ip access-list extended spamblock
deny tcp any any eq smtp
permit ip any any

Вешаем созданный список доступа на нужный интерфейс:

interface Fa0/0.x
ip access-group spamblock in

Другой пример – разрешаем трафик только для двух заданных хостов (10.10.10.1 и 10.10.10.254) + icmp-трафик для сети 172.16.0.0/19, все остальное запрещаем:

ip access-list extended client1_in_rules
  permit ip host 10.10.10.1 any
  permit ip host 10.10.10.254 any
  permit icmp 172.16.0.0 0.0.31.255 any
  deny ip any any
ip access-list extended client1_out_rules
  permit ip any host 10.10.10.1
  permit ip any host 10.10.10.254
  permit icmp any 172.16.0.0 0.0.31.255
  deny ip any any

interface FastEthernet0/0.77
  description client1
  encapsulation dot1Q 77
  ip address 10.10.10.7 255.255.255.0
  ip access-group client1_out_rules in
  ip access-group client1_in_rules out
  no cdp enable
!

Следует учитывать, что здесь в именах ACL-ей слова «in» и «out» используются с точки зрения клиента, а ключевые слова «in» и «out» в конце выражений «ip access-group» используются с точки зрения маршрутизатора. Т.е. что для клиента входящий трафик, то для клиентского подинтерфейса роутера – исходящий и наоборот.

Похожие заметки:

1. Port mirroring в Cisco Catalyst Есть задача: проанализировать трафик для определенного сетевого устройства. При этом доступа на это устройство у нас нет, либо анализ сильно...
2. Быстрая массовая правка конфигураций нескольких подинтерфейсов Пусть имеем маршрутизатор с множеством логических интерфейсов, для каждого из которых нужно добавить/заменить один и тот же фрагмент в конфиге,...
3. Раздаем права в samba по IP-адресу Представим ситуацию: есть samba-пользователь vasya, который ходит на samba-сервер с компьютеров с IP-адресами 172.16.0.7 и 172.16.0.13, и нужно сделать так,...