CCNA ACL 實驗
在CCIE考試中,不能刪除原先ACL條目只能修改
實驗拓撲
確保接口和路由協議都是聯通
需求如下
R4(config)#access-list 1 deny host 192.168.12.1
R4(config)#access-list 1 permit any
sh run的結果
把條件應用到e0/2口上
R4(config)#int e0/2
R4(config-if)#ip access-group 1 in
R4(config-if)#end
R1 5個丟包
刪除也很簡單
R4(config-if)#no ip access-group 1 in
第一種方法浪費了很多帶寬,第二種方法在R2上做
R2(config)#access-list 100 deny ip host 192.168.12.1 host 4.4.4.4
R2(config)#access-list 100 permit ip any any
應用到接口上
R2(config-if)#ip access-group 100 in
R1就無法訪問了R4了
編輯方法如下
R2(config)#ip access-list extended 100
R2(config-ext-nacl)#do show access-list
Extended IP access list 100
10 deny ip host 192.168.12.1 host 4.4.4.4 (15 matches)
20 permit ip any any (15 matches)
簡單就no 掉
R2(config-ext-nacl)#no 10
R2(config-ext-nacl)#do show access-list
Extended IP access list 100
20 permit ip any any (17 matches)
加回來的時候記得一定要比permit 的數字低
R2(config-ext-nacl)#5 deny ip host 192.168.12.1 host 4.4.4.4
R2(config-ext-nacl)#do show access-list
Extended IP access list 100
5 deny ip host 192.168.12.1 host 4.4.4.4
20 permit ip any any (21 matches)
R2(config-ext-nacl)#
命名方式來實現
R4(config)#ip access-list standard CCIE
R4(config-std-nacl)#deny 192.168.12.1
R4(config-std-nacl)#permit any
CCNA ACL 實驗