|
|
|
使用编号(2000~2999)创建一个数字型的基本ACL,并进入基本ACL视图,操作命令如下:
|
|
|
|
|
|
或者使用名称创建一个命名型的基本ACL,并进入基本ACL视图操作命令为:
|
|
|
|
|
|
如果创建ACL时未指定match-order参数,则该ACL默认的规则匹配顺序为config;创建ACL后,ACL的默认步长为5。如果该值不能满足管理员部署ACL规则的需求,则可以对ACL步长值进行调整;(可选)执行命令description text,配置ACL的描述信息。
|
|
|
|
|
|
|
|
以上步骤仅是一条permit/deny规则的配置步骤。实际配置ACL规则时,需根据具体的业务需求,决定配置多少条规则以及规则的先后匹配顺序。
|
|
|
|
|
|
|
|
|
|
一般可以直接删除ACL,不受引用ACL的业务模块影响(简化流策略中引用ACL指定rule的情况除外),即无须先删除引用ACL的业务配置。
|
|
|
|
|
|
在网络维护过程中,需要管理员为原ACL添加新的规则。由于ACL的默认步长是5,在系统分配的相邻编号的规则之间,最多只能插入4条规则。调整步长,在ACL视图下执行step step,配置ACL步长。
|
|
|
|
|
|
确认设备ACL资源的分配情况,在任意视图下查看ACL资源信息的命令如下。
|
|
|
|
|
|
若显示信息中的计数非零,表示设备仍存在空余的ACL资源。
|
|
|
|
确认需要清除ACL的运行信息后,在用户视图下清除ACL统计信息的命令如下。
|
|
|
|
|
|
|
|
ACL规定使用通配符掩码来说明子网地址,通配符掩码就是子网掩码按位取反的结果。通配符掩码0.0.0.0表示ACL语句中的32位地址要求全部匹配,因而叫作主机掩码。例如:192.168.1.1 0.0.0.0表示主机192.168.1.1的IP地址,实际上路由器把这个地址转换为host 192.168.1.1,注意这里的关键字host。
|
|
|
|
通配符掩码255.255.255.255表示任意地址都是匹配的,通常与地址0.0.0.0一起使用,例如:0.0.0.0 255.255.255.255,路由器将把这个地址转换为关键字any。下表给出了几个使用通配符掩码的例子。
|
|
|
|
|
|
|
