扩展访问控制列表的配置

      用标准的访问控制列表不能实现让用户只能使用一个网络服务而不能使用另外的网络服务的目标,比如只允许用法访问这台服务器上的www服务,而不允许其进行ftp访问,这是,标准访问控制列表就无能为力了,但是扩展访问控制列表可以做到。
      扩展访问控制列表的基本格式:
      access-list ACL号 [permit|deny] [协议] [源地址]  [目的地址] [匹配形式] [定义过滤目的端口]
      1、扩展访问控制列表号的范围是100-199或者2000-2699。
      2、因为默认情况下,每个访问控制列表的末尾隐含deny all,所以在每个扩展访问控制列表里面必须有:R2(config)#access-list 110 permit ip any any
      3、不同的服务要使用不同的协议,比如TFTP使用的是UDP协议。
      4、更多注意事项可以参考《标准范围控制列表的配置》这篇文章。
      扩展范围控制列表的配置实例(拒绝访问192.168.1.12的www和ftp服务):
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq www
R2(config)#access-list 110 deny tcp any host 192.168.1.12 eq ftp
应用到端口:
R2(config)#ip access-list 110 out

1 Comment

  1. 扩展访问控制列表号的范围是100-199或者2000-2699。
    还要加上1300-1999.
    这 只是ip协议的.
    还有Apple Talk
    ipx

    不是每个列表都需要R2(config)#access-list 110 permit ip any any

    是每个列表都要有一条 permit .不过如果你不想别人访问这个网段或不想这个网段的节点能访问别的网段节点.全deny又怎么样呢.