图 1 所示示例拒绝来自子网 192.168.11.0 的 FTP 流量进入子网 192.168.10.0,但允许所有其他流量。 请注意通配符掩码的使用以及显式 deny any 语句。 请记住,FTP 使用 TCP 端口 20 和 21;因此 ACL 要求同时使用端口名称关键字 ftpftp-dataeq 20eq 21 才能拒绝 FTP。

如果是使用端口号而不是端口名称,则命令将写为:

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 20

access-list 114 permit tcp 192.168.20.0 0.0.0.255 any eq 21

为了防止 ACL 末尾隐含的 deny any 语句拦截所有流量,可以添加 permit ip any any 语句。 如果 ACL 中没有至少一条 permit 语句,则会丢弃应用了该 ACL 的接口上的所有流量。 应当将 ACL 应用于 G0/1 接口的入站方向,以便在流量进入路由器接口时过滤来自 192.168.11.0/24 LAN 的流量。

在图 2 所示示例中,拒绝来自任何源地址的 Telnet 流量发送到 192.168.11.0/24 LAN,但允许所有其他 IP 流量。 由于发往 192.168.11.0/24 LAN 的流量从接口 G0/1 出站,因此可以使用 out 关键字将 ACL 应用到 G0/1。 注意 permit 语句中 any 关键字的使用。 添加这条 permit 语句,以确保其他流量不会受到阻止。

注意:图 1 和图 2 中的示例都是在 ACL 的末尾使用 permit ip any any 语句。 为了获得更高的安全性,可以使用 permit 192.168.11.0 0.0.0.255 any 命令。