Cisco交换机的ACL 过滤经典案例

    在交换机上创建 ACL 时， 可以用字符串也可以用数字来命名 ACL，一般可采用

字符串+数字的方式加以命名，以便于识别；至于是标准 ACL 还是扩展ACL，是通过字段来识

别的，如标准 ACL 用standard 识别，扩展 ACL 用extended 识别。 

下例的配置显示如何在交换机上创建一条扩展 ACL，名字为 anti-virus，并将这条 ACL 应用

到 fastEthernet 0/1 端口的 in 方向： 

Switch#configure terminal  

Switch(config)#ip access-list extended anti-virus 

Switch(config-ext-nacl)#deny tcp any any eq 135   

Switch(config-ext-nacl)#deny tcp any any eq 136 

Switch(config-ext-nacl)#deny tcp any any eq 137 

Switch(config-ext-nacl)#deny tcp any any eq 138 

Switch(config-ext-nacl)#deny tcp any any eq 139 

Switch(config-ext-nacl)#deny tcp any any eq 445 

Switch(config-ext-nacl)#deny tcp any any eq 593 

Switch(config-ext-nacl)#deny tcp any any eq 4444 

Switch(config-ext-nacl)#deny tcp any any eq 5554 

Switch(config-ext-nacl)#deny tcp any any eq 9995 

Switch(config-ext-nacl)#deny tcp any any eq 9996 

Switch(config-ext-nacl)#deny udp any any eq 135 

Switch(config-ext-nacl)#deny udp any any eq 136 

Switch(config-ext-nacl)#deny udp any any eq 137 

Switch(config-ext-nacl)#deny udp any any eq 138 

Switch(config-ext-nacl)#deny udp any any eq 139 

Switch(config-ext-nacl)#deny udp any any eq 445 

Switch(config-ext-nacl)#deny udp any any eq 593 

Switch(config-ext-nacl)#deny udp any any eq 1434

Switch(config-ext-nacl)#deny udp any any eq 4444 

Switch(config-ext-nacl)#deny udp any any eq 5554 

Switch(config-ext-nacl)#deny udp any any eq 9995 

Switch(config-ext-nacl)#deny udp any any eq 9996 

Switch(config-ext-nacl)#permit ip any any 

Switch(config-ext-nacl)#exit 

Switch(config)#interface fastEthernet 0/1            

Switch(config-if)#ip access-group anti-virus in  

Switch(config-if)#^Z 

Switch# 
 

注意事项： 

 任意一条扩展 ACL 的最后都默认隐含了一条 deny ip any any 的 ACE 表项。如果您不想

    让该隐含 ACE 起作用，则您必须手工设置一条 permit ip any any 的 ACE 表项，以让不

    符合其它所有 ACE 匹配条件的报文通过； 

 在有些应用中还会用到上述的一些端口，比如 TCP/UDP 的 137、138，此时就要将这些端

    口从扩展 ACL 中去掉；