扩展访问控制列表的格式

    【IT168 相关专题】

    [专题]cisco路由器配置路由协议篇
    [专题]手把手教你配置cisco路由器

    刚刚我们提到了标准访问控制列表，他是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。扩展访问控制列表使用的ACL号为100到199。

   扩展访问控制列表的格式：

    扩展访问控制列表是一种高级的ACL，配置命令的具体格式如下：

    access-list ACL号 [permit|deny] [协议] [定义过滤源主机范围]  [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口]

    例如：access-list 101 deny tcp any host 192.168.1.1 eq www这句命令是将所有主机访问192.168.1.1这个地址网页服务（WWW）TCP连接的数据包丢弃。

    小提示：同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。