实际应用与案例分析

　　以典型的高校解决方案为例。在该方案中，以锐捷S26系列作为接入层交换机连接各院系PC，各院系接入层交换机S26通过Trunk口上连汇聚层交换机S57，S57上有不同VLAN分别隔离各个院系。锐捷S86作为核心层交换机下连S57进行高速转发，并连接各种服务器，如FTP、HTTP服务器等，最后通过防火墙与Internet相连。

　　校园网对ACL应用通常有以下需求：

　　1．S26所连接各院系PC，一个接口只允许一台合法PC接入，不允许其他设备接入。

　　2．各个院系间不能互相访问和共享文件，即不允许各VLAN间数据流通过。

　　3．Internt病毒无处不在，需要封堵各种病毒常用端口，以保障内网安全。

　　4．只允许校园内部PC对校园服务器进行访问，拒绝外部PC的访问。

　　5．各院系PC必须在不同的VLAN中，以减少广播，多播数据流对网络的影响。

　　针对以上需求，我们可以通过以下具体配置，设置ACL应用：

核心层交换机S86关键配置

ip access-list extended Virus_Defence
10 deny tcp any any eq 69 //过滤任何目的端口为69的TCP报文
20 deny tcp any eq 69 any //过滤任何源端口为69的TCP报文
30 deny tcp any any eq 4444
40 deny tcp any eq 4444 any
50 deny tcp any any eq 135
60 deny tcp any eq 135 any
70 deny tcp any any eq 136
80 deny tcp any eq 136 any
90 deny tcp any any eq 137
100 deny tcp any eq 137 any
110 deny tcp any any eq 138
120 deny tcp any eq 138 any
130 deny tcp any any eq 139
140 deny tcp any eq 139 any
150 deny tcp any any eq 445
160 deny tcp any eq 445 any
170 deny tcp any any eq 593
180 deny tcp any eq 593 any
190 deny tcp any any eq 5554
200 deny tcp any eq 5554 any
210 deny tcp any any eq 9995
220 deny tcp any eq 9995 any
230 deny tcp any any eq 9996
240 deny tcp any eq 9996 any
250 deny udp any any eq 135
260 deny udp any eq 135 any
270 deny udp any any eq 136
280 deny udp any eq 136 any
290 deny udp any any eq netbios-ns
300 deny udp any eq netbios-ns any
310 deny udp any any eq netbios-dgm
320 deny udp any eq netbios-dgm any
330 deny udp any any eq netbios-ss
340 deny udp any eq netbios-ss any
350 deny udp any any eq 445
360 deny udp any eq 445 any
370 deny udp any any eq tftp
380 deny udp any eq tftp any
390 deny udp any any eq 593
400 deny udp any eq 593 any
410 deny udp any any eq 1433
420 deny udp any eq 1433 any
430 deny udp any any eq 1434
440 deny udp any eq 1434 any
450 permit tcp any any
460 permit udp any any
470 permit ip any any