思科交换机ACL配置

请教一下：现在我想在交换机上设置ACL，实现用我的电脑（172.21.28.10）能够远程桌面到服务器网段(vlan 14 ： 172.169.14.0/24)或其他电脑，但是其他计算机禁止远程访问服务器这段,请问要怎么设置才行？
下面是我的配置，好像不生效
ip access-list extended mstsc
permit tcp host 172.21.28.10 any eq 3389
deny tcp any any eq 3389
permit ip any any

interface Vlan14
ip address 172.169.14.1 255.255.255.0
ip access-group mstsc in
请帮忙看一下，谢谢

原发布者:雅狐中国

交换机的ACL配置

在通常的网络管理中，我们都希望允许一些连接的访问，而禁止另一些连接的访问，但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。
三层交换机功能强大，有多种管理网络的手段，它有内置的ACL(访问控制列表)，因此我们可利用ACL(访问控制列表)控制Internet的通信流量。以下是我们利用联想的三层交换机3508GF来实现ACL功能的过程。
利用标准ACL控制网络访问
当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机IP地址的所有通信流量通过交换机的出口。

标准ACL的配置语句为：
Switch#access-listaccess-list-number（1~99)

例1：允许192.168.3.0网络上的主机进行访问：
Switch#access-list1permit192.168.3.00.0.0.255

例2：禁止172.10.0.0网络上的主机访问：
Switch#access-list2deny172.10.0.00.0.255.255

例3：允许所有IP的访问：
Switch#access-list1permit0.0.0.0255.255.255.255

例4：禁止192.168.1.33主机的通信：
Switch#access-list3deny192.168.1.330.0.0.0

上面的0.0.0.255和0.0.255.255等为32位的反掩码，0表示“检查相应的位”，1表示“不检查相应的位”。如表示33.0.0.0这个网段，使用通配符掩码应为0.255.2

是哪个不生效？是你电脑不能访问还是其他电脑能访问3389，试下禁止哪里目的地址加上服务器网段

你这个acl是挂vlan 14下的，那就不能这样写；可以这样写 ip access-list extended mstsc permit tcp 172.169.14.0 0.0.0.255 host 172.21.28.10 eq 3389 deny tcp any any eq 3389 permit ip any any

在4510上做吧，acl一般是做到3层交换机上，但是现在的话，你的3560应该只是在当二层交换机用。 acl规则还应该是先配置先生效的，注意下顺序吧