在
交換機上創建 ACL 時, 可以用字符串也可以用數字來命名 ACL,一般可采用字符串+數字的方式加以命名,以便於識別;至於是標准 ACL 還是擴展ACL,是通過字段來識別的,如標准 ACL 用standard 識別,擴展 ACL 用extended 識別。
下例的配置顯示如何在交換機上創建一條擴展 ACL,名字為 anti-virus,並將這條 ACL 應用到 fastEthernet 0/1 端口的 in 方向:
Switch#configure terminal
Switch(config)#ip access-list extended anti-virus
Switch(config-ext-nacl)#deny tcp any any eq 135
Switch(config-ext-nacl)#deny tcp any any eq 136
Switch(config-ext-nacl)#deny tcp any any eq 137
Switch(config-ext-nacl)#deny tcp any any eq 138
Switch(config-ext-nacl)#deny tcp any any eq 139
Switch(config-ext-nacl)#deny tcp any any eq 445
Switch(config-ext-nacl)#deny tcp any any eq 593
Switch(config-ext-nacl)#deny tcp any any eq 4444
Switch(config-ext-nacl)#deny tcp any any eq 5554
Switch(config-ext-nacl)#deny tcp any any eq 9995
Switch(config-ext-nacl)#deny tcp any any eq 9996
Switch(config-ext-nacl)#deny udp any any eq 135
Switch(config-ext-nacl)#deny udp any any eq 136
Switch(config-ext-nacl)#deny udp any any eq 137
Switch(config-ext-nacl)#deny udp any any eq 138
Switch(config-ext-nacl)#deny udp any any eq 139
Switch(config-ext-nacl)#deny udp any any eq 445
Switch(config-ext-nacl)#deny udp any any eq 593
Switch(config-ext-nacl)#deny udp any any eq 1434
Switch(config-ext-nacl)#deny udp any any eq 4444
Switch(config-ext-nacl)#deny udp any any eq 5554
Switch(config-ext-nacl)#deny udp any any eq 9995
Switch(config-ext-nacl)#deny udp any any eq 9996
Switch(config-ext-nacl)#permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip access-group anti-virus in
Switch(config-if)#^Z
Switch#
注意事項:
