以往在配置中要修改一個訪問控制列表比較麻煩:基本上你只能在 ACL 的尾部添加新的語句。如果要修改的是 ACL 的其他部分,只好把訪問控制列表刪除重寫。如果訪問控制列表已經應用到端口上,要把它從端口上撤下來,否則在重新輸入 ACL 時,由於第一個被輸入的 ACL 語句立即生效,往往會暫時阻 斷使用了該 ACL 的端口上的大部分通訊,甚至使遠程登錄回話中斷,無法輸入後面的 ACL 語句。
在 IOS 的新版本(12.2(14)S,12.2(15)T,12.3(2)T 以上)中引入了 ACL 編號(ACL Sequence Numbering)功能,使得訪問控制列表的編輯變得非常的方便和快捷,請看以下操作:
1.建立一個測試用訪問控制列表
R1(config)#ip Access-list extended 199
R1(config-ext-nacl)#deny tcp any any eq 80
R1(config-ext-nacl)#deny udp any any eq 8000
R1(config-ext-nacl)#permit ip any any
R1#show run include 199
access-list 199 deny tcp any any eq www
access-list 199 deny udp any any eq 8000
access-list 199 permit ip any any
2.顯示訪問控制列表語句的當前序號
R1#show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
20 deny udp any any eq 8000
30 permit ip any any
3.在訪問控制列表中指定的位置上增加一個語句
R1(config)#ip access-list extended 199
R1(config-ext-nacl)#12 permit udp any host 192.168.1.1 eq 8000
R1#show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
12 permit udp any host 192.168.1.1 eq 8000
20 deny udp any any eq 8000
30 permit ip any any
4.刪除訪問控制列表中的某個特定語句
R1(config)#ip access-list extended 199
R1(config-ext-nacl)#no 20
R1#show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
12 permit udp any host 192.168.1.1 eq 8000
30 permit ip any any
5.重新編排一個訪問控制列表的序號
R1(config)#ip access-list resequence 199 10 10
R1(config)#do show ip access-lists 199
Extended IP access list 199
10 deny tcp any any eq www
20 permit udp any host 192.168.1.1 eq 8000
30 permit ip any any
(在這裡 do 命令運行您在配置模式下執行一個 EXEC 命令,該命令要求 IOS 版本 12.2(8)T 以上)
