我有一台 Cisco 1921 路由器,我在其中使用出站扩展访问列表。每当我编辑访问列表时,都会导致丢失所有 IP 流量。我将有大约 3 个拒绝语句,然后以允许任何 ip 语句结束。
它运行完美,但是当我想要编辑列表并删除拒绝语句时,就导致我必须重新创建所有语句。
使用 Cisco 路由器和扩展访问列表时,有没有一种最佳实践方法来编辑扩展访问列表而不中断所有 IP 流量?现在我的列表有:
access-list 199 deny ip host 10.200.15.159 any
access-list 199 permit ip any any
我进去删除了acl语句
access-list 199 deny ip host 10.200.15.159 any
但它也删除了第二个访问列表语句,我不明白为什么。当我只想删除拒绝语句时,它导致每个 IP 都丢失流量。
编辑:当我删除拒绝语句时,它似乎删除了整个扩展访问列表。但是,它不会阻止任何传出的 IP 流量。当我回去重新创建同一个列表时,我们丢失了所有 IP 流量(可能是因为我首先从拒绝语句开始)。
另外,访问列表直接添加到出站接口。
答案1
如果你执行一个show access-lists
命令,你会得到类似这样的结果:
Router# show access-list 150
Extended IP access list 150
10 permit ip host 10.3.3.3 host 172.16.5.34
20 permit icmp any any
30 permit tcp any host 10.3.3.3
40 permit ip host 10.4.4.4 any
50 Dynamic test permit ip any any
60 permit ip host 172.16.2.2 host 10.3.3.12
70 permit ip host 10.3.3.3 any log
80 permit tcp host 10.3.3.3 host 10.1.2.2
90 permit ip host 10.3.3.3 any
100 permit ip any any
然后您可以根据行号插入或删除行。
对访问列表条目进行排序并修改访问列表
此任务显示如何为命名 IP 访问列表中的条目分配序列号以及如何在访问列表中添加或删除条目。假设用户想要修改访问列表。此任务的上下文如下:
用户无需无缘无故地重新排序访问列表;通常,重新排序是可选的。此任务中的重新排序步骤显示
为必需,因为这是此功能的一个目的,并且此任务演示了此功能。步骤 5 恰好是允许语句,而步骤 6 恰好是拒绝语句,但它们不必按此顺序。
概要步骤
- 使能够
- 配置终端
- ip 访问列表重新排序 访问列表名称起始序列号增量
- ip 访问列表 {标准 | 扩展}访问列表名称
- 序列号 允许 源 源通配符或者序列号 允许协议源 源通配符 目标 目标通配符[优先权 优先权][服务条款 服务条款] [日志] [时间范围 时间段名称][片段]
- 序列号 否定 源 源通配符或者序列号 否定 协议 源 源通配符 目标 目标通配符[优先权 优先权][服务条款 服务条款] [日志] [时间范围 时间段名称][片段]
- 根据需要重复步骤 5 和/或步骤 6,按计划在何处按序列号添加语句。使用不 序列号 命令来删除条目。
- 结尾
- 显示 IP 访问列表 访问列表名称