目,而无需删除/重新添加整个列表。
例如:
rtr-b(config)#ip access-list extended 199 rtr-b(config-ext-nacl)#100 deny ip host 192.168.1.24 any rtr-b(config-ext-nacl)#1000 permit ip any any
然后产生如下输出:
Extended IP access list 199 100 deny ip host 192.168.1.24 any 1000 permit ip any any
从这一点开始,我可以像前面提到的那样添加更多行或删除现有行。我可以通过创建编号为 90 的条目来插入新规则,或者如果更合理的话,在 100 之后添加一个。这些行也可以重新排序(添加更多可用数字)。更重要的是,所有这些都可以在 ACL 仍应用于接口时发生。
这是较新 IOS 版本中有关 ACL 设置的配置指南的一个良好起点。