思科交换机图文设置扩展ACL的配置与应用技巧

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入 现在用户希望更改原有的ACL 101，希望在上述的两条语句之间加入如下所示的ACL语句： access-list 101 deny ip host192.168.3.1 host 192.168.4.1 但是当你完成加入后，这条被加入的语句将被放到AC

欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入

　　现在用户希望更改原有的ACL 101，希望在上述的两条语句之间加入如下所示的ACL语句：

　　access-list 101 deny ip host192.168.3.1 host 192.168.4.1

　　但是当你完成加入后，这条被加入的语句将被放到ACL 101的最后，如下图所示，这样，它的匹配顺序也如图所示，最后加入的语句被放置到ACL列表的最后，而第二条语句是允许任何流量，所以根本不会给第三条语句匹配的机会，那么第三条语句将永远不生效，即便是您可能希望它于permit any any 之前生效，但事实上它不会，这类似于微机原理里面的堆栈原理，先进入。先调用。

　　所以在传统IOS中管理员对ACL的修改变得很头痛，通常，管理员会把现在的ACL复制到一个文本文件中进行增加或者删除语句的操作，然后把原本在路由器上配置的ACL通过no access-list 101全部清除，再将文本文件中修改完成的ACL复制到路由器上，无法做到逐条修改ACL语句的效果。

　　使用ACL的增强编辑功能来增加与删除ACL条目

　　新的IOS将打破传统IOS对ACL条目修改的限制，如下图所示，它为每条ACL语句增加了序列号，比如第一条ACL语句的序列号是10，第二条ACL语句的序列号是20，以10作为输写第一条ACL的基数数字序列号，然后，输写一条新的ACL语句就递增10，所以此时如果需要在序列号为10和20之间增加一条ACL语句，那么，只需要增加一条属于10-20之间的序列号，新增的ACL语句就会存在于10和20之间。

　　比如，现在，在10和20之间增加一条序列号是15的ACL语句，具体配置如下所示，在，在配置语句中的15是指示即将插入的ACL语句的序列号， 完成配置后，可以在路由器上使用show ip access-lists来查看各条ACL的语句如下图10.16所示，可看出在序列号10和20之间出现了一条序例号是15的ACL语句，这就突破了传统IOS对ACL编辑的困难，它增强了对ACL的编辑能力。

　　在两条ACL语句之间插入一条序列号是15的配置：

　　R1(config)#ip access-list extended 101

　　R1(config-ext-nacl)#15 deny ip host 192.168.3.1 host192.168.4.1

　　IOS 的版本如此众多，在使用时，怎么知道，哪些IOS版本支持ACL的增强编辑功能，哪些IOS版本不支持ACL的增强编辑功能?很简单，用户不需要去记IOS的版本号，因为这确实是一件很难记住的事情，可以直接通过show ip access-lists来查看ACL列表，如果在显示结果中，每条ACL的语句前都有一个序列号，那么该设备就支持ACL的增强编辑功能，反之则不能。

　　提问：为什么IOS系统自动为ACL语句插入序列号时会以10作为基数(第一条ACL语句的序列号);并以10作为递增数来插入随后的ACL序列号 ?

　　事实上，这也是为了编辑ACL的方便，为第一条ACL语句产生时就将序列号基数设置为10，是为了给原始的第一条ACL语句之前再插入ACL预留了空间，至少用户还可以插入1-9条ACL语句，后继的ACL以10作为递增数也是同理，当然，用户可以根据自已的需求改变第一条ACL自动插入时的基数和后继ACL产生的递增数，但是本人建议保持默认的配置。

[1] [2]