在CCIE考试中,不能删除原先ACL条目只能修改
实验拓扑
确保接口和路由协议都是联通
需求如下
R4(config)#access-list 1 deny host 192.168.12.1
R4(config)#access-list 1 permit any
sh run的结果
把条件应用到e0/2口上
R4(config)#int e0/2
R4(config-if)#ip access-group 1 in
R4(config-if)#end
R1 5个丢包
删除也很简单
R4(config-if)#no ip access-group 1 in
第一种方法浪费了很多带宽,第二种方法在R2上做
R2(config)#access-list 100 deny ip host 192.168.12.1 host 4.4.4.4
R2(config)#access-list 100 permit ip any any
应用到接口上
R2(config-if)#ip access-group 100 in
R1就无法访问了R4了
编辑方法如下
R2(config)#ip access-list extended 100
R2(config-ext-nacl)#do show access-list
Extended IP access list 100
10 deny ip host 192.168.12.1 host 4.4.4.4 (15 matches)
20 permit ip any any (15 matches)
简单就no 掉
R2(config-ext-nacl)#no 10
R2(config-ext-nacl)#do show access-list
Extended IP access list 100
20 permit ip any any (17 matches)
加回来的时候记得一定要比permit 的数字低
R2(config-ext-nacl)#5 deny ip host 192.168.12.1 host 4.4.4.4
R2(config-ext-nacl)#do show access-list
Extended IP access list 100
5 deny ip host 192.168.12.1 host 4.4.4.4
20 permit ip any any (21 matches)
R2(config-ext-nacl)#
命名方式来实现
R4(config)#ip access-list standard CCIE
R4(config-std-nacl)#deny 192.168.12.1
R4(config-std-nacl)#permit any
