思科交换机acl应用要点

思科交换机acl应用要点ACL访问控制列表，是交换机的基本功能，大多数厂商的交换机的acl是应用在端口上，如g0/0/1之类的物理端口，方向为i或out,很容易理解，配置时不易出错。不过思科的交换机一般都是将acl应用在int vlan接口上，如int vlan1之类的，方向为in或out(一般二层交换机只能i)所以容易出错，搞不好会酿成生产事故。首先思科交换机的acl本身的配置这里就不多说了，只讲1点：它的每个ac的末尾默认是有deny anyany的1.当我们仅配置permit xxxx这一条时，则默认只permit这一条，因为有隐含的deny any any2.当我们仅配置deny xxxx这一条时，则默认是无permit的，因为隐含有deny any3.所以当我们想只过滤某条访问规则时，写完deny xx xx这条后，得再加上permit ip any any,不然就全部deny了然后讲它的acl在int vlan上的方向问题：拓扑如下图：3560交换机为三层的，支持i和out方向的应用，作为以下2台计算机的网关pc0为客户端，ip:10.1.1.1接入an1,网关10.1.1.254server0为服务端，ip:10.2.2.2接入lan2,网关10.2.2.2543560-24PSMultilayer SwitchoServer-PTPCOServer0交换机上想做一条acl,仅禁止pc0访问server0的80端口，其他的流量正常通过，该怎么配置呢？*ACL配置如下：Switch#conf tSwitch(config)#ip access-list extended deny_80/创建名为deny_80的扩展aclSwitch(config-ext-nacl)#deny tcp host 10.1.1.1 host 10.2.2.2 eq 80/阻止源ip为10.1.1.1，目的ip为10.2.2.2，目的端口80/cp的报文Switch(config-ext-nacl)#permit ip any any/因为末尾隐含为deny any,.所以仅deny某条时，要permit所有Switch(config-ext-nacl)#exitSwitch(config)#*应用acl到int vlan接口上：Switch(config)#int vlan 1/进入接口配置界面Switch(config-if)#ip access-group deny_80 in/应用ac到in方向Switch(config-if)#exit