zoukankan      html  css  js  c++  java
  • Cisco交换机的ACL 过滤经典配置


     
     
        在交换机上创建 ACL 时, 可以用字符串也可以用数字来命名 ACL,一般可采用
    字符串+数字的方式加以命名,以便于识别;至于是标准 ACL 还是扩展ACL,是通过字段来识
    别的,如标准 ACL 用standard 识别,扩展 ACL 用extended 识别。 
    下例的配置显示如何在交换机上创建一条扩展 ACL,名字为 anti-virus,并将这条 ACL 应用
    到 fastEthernet 0/1 端口的 in 方向: 
    Switch#configure terminal  
    Switch(config)#ip access-list extended anti-virus 
    Switch(config-ext-nacl)#deny tcp any any eq 135   
    Switch(config-ext-nacl)#deny tcp any any eq 136 
    Switch(config-ext-nacl)#deny tcp any any eq 137 
    Switch(config-ext-nacl)#deny tcp any any eq 138 
    Switch(config-ext-nacl)#deny tcp any any eq 139 
    Switch(config-ext-nacl)#deny tcp any any eq 445 
    Switch(config-ext-nacl)#deny tcp any any eq 593 
    Switch(config-ext-nacl)#deny tcp any any eq 4444 
    Switch(config-ext-nacl)#deny tcp any any eq 5554 
    Switch(config-ext-nacl)#deny tcp any any eq 9995 
    Switch(config-ext-nacl)#deny tcp any any eq 9996 
    Switch(config-ext-nacl)#deny udp any any eq 135 
    Switch(config-ext-nacl)#deny udp any any eq 136 
    Switch(config-ext-nacl)#deny udp any any eq 137 
    Switch(config-ext-nacl)#deny udp any any eq 138 
    Switch(config-ext-nacl)#deny udp any any eq 139 
    Switch(config-ext-nacl)#deny udp any any eq 445 
    Switch(config-ext-nacl)#deny udp any any eq 593 
    Switch(config-ext-nacl)#deny udp any any eq 1434
    Switch(config-ext-nacl)#deny udp any any eq 4444 
    Switch(config-ext-nacl)#deny udp any any eq 5554 
    Switch(config-ext-nacl)#deny udp any any eq 9995 
    Switch(config-ext-nacl)#deny udp any any eq 9996 
    Switch(config-ext-nacl)#permit ip any any 
    Switch(config-ext-nacl)#exit 
    Switch(config)#interface fastEthernet 0/1            
    Switch(config-if)#ip access-group anti-virus in  
    Switch(config-if)#^Z 
    Switch#  
     
    注意事项: 
     任意一条扩展 ACL 的最后都默认隐含了一条 deny ip any any 的 ACE 表项。如果您不想
        让该隐含 ACE 起作用,则您必须手工设置一条 permit ip any any 的 ACE 表项,以让不
        符合其它所有 ACE 匹配条件的报文通过; 
     在有些应用中还会用到上述的一些端口,比如 TCP/UDP 的 137、138,此时就要将这些端
        口从扩展 ACL 中去掉; 
  • 相关阅读:
    flask框架中SQLAlchemy相关
    flask使用外部存储模块之数据库的使用
    flask的基础知识
    docker的下载和使用
    rbac权限管理系统的学习
    redis数据库之五种数据类型的简单操作
    使用django框架进行web项目开发需要了解的知识
    django项目常用外部模块下载和使用
    pwn学习之dl_resolve学习篇
    验证docker的Redis镜像也存在未授权访问漏洞
  • 原文地址:https://www.cnblogs.com/kscnchina/p/2810378.html
Copyright © 2011-2022 走看看