У меня есть маршрутизатор Cisco 1921, в котором я настроил следующий список контроля доступа:
РЕДАКТИРОВАТЬ список доступа 199 запретить 192.168.1.24
access-list 199 permit any any
Мне нужна возможность удалять и добавлять новые записи в список доступа в любое время для блокировки IP-адресов, которым я не хочу иметь доступ в Интернет, и иногда блокировать весь IP-доступ.
Как я могу сделать это, не прерывая интернет-трафик или весь IP-трафик для другого IP-адреса, на который не должны влиять изменения?
Например, когда я удаляю первую запись в списке доступа, опция разрешения исчезает, и весь доступ в Интернет теряется до тех пор, пока не будет повторно введен в систему.
Используйте расширенные списки доступа. Это позволит вам как вставлять записи в существующие ACL, так и удалять записи без необходимости удалять / повторно добавлять весь список.
Так, например:
rtr-b(config)#ip access-list extended 199
rtr-b(config-ext-nacl)#100 deny ip host 192.168.1.24 any
rtr-b(config-ext-nacl)#1000 permit ip any any
В результате получается следующий результат:
Extended IP access list 199
100 deny ip host 192.168.1.24 any
1000 permit ip any any
С этого момента я мог, как уже упоминалось, добавить больше строк или удалить существующие. Я мог бы вставить новое правило, создав запись с номером 90, или добавить одну после 100, если это имеет смысл. Строки также можно переупорядочить (добавив больше доступных номеров). Более того, все это может произойти, пока ACL все еще применяется к интерфейсу.
это это хорошее место для начала в руководствах по настройке о настройке ACL в относительно последних версиях IOS.