扩展访问列表

先决条件 - 访问列表 (ACL)、标准访问列表
访问列表 (ACL) 是为控制网络流量和减少网络攻击而定义的一组规则。 ACL 用于根据为网络的传入或传出定义的规则集过滤流量。

扩展访问列表 –
它是最常用的访问列表类型之一，因为它可以区分 IP 流量，因此不会像标准访问列表中那样允许或拒绝整个流量。这些是使用源和目标 IP 地址以及端口号来区分 IP 流量的 ACL。在这种类型的 ACL 中，我们还可以提及应该允许或拒绝哪些 IP 流量。这些使用范围为 100-199 和 2000-2699。

特征 -

扩展访问列表通常应用在靠近源的位置，但并非总是如此。
在扩展访问列表中，根据源 IP 地址、目标 IP 地址、端口号进行数据包过滤。
在扩展访问列表中，将允许或拒绝特定服务。
扩展 ACL 从 100 – 199 和扩展范围 2000 – 2699 创建。
如果使用扩展访问列表编号，则无法删除记住规则。如果其中一条规则被删除，则整个访问列表将被删除。
如果使用扩展访问列表命名，那么我们可以灵活地从访问列表中删除规则。

配置 -

这是一个小型拓扑，其中有 3 个部门，即销售、财务和营销。销售部网络172.16.10.40/24，财务部网络172.16.50.0/24，市场部网络172.16.60.0/24。现在，我们要拒绝销售部门到财务部门的 FTP 连接，并拒绝销售和市场部门到财务部门的 telnet。

现在，首先配置编号扩展访问 - 拒绝从销售到财务部门的 FTP 连接的列表。

R1# config terminal
R1(config)# access-list 110 
            deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21

在这里，我们首先创建一个编号的访问列表，其中我们使用 110（用于扩展访问列表范围）并拒绝销售网络 (172.16.40.0) 与金融网络 (172.16.50.0) 建立 FTP 连接。

注意 –这里由于 FTP 使用 TCP 和端口号 21。因此，我们必须根据需要指定允许或拒绝条件。此外，在 eq 之后，我们必须使用指定应用层协议的端口号。

现在，我们必须拒绝销售和市场部门与财务部门的远程登录连接，这意味着任何人都不应远程登录到财务部门。配置相同。

R1(config)# access-list 110 
            deny tcp any 172.16.50.0 0.0.0.255 eq 23

在这里，我们使用了关键字any，意思是0.0.0.0 0.0.0.0，即来自任何子网掩码的任何IP 地址。由于 telnet 使用端口号 23，因此我们必须在 eq 之后指定端口号 23。

R1(config)# access-list 110 permit ip any any

现在，这是最重要的部分。正如我们已经知道的那样，每个访问列表的末尾都有一个隐式拒绝，这意味着如果流量与 Access-list 的任何规则都不匹配，那么流量将被丢弃。

通过指定任何方式，源具有任何 IP 地址的流量将到达财务部门，但符合我们制定的上述规则的流量除外。现在，我们必须在路由器的接口上应用访问列表：

R1(config)# int fa0/1
R1(config-if)# ip access-group 110 out

我们记得，我们必须将扩展访问列表应用到尽可能靠近源的位置，但在这里我们将其应用到靠近目的地，因为我们必须阻止来自销售和营销部门的流量，因此，我们必须应用它靠近目的地，否则我们必须为 fa0/0 和 fa1/0 入站创建单独的访问列表。

命名访问列表示例 –

现在，考虑到相同的拓扑结构，我们将制作一个命名的扩展访问列表。

R1(config)# ip access-list extended blockacl

通过使用此命令，我们创建了一个名为 blockacl 的访问列表。

R1(config-ext-nacl)# deny tcp 172.16.40.0 0.0.0.255 172.16.50.0 0.0.0.255 eq 21 
R1(config-ext-nacl)# deny tcp any 172.16.50.0 0.0.0.255 eq 23
R1(config-ext-nacl)# permit ip any any

然后我们在编号的访问列表中进行了相同的配置。

R1(config)# int fa0/1
R1(config-if)# ip access-group blockacl out