三:扩展ACL
·扩展访问控制列表对数据包源地址、目的地址、源端口、目的端口都进行检查。若使用扩展访问控制列表禁止某网段访问别的网段,则A网段下所有主机不能访问B网段,而B网段下的主机可以访问A网段。
用100----199之间数字作为表号
一般用于外网,所以最好把扩展ACL应用在离源地址最近的地方。
·配置扩展访问控制列表。
router(config)#access-list 表号 deny(禁止) 协议 源IP地址/网段 反掩码 目的IP地址/网段 反掩码 eq 端口
******禁止A网段(源网段)下的某协议(或某端口)访问B网段(目的网段)
router(config)#access-list 表号 permit ip any any
注:扩展ACL默认情况下所有的网络也被设置为禁止,所以应该放行其他的网段。
router(config)#interface 接口 **********进入想要应用此ACL的接口
router(config-if)#ip access-group 表号 out/in ******激活该接口下咋访问控制列表,并根据实际情况设置此接口为OUT/in。
·常用端口及所属协议。
·扩展访问控制列表的工作原理:
(每当数据进入路由器的每口接口下,都会进行以下进程。
责任编辑:小草