ACL糗事

    访问控制列表ACL―Access Control List。

    首先还是说明一下ACL的配置过程：

    1、配置ACL

access-list 100 permit ip any host 192.168.1.1
access-list 100 permit ip any host 192.168.2.1

access-list 100 deny tcp any 192.168.3.0 0.0.0.255 eq www

access-list 100 permit ip any any

    2、应用ACL

Switch(config)#int vlan 100
Switch(config-if)#ip access-group 100 in 
Switch(config-if)#int vlan 200
Switch(config-if)#ip access-group 100 in
Switch(config-if)#int vlan 300

Switch(config-if)#ip access-group 100 in

如此，一个简单的ACL也算完成了。

可是由于差不多两年时间没接触CISCO的ACL配置，所以昨日出糗了。

    首先，添加ACL，直接输入 access-list 100 permit  ip any host 192.168.2.100   确认回车。这时候才想起来ACL默认是顺序执行，所以要将这条命令删除，然后放在前面。

    于是  no  access-list 100 permit  ip any host 192.168.2.100  ，结果，结果就是所有的ACL命令都被自己删除……（欲哭无泪，好久没接触，一碰就出错，糗死）。好吧，做人呢，最重要的就是开心，只是ACL被删除而已，配置有备份，咱再加回去就是了嘛。

    所以access-list 100 permit ip any host 192.168.1.1，回车……瞬间网关就卡住了，脑海里升腾起无数不详的预感，果不其然，整个办公楼都跟网关失去连接……顿时亚历山大帝灵魂附体！

    无奈只能重启网关，三分钟之后网络恢复。

    

    好吧，做人嘛，最重要就是开心，肚子饿了，回家煮碗面吃先。

    附带说明一下

    1.ACL删除其中某一条的正确方式

 Switch(config)#ip access-list extended 100

Switch(config-ext-nacl)#no permit ip any host 192.168.2.1 

    2.添加ACL命令的时候由于当时VLAN还应用在access-list 100内，所以添加之后会立刻应用到本地网络内，如果是模拟器的话大概没什么问题，但是现实中会导致网络中断。因此需要先将各vlan中的access-list 100 删除，ACL添加OK之后，在各vlan内添加access-list 应用。