原理:
在接入交换机的每个端口出方向部署ACL
该方案的缺点:
很多旧的交换机不支持每端口ACL(华为S5700-LI支持)
交换机配置举例(S5700 V200R007C00SPC500):
acl number 3019
description Deny_Virus
rule 100 deny tcp destination-port eq 135
rule 105 deny tcp destination-port eq 139
rule 110 deny tcp destination-port eq 445
rule 115 deny udp destination-port eq 135
rule 117 deny udp destination-port eq netbios-ns
rule 118 deny udp destination-port eq netbios-dgm
rule 120 deny udp destination-port eq netbios-ssn
rule 125 deny udp destination-port eq 445
interface GigabitEthernet0/0/7
traffic-filter outbound acl 3019
网友评论