在创建 ACL 时必须为其指定编号,不同的编号对应不同类型的 ACL,比如:
基本 ACL 2000~2999
高级 ACL 3000~3999
二层 ACL 4000~4999这里禁用 80 等 TCP 端口需要使用高级 ACL。
首先进入系统视图:
system-view创建 IPv4 高级 ACL,并进入 IPv4 高级 ACL 视图:
## 交换机支持的命令选项有
acl number acl-number [name acl-name] [ match-order { auto | config } ]
## 本次实际情况是
acl number 3001创建规则:
## 交换机支持的命令选项有
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | logging | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name ]
## 本次实际情况是
rule deny tcp destination-port eq 80
## 拒绝 TCP 协议的 80 端口,以此类推(如果需要细分源 IP 和目标 IP 可以选择设定,不填默认范围是 any)应用 IPv4 高级 ACL 3001 对接口 interface Ten-GigabitEthernet1/0/28 (上联口)入方向上的报文进行过滤:
interface Ten-GigabitEthernet1/0/28
packet-filter 3001 inbound这样所有从上联口外对该交换机下的网段访问 80 端口的 TCP 协议流量均会被拒绝。