|
|
在交换机上创建 ACL 时, 可以用字符串也可以用数字来命名 ACL,一般可采用字符串+数字的方式加以命名,以便于识别;至于是标准 ACL 还是扩展ACL,是通过字段来识别的,如标准 ACL 用standard 识别,扩展 ACL 用extended 识别。
下例的配置显示如何在交换机上创建一条扩展 ACL,名字为 anti-virus,并将这条 ACL 应用到 fastEthernet 0/1 端口的 in 方向:
Switch#configure terminal
Switch(config)#ip access-list extended anti-virus
Switch(config-ext-nacl)#deny tcp any any eq 135
Switch(config-ext-nacl)#deny tcp any any eq 136
Switch(config-ext-nacl)#deny tcp any any eq 137
Switch(config-ext-nacl)#deny tcp any any eq 138
Switch(config-ext-nacl)#deny tcp any any eq 139
Switch(config-ext-nacl)#deny tcp any any eq 445
Switch(config-ext-nacl)#deny tcp any any eq 593
Switch(config-ext-nacl)#deny tcp any any eq 4444
Switch(config-ext-nacl)#deny tcp any any eq 5554
Switch(config-ext-nacl)#deny tcp any any eq 9995
Switch(config-ext-nacl)#deny tcp any any eq 9996
Switch(config-ext-nacl)#deny udp any any eq 135
Switch(config-ext-nacl)#deny udp any any eq 136
Switch(config-ext-nacl)#deny udp any any eq 137
Switch(config-ext-nacl)#deny udp any any eq 138
Switch(config-ext-nacl)#deny udp any any eq 139
Switch(config-ext-nacl)#deny udp any any eq 445
Switch(config-ext-nacl)#deny udp any any eq 593
Switch(config-ext-nacl)#deny udp any any eq 1434
Switch(config-ext-nacl)#deny udp any any eq 4444
Switch(config-ext-nacl)#deny udp any any eq 5554
Switch(config-ext-nacl)#deny udp any any eq 9995
Switch(config-ext-nacl)#deny udp any any eq 9996
Switch(config-ext-nacl)#permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip access-group anti-virus in
Switch(config-if)#^Z
Switch#
注意事项:
任意一条扩展 ACL 的最后都默认隐含了一条 deny ip any any 的 ACE 表项。如果您不想
让该隐含 ACE 起作用,则您必须手工设置一条 permit ip any any 的 ACE 表项,以让不
符合其它所有 ACE 匹配条件的报文通过;
在有些应用中还会用到上述的一些端口,比如 TCP/UDP 的 137、138,此时就要将这些端
口从扩展 ACL 中去掉
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2013-1-5 15:15:45
置顶卡
喧嚣卡
变色卡
千斤顶
成长值: 59215
楼主
