扩展访问列表

先决条件—— 访问列表（ACL） , 标准访问列表 访问列表（ACL）是为控制网络流量和减少网络攻击而定义的一组规则。ACL用于根据为网络的传入或传出定义的规则集过滤流量。

扩展访问列表- 它是最常用的访问列表类型之一，因为它可以区分IP流量，因此不会像标准访问列表那样允许或拒绝整个流量。这些是使用源和目标IP地址以及端口号来区分IP流量的ACL。在这种类型的ACL中，我们还可以提到应该允许或拒绝哪些IP流量。这些使用范围为100-199和2000-2699。

特色——

1. 扩展访问列表通常应用于靠近源的位置，但并不总是如此。
2. 在扩展访问列表中，根据源IP地址、目标IP地址和端口号进行数据包过滤。
3. 在扩展访问列表中，特定服务将被允许或拒绝。
4. 扩展ACL从100-199和扩展范围2000-2699创建。
5. 如果使用扩展访问列表编号，则不能删除记住规则。如果删除其中一条规则，则整个访问列表将被删除。
6. 如果使用扩展访问列表命名，那么我们可以灵活地从访问列表中删除规则。

配置——

这是一个小的拓扑结构，其中有三个部门，即销售、财务和营销。销售部网络为172.16.10.40/24，财务部网络为172.16.50.0/24，市场部网络为172.16.60.0/24。现在，我们要拒绝从销售部门到财务部门的FTP连接，并拒绝从销售和市场营销部门到财务部门的telnet。

现在，首先配置带编号的扩展访问权限–用于拒绝从销售部门到财务部门的FTP连接的列表。

R1# config terminalR1(config)# access-list 110             deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21 

这里，我们首先创建一个编号的访问列表，其中使用110（从扩展的访问列表范围中使用），并拒绝销售网络（172.16.40.0）与金融网络（172.16.50.0）建立FTP连接。

注—— 这里，因为FTP使用TCP和端口号21。因此，我们必须根据需要指定许可证或拒绝条件。此外，在eq之后，我们必须使用指定应用层协议的端口号。

现在，我们必须拒绝销售和市场营销部门与财务部门的telnet连接，这意味着任何人都不应该将telnet连接到财务部门。同样的配置。

R1(config)# access-list 110             deny tcp any 172.16.50.0 0.0.0.255 eq 23

在这里，我们使用了关键字any，意思是0.0.0.0.0.0.0，即来自任何子网掩码的任何IP地址。由于telnet使用端口号23，因此，我们必须在eq之后指定端口号23。

R1(config)# access-list 110 permit ip any any

现在，这是最重要的部分。我们已经知道，在每个访问列表的末尾都有一个隐式拒绝，这意味着如果流量不符合访问列表的任何规则，那么流量将被丢弃。

通过指定 任何 意味着拥有任何IP地址流量的来源将到达财务部，但与我们制定的上述规则相匹配的流量除外。现在，我们必须在路由器的接口上应用访问列表：

R1(config)# int fa0/1R1(config-if)# ip access-group 110 out

正如我们所记得的，我们必须将扩展访问列表应用于尽可能靠近源的位置，但在这里，我们将其应用于靠近目的地的位置，因为我们必须阻止来自销售和市场营销部门的流量，因此，我们必须在靠近目的地的地方使用它，否则我们必须为fa0/0和fa1/0入站创建单独的访问列表。

命名访问列表示例——

现在，考虑到相同的拓扑结构，我们将创建一个命名的扩展访问列表。

R1(config)# ip access-list extended blockacl

通过使用这个命令，我们创建了一个名为blockacl的访问列表。

R1(config-ext-nacl)# deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21 R1(config-ext-nacl)# deny tcp any 172.16.50.0 0.0.0.255 eq 23R1(config-ext-nacl)# permit ip any any

然后是我们在编号访问列表中所做的配置。

R1(config)# int fa0/1R1(config-if)# ip access-group blockacl out