Cisco ACL 同一标号序列重排

Posted 2023-05-07

写了一条基于mac 过滤的ACL

acces-lis 700 per 1111.2222.3333 0000.0000.0000
acces-lis 700 per 2222.2222.3333 0000.0000.0000
acces-lis 700 deny 0000.0000.0000 0000.0000.0000
因为编号都是700 ，如果我再加一条的700的acl的话 是默认是在deny这条之后 就变成了

acces-lis 700 per 1111.2222.3333 0000.0000.0000
acces-lis 700 per 2222.2222.3333 0000.0000.0000
acces-lis 700 deny 0000.0000.0000 0000.0000.0000
acces-lis 700 per 3333.2222.3333 0000.0000.0000
所以最后新加的这一条根本没有生效就被deny掉了
有没有办法在中间插入一条acl呢？
修改acl编号是可以做到，但是这是个cisco的AP ，默认的策略必须在700下面写
重写deny这条策略也试过了 不行
要no掉的话 就整个700都no掉了
求大神帮忙 谢谢

参考技术A ACL 的一个重要的特点就是严格按照顺序的规则去执行
要想插入一条ACL就必须从写规则
一般都是把原来的配置粘贴到写字板
然后在写字板把你要加的插入
然后把路由器上的ACL都No掉
然后在把你写字板的配置写到路由器 参考技术B 先把DENY的那一条no掉，这样业务不影响，然后配置以后在加deny
还有cisco默认就是deny，如果最后是deny可以不用配置。追问

恩 这倒是提醒我了 如果是mac的 ACL 最后默认也是deny 么？
要是这样的话 我可以在不no掉这条ACL的基础上 直接在后面加了

因为写完这个deny后 再次写入permit的话 就会在那条deny的后面顺序下来，这样根本起不到作用

追答

如果最后一条是deny any any 是可以不写的，如果是不是deny any any，并且后面还有permit的话，就不可以删除。

追问

因为这个AP 默认且必须在ACL700这条ACL下写入很多条的permit 所以单独要删除700下的 某条permit命令的话 有什么好办法呢？查了下handbook 貌似没有

本回答被提问者采纳 参考技术C 简单方法有了：先复制出来，no掉后，修改后在复制里面去，编号的acl不能插入，命名的可以插入 参考技术D 刚刚以为是IP access 后来仔细看到是mac的，有个方法就是直接show run ，然后把这个列表复制到记事本，然后在中间添加你想要的明细之后，先no掉以前的列表再刷上新列表追问

可是问题是 无线设备是不固定的 随时都有可能更换 每次要都这样 先no掉 然后再完全写入的话 还是麻烦 这样 添加删除的 不是很好。。。。

详解cisco访问控制列表ACL

一：访问控制列表概述

 

·访问控制列表（ACL）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过，哪些数据包需要拒绝。

 

·工作原理：它读取第三及第四层包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤，从而达到访问控制的目的。

 

·实际应用：           阻止某个网段访问服务器。

                                     阻止A网段访问B网段，但B网段可以访问A网段。

                                      禁止某些端口进入网络，可达到安全性。

 

二：标准ACL

 

·  标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段，则该网段下所有主机以及所有协议都被禁止。 如禁止了A网段，则 A网段下所有的主机都不能访问服务器，而B网段下的主机却可以。

      用1----99之间数字作为表号

     一般用于局域网，所以最好把标准ACL应用在离目的地址最近的地方。

 

 

·标准ACL的配置：

router（config）#access-list   表号   deny(禁止)    网段/IP地址    反掩码

                                 ********禁止某各网段或某个IP

 

router（config）#access-list   表号   permit（允许）   any

注：默认情况下所有的网络被设置为禁止，所以应该放行其他的网段。

 

router（config）#interface 接口       ******进入想要应用此ACL的接口（因为访问控制列表只能应用在接口模式下）

 

router（config-if）#ip  access-group   表号     out/in       ***** 设置在此接口下为OUT或为IN

 

  其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0                                    =

         router(config)#access-list 10 deny    host 192.168.0.1

 

          router(config)#access-list  10 deny  0.0.0.0 255.255.255.255                          =

          router(config)#access-list  10  deny   any

 

router#show access-lists                 ******查看访问控制列表。

 

 

 

·标准访问控制列表的工作原理。

（每当数据进入路由器的每口接口下，都会进行以下进程。）

注：当配置访问控制列表时，顺序很重要。要确保按照从具体到普遍的次序来排列条目。

如：想要拒绝一个具体的主机地址并且允许其他主机，那么要确保有关这个具体主机的条目最新出现。

 

三：扩展ACL

 

 

·扩展访问控制列表对数据包源地址、目的地址、源端口、目的端口都进行检查。若使用扩展访问控制列表禁止某网段访问别的网段，则A网段下所有主机不能访问B网段，而B网段下的主机可以访问A网段。 

    用100----199之间数字作为表号

     一般用于外网，所以最好把扩展ACL应用在离源地址最近的地方。

 

·配置扩展访问控制列表。

router(config)#access-list   表号     deny(禁止)   协议   源IP地址/网段    反掩码    目的IP地址/网段     反掩码    eq  端口

                                                       ******禁止A网段（源网段）下的某协议（或某端口）访问B网段（目的网段）

 

router（config）#access-list  表号     permit    ip  any  any

注：扩展ACL默认情况下所有的网络也被设置为禁止，所以应该放行其他的网段。

 

router（config）#interface 接口          **********进入想要应用此ACL的接口

 

router（config-if）#ip access-group  表号  out/in          ******激活该接口下咋访问控制列表，并根据实际情况设置此接口为OUT/in。

 

 

 

·常用端口及所属协议。

 

 

·扩展访问控制列表的工作原理：

（每当数据进入路由器的每口接口下，都会进行以下进程。）

 

 

 

 

 

 

来自为知笔记(Wiz)