[Router]acl 3000 match-order auto //配置acl 3000
[Router-acl3000]rule 1 deny icmp source 192.168.10.30 0.0.0 .0 destination 192.168.10.20 0.0.0 .0 icmp-type echo // 禁止主机PC2 ping主机PC1。
[Router-acl3000]rule 2 deny tcp source 192.168.10.30 0.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq ftp // 禁止主机PC2 通过ftp访问主机PC1。
[Router-acl3000]rule 3 deny tcp source 192.168.10.300.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq telnet // 禁止主机PC2 通过telnet访问主机PC1。
[Router-acl3000]rule 3 deny tcp source 192.168.10.30
[Router-acl3000]rule 4 deny tcp source 192.168.10.30 0.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq 139 // 禁止主机PC2访问主机PC1的网络共享。
[Router-acl3000]rule 5 deny tcp source 192.168.10.300.0.0 .0 destination 192.168.10.20 0.0.0 .0 destination-port eq 445 // 禁止主机PC2访问主机PC1的网络共享。
[Router-acl3000]rule 5 deny tcp source 192.168.10.30
[Router]interface Ethernet0/2
[Router-Ethernet0/2] packet-filter inbound ip-group 3000 // 将acl3000应用到e0/2端口。
[Router]
注意:如果用一条规则 deny source 192.168.10.30 0.0.0.0 destination 192.168.10.20 0.0.0.0,则PC1也将无法访问PC2,因为tcp、ftp、网络共享等访问都需要建立TCP连接,一旦全部deny后,则PC2与PC1的任何端口连接都将无法实现,即无法建立tcp连接。