Chinaunix首页 | 论坛 | 博客
  • 博客访问: 362708
  • 博文数量: 245
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: -10
  • 用 户 组: 普通用户
  • 注册时间: 2016-08-24 23:21
文章分类

全部博文(245)

文章存档

2017年(2)

2014年(6)

2013年(1)

2011年(15)

2010年(68)

2009年(153)

分类: 网络与安全

2009-05-22 13:06:20

在交换机上创建 ACL 时, 可以用字符串也可以用数字来命名 ACL,一般可采用

字符串+数字的方式加以命名,以便于识别;至于是标准 ACL 还是扩展ACL,是通过字段来识
别的,如标准 ACL 用standard 识别,扩展 ACL 用extended 识别。  
下例的配置显示如何在交换机上创建一条扩展 ACL,名字为 anti-virus,并将这条 ACL 应用
到 fastEthernet 0/1 端口的 in 方向:  
Switch#configure terminal  
Switch(config)#ip access-list extended anti-virus  
Switch(config-ext-nacl)#deny tcp any any eq 135    
Switch(config-ext-nacl)#deny tcp any any eq 136  
Switch(config-ext-nacl)#deny tcp any any eq 137  
Switch(config-ext-nacl)#deny tcp any any eq 138  
Switch(config-ext-nacl)#deny tcp any any eq 139  
Switch(config-ext-nacl)#deny tcp any any eq 445  
Switch(config-ext-nacl)#deny tcp any any eq 593  
Switch(config-ext-nacl)#deny tcp any any eq 4444  
Switch(config-ext-nacl)#deny tcp any any eq 5554  
Switch(config-ext-nacl)#deny tcp any any eq 9995  
Switch(config-ext-nacl)#deny tcp any any eq 9996  
Switch(config-ext-nacl)#deny udp any any eq 135  
Switch(config-ext-nacl)#deny udp any any eq 136  
Switch(config-ext-nacl)#deny udp any any eq 137  
Switch(config-ext-nacl)#deny udp any any eq 138  
Switch(config-ext-nacl)#deny udp any any eq 139  
Switch(config-ext-nacl)#deny udp any any eq 445  
Switch(config-ext-nacl)#deny udp any any eq 593  
Switch(config-ext-nacl)#deny udp any any eq 1434
Switch(config-ext-nacl)#deny udp any any eq 4444  
Switch(config-ext-nacl)#deny udp any any eq 5554  
Switch(config-ext-nacl)#deny udp any any eq 9995  
Switch(config-ext-nacl)#deny udp any any eq 9996  
Switch(config-ext-nacl)#permit ip any any  
Switch(config-ext-nacl)#exit  
Switch(config)#interface fastEthernet 0/1            
Switch(config-if)#ip access-group anti-virus in  
Switch(config-if)#^Z  
Switch#  
  
注意事项:  
任意一条扩展 ACL 的最后都默认隐含了一条 deny ip any any 的 ACE 表项。如果您不想
    让该隐含 ACE 起作用,则您必须手工设置一条 permit ip any any 的 ACE 表项,以让不
    符合其它所有 ACE 匹配条件的报文通过;  
在有些应用中还会用到上述的一些端口,比如 TCP/UDP 的 137、138,此时就要将这些端
    口从扩展 ACL 中去掉; 
 
文章来自互联网,感谢作者!
阅读(937) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~