扩展访问控制列表（ACL） - 虚拟

扩展访问控制列表（ACL）允许您允许或拒绝特定IP地址到特定目标IP地址和端口的通信。它还允许您指定不同类型的流量，如ICMP，TCP，UDP等。不用说，它非常细化，可以使您非常具体。

如果您打算创建一个包过滤防火墙来保护您的网络，那么您将需要创建一个扩展ACL。

<！ - 1 - >

将使用的示例包括连接到内部接口（ FastEthernet 0/0 ）上的192.168.0.0/24段的路由器地址192. 168. 8. 1/24和使用地址10的外部接口（ FastEthernet 0/1 ）上的10.2.2.0/24段。0. 2. 1 / 24。

在这种情况下，您将管理192.168.8.0/24网络，并且一些未知和不可信任的组管理网络的其余部分，如图所示。在此网络上，您希望允许用户只访问网络外的网络服务器。为了支持这个，你需要创建两个ACL，101和102.

<！使用

访问列表101 来管理离开办公室的流量和 访问列表102 ，以管理来自不可信网络的流量进入办公室。 创建ACL 101

Router1>

enable Password：Router1#configure terminal输入配置命令，每行一个。以CNTL / Z结尾。 Router1（config）#access-list 101 remark该ACL用于控制出站路由器的流量。 Router1（config）#access-list 101 permit tcp 192. 168. 8. 0 0.0.255 any any 80. Router1（config）#access-list 101 permit tcp 192.168.0.0.0。 0. 255 any eq 443 Router1（config）# end 创建ACL 102

Router1>

enable Password：Router1#configure terminal输入配置命令，每行一个。以CNTL / Z结尾。 Router1（config）#access-list 102 remark该ACL控制入方向的路由器流量。 Router1（config）#access-list 102 permit tcp any 192. 168. 8. 0 0.0.255 established Router1（config）# end 如果检查ACL 101，格式的命令如下所示：

ACL的编号为101

• 允许通信

• 允许TCP通信

• 允许的来源由192.168.80.0定义通配符掩码为0.0.255

• 目标主机是任何主机

• 允许的TCP通信在端口80上

• 第二行是相同的，但它允许TCP端口443上的通信

• 如果对第二个访问控制列表ACL 102进行相同的检查，则最终应该包含以下内容：

ACL编号为102

• 允许通信

• 它允许TCP通信

• 源允许来自任何主机

• 目标主机由192定义。168. 8. 0通配符掩码为0.0.255

• 允许的TCP流量是建立的会话上的任何流量

• ACL 102上的最后一项是更多的东西。在下图中，192. 168. 8. 0/24网络上的客户端计算机已与远程服务器创建了TCP会话。这个TCP会话有一个握手过程，它确定了要使用的端口，这是客户端上随机选择的端口，服务器上的端口80。

在ACE中使用的端口取决于目标地址，在这种情况下，目标端口是客户端上随机选择的端口。而不是指定每个可能的端口是开放的，这是不安全的，选择是说允许在客户端上建立的任何会话。因此，如果客户端打开连接，则此ACL将允许流量返回。