扩展ACL可以通过源地址、目标地址、协议、端口以及筛选动作等进行访问控制,相较于标准ACL,在网络层和传输层可以进行更全面的控制。
对于其它访问控制,大家可以参考下面的语句的进行,也可添加几条语句(log/syn/log-input等),从而将之与路由器的网络监视功能结合在一起如捕捉进出的包,这样当对方进行相应的访问时,被访问的路由器上会实时的显示出对方访问的信息。
 
以下是扩展ACL的一个简单实例。
 
R2(config)#ip host R2 1.1.1.2 10.0.0.1
R2(config)#ip host R1 1.1.1.1 192.168.1.1
R2(config)#acc 105 deny tcp host 192.168.1.81 host R2 eq telnet
R2(config)#acc 105 per ip any any
R2(config)#int s0/0
R2(config-if)#ip access-group 105 in
R2(config-if)#end
R2#sh access-lists 105                                 ---客户端测试中
Extended IP access list 105
    deny tcp host 192.168.1.81 host 1.1.1.2 eq telnet (6 matches)
    permit ip any any (142 matches)
-----------------------------------------------------------------------------------------------

 更多内容请查看: [url]http://lgzeng2360.blog.51cto.com/275998/55865[/url]CISCO路由器ACL与流量捕获应用一例