+设为首页 +添加到收藏夹
第一步:在全局配置模式下,使用下列命令创建acl:
其中,access-list-number为acl的表号.人们使用较频繁的表号是标准的ip acl(1—99)与扩展的ip acl(100-199). 【程序编程相关:使用StopWatch类输出时间戳】
router (config)# access-list access-list-number {permit | deny } {test-conditions} 【推荐阅读:类的设计方法】
这里需要特别注意的是,在acl的配置中,如果删掉一条表项,其结果是删掉全部acl,所以在配置时一定要小心. 【扩展信息:在canvas类里调用textbox】
在路由器中,如果使用acl的表号进行配置,则列表不能插入或删除行.如果列表要插入或删除一行,必须先去掉所有acl,然后重新配置.当acl中条数很多时,这种改变非常烦琐.一个比较有效的解决办法是:在远程主机上启用一个tftp服务器,先把路由器配置文件下载到本地,利用文本编辑器修改acl表,然后将修改好的配置文件通过tftp传回路由器.
在cisco ios11.2以后的版本中,网络可以使用名字命名的acl表.这种方式可以删除某一行acl,但是仍不能插入一行或重新排序.所以,笔者仍然建议使用tftp服务器进行配置修改.
第二步:在接口配置模式下,使用access-group命令acl应用到某一接口上:
router (config-if)# {protocol} access-group access-list-number {in | out }
其中,in与out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out.
acl在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的acl表号可以相同,也可以不同.但是,在一个接口的一个方向上,只能有一个acl控制.
值得注意的是,在进行acl配置时,网管员一定要先在全局状态配置acl表,再在具体接口上进行配置,否则会造成网络的安全隐患.(责任编辑:liucl)