Cisco交换机的ACL访问控制列表设置
在交换机上创建ACL,可以使用字符串也可以用来命名ACL数字,一般使用字符串+数字的方式来命名,便于识别;如标准ACL或ACL扩展,是由字段标识,如标准ACL进行标准识别,通过扩展ACL扩展识别。接下来的例子显示如何创建配置交换机上扩展ACL,名字是杀毒,并应用ACL在FastEthernet 0 / 1端口的方向。
开关#配置终端
开关(config)# IP访问列表扩展杀毒
开关(config EXT NaCl)#否认TCP任何情商135
开关(config EXT NaCl)#否认TCP任何情商136
开关(config EXT NaCl)#否认TCP任何情商137
开关(config EXT NaCl)#否认TCP任何情商138
开关(config EXT NaCl)#否认TCP任何情商139
开关(config EXT NaCl)#否认TCP任何情商445
开关(config EXT NaCl)#否认TCP任何情商593
开关(config EXT NaCl)#否认TCP任何情商4444
开关(config EXT NaCl)#否认TCP任何情商5554
开关(config EXT NaCl)#否认TCP任何情商9995
开关(config EXT NaCl)#否认TCP任何情商9996
开关(config EXT NaCl)#否认UDP任何情商135
开关(config EXT NaCl)#否认UDP任何情商136
开关(config EXT NaCl)#否认UDP任何情商137
开关(config EXT NaCl)#否认UDP任何情商138
Switch (config-ext-nacl) #deny UDP any any EQ 139
开关(config EXT NaCl)#否认UDP任何情商445
开关(config EXT NaCl)#否认UDP任何情商593
开关(config EXT NaCl)#否认UDP任何情商1434
开关(config EXT NaCl)#否认UDP任何情商4444
开关(config EXT NaCl)#否认UDP任何情商5554
开关(config EXT NaCl)#否认UDP任何情商9995
开关(config EXT NaCl)#否认UDP任何情商9996
开关(config EXT NaCl)#允许任意IP流量
Switch (config-ext-nacl) #exit
开关(config)#接口FastEthernet 0 / 1
开关(config-if)# IP访问组抗病毒
开关(config-if)# ^ Z
开关#
注意事项:uff1a
在任何扩展ACL的结尾,默认情况下都会有一个用于拒绝IP的ACE表项。
要使这个隐式ACE工作,您必须手动设置一个ACE表项,以允许IP任何一个不允许。
一个满足所有其他ACE匹配条件的消息都通过了。
有些端口,如TCP 137/UDP的138端口,将在一些应用程序中使用,这些端口在此时。
从扩展ACL中删除嘴。