2008年10月17日星期五

Cisco交换机的ACL过滤经典案例 zz

在交换机上创建 ACL 时, 可以用字符串也可以用数字来命名 ACL,一般可采用字符串+数字的方式加以命名,以便于识别;至于是标准 ACL 还是扩展ACL,是通过字段来识别的,如标准 ACL 用standard 识别,扩展 ACL 用extended 识别。

下例的配置显示如何在交换机上创建一条扩展 ACL,名字为 anti-virus,并将这条 ACL 应用到 fastEthernet 0/1 端口的 in 方向:

Switch#configure terminal

Switch(config)#ip access-list extended anti-virus

Switch(config-ext-nacl)#deny tcp any any eq 135

Switch(config-ext-nacl)#deny tcp any any eq 136

Switch(config-ext-nacl)#deny tcp any any eq 137

Switch(config-ext-nacl)#deny tcp any any eq 138

Switch(config-ext-nacl)#deny tcp any any eq 139

Switch(config-ext-nacl)#deny tcp any any eq 445

Switch(config-ext-nacl)#deny tcp any any eq 593

Switch(config-ext-nacl)#deny tcp any any eq 4444

Switch(config-ext-nacl)#deny tcp any any eq 5554

Switch(config-ext-nacl)#deny tcp any any eq 9995

Switch(config-ext-nacl)#deny tcp any any eq 9996

Switch(config-ext-nacl)#deny udp any any eq 135  

Switch(config-ext-nacl)#deny udp any any 136

Switch(config-ext-nacl)#deny udp any any eq 137

Switch(config-ext-nacl)#deny udp any any eq 138

Switch(config-ext-nacl)#deny udp any any eq 139

Switch(config-ext-nacl)#deny udp any any eq 445

Switch(config-ext-nacl)#deny udp any any eq 593

Switch(config-ext-nacl)#deny udp any any eq 1434

Switch(config-ext-nacl)#deny udp any any eq 4444

Switch(config-ext-nacl)#deny udp any any eq 5554

Switch(config-ext-nacl)#deny udp any any eq 9995

Switch(config-ext-nacl)#deny udp any any eq 9996

Switch(config-ext-nacl)#permit ip any any

Switch(config-ext-nacl)#exit

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#ip access-group anti-virus in

Switch(config-if)#^Z

Switch#

注意事项:

任意一条扩展 ACL 的最后都默认隐含了一条 deny ip any any 的 ACE 表项。如果您不想让该隐含 ACE 起作用,则您必须手工设置一条 permit ip any any 的 ACE 表项,以让不符合其它所有 ACE 匹配条件的报文通过;

在有些应用中还会用到上述的一些端口,比如 TCP/UDP 的 137、138,此时就要将这些端口从扩展 ACL 中去掉。

标签:


// 发贴者:放牛娃的春天 @ 十月 17, 2008
评论: 发表评论

订阅 博文评论 [Atom]





<< 主页

This page is powered by Blogger. Isn't yours?

订阅 博文 [Atom]