[Router]acl 3000 match-order auto //配置acl 3000
[Router-acl3000]rule 1 deny icmp source 192.168.10.30 0.0.0 .0 destination 192.168.10.20 0.0.0 .0 icmp-type echo // 禁止主機PC2 ping主機PC1。
[Router-acl3000]rule 2 deny tcp source 192.168.10.30 0.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq ftp // 禁止主機PC2 通過ftp訪問主機PC1。
[Router-acl3000]rule 3 deny tcp source 192.168.10.300.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq telnet // 禁止主機PC2 通過telnet訪問主機PC1。
[Router-acl3000]rule 3 deny tcp source 192.168.10.30
[Router-acl3000]rule 4 deny tcp source 192.168.10.30 0.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq 139 // 禁止主機PC2訪問主機PC1的網絡共享。
[Router-acl3000]rule 5 deny tcp source 192.168.10.300.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq 445 // 禁止主機PC2訪問主機PC1的網絡共享。
[Router-acl3000]rule 5 deny tcp source 192.168.10.30
[Router]interface Ethernet0/2
[Router-Ethernet0/2] packet-filter inbound ip-group 3000 // 將acl3000應用到e0/2端口。
[Router]
注意:如果用一條規則 deny source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0,則PC1也將無法訪問PC2,因爲tcp、ftp、網絡共享等訪問都需要建立TCP連接,一旦全部deny後,則PC2與PC1的任何端口連接都將無法實現,即無法建立tcp連接。