CISCO 3560访问控制列表规范上网行为

　　一直以来，网络中总有人在下载，在线看电影等严重影响网络带宽质量的不规范行为既然控制不了所有客户端的流量去向，何不只放行信任通讯行为?

　　昨天通过现有的CISCO3560三层交换机，配置控制列表，只放行web访问、办公自动化系统财务U8

　　系统的通讯端口。

　　当然，内部局域网通讯的netbios关联端口，ICMP协议端口也放行。否则，网上邻居，网络打印，网络共享

　　等都无法正常使用。

　　刚将列表应用在各端口不久，就有人打来电话反应：哥们，我的炒股软件登陆不了……

　　本着为人民服务原则，还有炒股通讯的流量并不多，大家投进股市的也都是自己的血汗钱

　　所有就让其各自将自己的股市操作软件发到我这里，我分析下各自的通讯端口通过抓包分析，大致大家都是用的鑫网通达和招商证券两种类型的炒股软件

　　鑫网通达

　　行情模块通讯端口：TCP　7709

　　交易模块通讯端口：TCP　7708

　　招商证券

　　行情模块通讯端口：TCP　80/TCP　7711/TCP　7709

　　资讯模块通讯端口：TCP　80/TCP　7709

　　交易模块通讯端口：TCP　80

　　在ACL的末行加上：access-list　101　permit　tcp　192。168。50。0　0。0。0。255　any　eq　7708　log

　　access-list　101　permit　tcp　192。168。50。0　0。0。0。255　any　eq　7709　log

　　access-list　101　permit　tcp　192。168。50。0　0。0。0。255　any　eq　7711　log

　　经测试，局域网内部通讯正常，公司办公应用系统正常，web访问正常，炒股自然也正常，不过下载和

　　在线看电影就有点不正常，要么连接不上，要么就很慢，基本上起到了控制流量，保证带宽的目的。

　　不过很多软件通过80端口仍可下载，可速度很慢，时断时续，就不深究了。

　　附常用软件通讯端口

　　MSN：　TCP　443　TCP　80　TCP　1863(MSN登陆需要解析其服务器域名地址，53端口应在基础之列)

　　因为很多P2P下载都可通过443和80端口进行，通过通讯分析，只放行测试检测出的几个登陆过程中的

　　443端口服务器。可每次都不能正常登陆。后来发现，MSN的443端口服务器，每次登陆都不一样。没辙

　　全线开放443端口了　!

　　Fetion：TCP　443

　　QQ：开放80端口即可，其顽强的生命力可通过web的80端口重生