扩展ACL命令

扩展ACL

语法：access-list  access-list-number { permit | deny } protocol { source source-wildcard destination  destination-wildcard } [ operator operan ]

------------------------------------------------------------------------------------------------------------------------------------------

例如第一种：access-list       列表编号       permit|deny     ip       源网络      源网络反掩码      目的网络       目的网络反掩码 

第一种表示 允许或拒绝源网络访问目的网络的ip协议

------------------------------------------------------------------------------------------------------------------------------------------

例如第二种：access-list       列表编号       permit|deny     tcp       源网络      源网络反掩码      目的网络       目的网络反掩码       eq       21

第二种表示 允许或拒绝源网络访问目的网络的FTP协议（采用TCP应用层进行过滤）
------------------------------------------------------------------------------------------------------------------------------------------

例如第三种：access-list       列表编号       permit|deny     tcp       源网络      源网络反掩码      host       主机ip地址      eq      80 

第三种表示 允许或拒绝源网络访问一个主机的HTTP协议（采用TCP应用层进行过滤，禁止源网络访问服务器的HTTP协议的网站）
------------------------------------------------------------------------------------------------------------------------------------------

例如第四种：access-list       列表编号       permit|deny     tcp       any      host       主机ip地址      eq      80 

第四种表示 允许或拒绝所有网段或主机访问一个主机的HTTP协议（采用TCP应用层进行过滤）

……
------------------------------------------------------------------------------------------------------------------------------------------

注意：每个访问控制列表最后一条都是拒绝所有。所以在写完拒绝时要允许所有：acc-list 列表编号 permit ip any any

注：扩展ACL列表编号为100-199

协议：
ip （ip包含tcp和udp）
icmp
tcp
udp
……

TCP应用层协议过滤：
FTP数据 20
FTP连接 21
Telnet 23
WWW（HTTP） 80
WWW（HTTPS）443
……

------------------------------------------------------------------------------------------------------------------------------------------
例题1：
允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过，而拒绝其他任何流量。ACL命令如下：
Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Router(config)#access-list 101 deny ip any any

例题2：
拒绝网络192.168.1.0/24访问ftp服务器192.168.2.2/24的IP流量通过，而允许其他任何流量。ACL命令如下：
Router(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq  21
Router(config)#access-list 101 permit ip any any

例题3：
禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24的流量通过，而允许其他任何流量。ACL命令如下：
Router(config)# access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 echo
Router(config)# access-list 101 permit ip any any