屏蔽QQ、MSN、禁止HTTP代理和socks代理的方法

有时候领导们要求我们这样做，不得不做啊，所以大伙也不要怪网管太狠心。现贴一个在局域网内屏蔽QQ、MSN、禁止HTTP代理和socks代理的例子。有用得上的朋友们可以看下~
　　
　　一、首先，分析这个需求：
　　1、MSN使用TCP/1863端口，屏蔽掉
　　2、QQ登录会使用到TCP/UDP8000这两个端口，还有可能使用到udp/4000进行通讯。屏蔽掉
　　3、以上软件都能支持代理服务器，目前的代理服务器主要布署在TCP 8080、TCP 3128（HTTP代理）和TCP1080(socks)这三个端口上。屏蔽掉
　　4、其它的网络活动，包括邮件收发、IE浏览等都是允许的。
　　
　　二、写ACL（扩展访问列表）如下：
　　
　　access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 1863
　　access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 8000
　　access-list 101 deny udp 192.168.0.0 0.0.0.255 any eq 4000
　　access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 3128
　　access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 8080
　　access-list 101 deny tcp 192.168.0.0 0.0.0.255 any eq 1080
　　access-list 101 permit ip any any （这一句不可少，意思是除以上应用外，其它的所有网络活动允许通过）
　　
　　三、将访问列表ACL101应用到内网的出口上：
　　
　　int fa0/0
　　ip access-group 101 out
　　
　　四、OK,这下领导满足了，下面的MM同事们哭了~