（1）理解扩展ACL和标准ACL的区别

（2）掌握扩展ACL的配置和应用

（3）熟悉扩展ACL的调试

为了更加精确地控制流量过滤，我们可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL（最多可使用 800 个扩展 ACL）。扩展 ACL 比标准 ACL 更常用，因为其控制范围更广，可以提升安全性。与标准 ACL 类似，扩展 ACL 可以检查数据包源地址，但除此之外，它们还可以检查目的地址、协议和端口号（或服务）。如此一来，我们便可基于更多的因素来构建 ACL。例如，扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量，同时拒绝文件传输和网页浏览流量。

由于扩展 ACL 具备根据协议和端口号进行过滤的功能，因此我们可以构建针对性极强的 ACL。利用适当的端口号，我们可以通过配置端口号或公认端口名称来指定应用程序。

本实验案例要求配置OSPF动态路由协议使得网络联通，同时定义扩展ACL实现如下访问控制：

l 该网段只允许IP地址为172.16.1.0/28范围的主机访问server（192.168.1.254）的WEB服务；

l 该网段只允许IP地址为172.16.1.0/28范围的主机访问server（192.168.1.254）的FTP服务；

l 拒绝PC2所在网段访问服务器器server的telnet服务；

l 拒绝PC2所在网段ping server（192.168.1.254）；

要配置扩展ACL，在全局配置模式中执行以下命令：

    Router(config)#access-list access-list-number { remark | permit | deny} protocol source [source-wildcard] [operator port]  destination  [destination-wildcard] [operator port] [established] [log]

参数说明：

参数

参数含义

access-list-number