扩展访问列表

“访问列表”一词指的是用于控制网络流量和减少网络攻击的一组规则。ACL 用于根据为入站或出站流量定义的规则集来过滤网络流量。

扩展访问列表 -

这是最常用的访问列表类型之一，因为它能够区分 IP 流量，因此不会像标准访问列表那样允许或拒绝所有流量。这些 ACL 通过使用源 IP 地址、目标 IP 地址以及端口号来区分 IP 流量。在此类 ACL 中，我们还可以指定允许或拒绝哪些 IP 流量。它们的编号范围是 100-199 和 2000-2699。

扩展访问列表的功能 -

• 扩展访问列表通常部署在靠近源的位置，但这并非总是如此。
• 在扩展访问列表中，数据包过滤基于源 IP 地址、目标 IP 地址和端口号进行。
• 在扩展访问列表中，特定的服务将被允许或拒绝。
• 扩展 ACL 的范围是 100 - 199，扩展范围是 2000 - 2699。
• 请记住，如果规则是用扩展访问列表编号的，则无法删除规则。如果其中一条规则被移除，则整个访问列表都会被移除。
• 如果访问列表是用扩展访问列表命名的，我们则可以从访问列表中删除规则。

设置 -

这里有一个简单的组织结构，有三个部门：销售、财务和市场。市场部门的网络是 172.16.60.0/24，财务部门是 172.16.50.0/24，销售部门是 172.16.10.40/24。现在，我们希望阻止销售部门通过 FTP 连接到财务部门，并阻止市场部门和销售部门通过 Telnet 连接到财务部门。

首先，设置一个编号的扩展访问列表，以阻止销售部门通过 FTP 连接到财务部门。

在这里，我们首先构建一个编号的访问列表，并使用 110（来自扩展访问列表范围）来拒绝销售网络连接到财务网络（172.16.50.0）的 FTP 请求（172.16.40.0）。

请注意，这里使用了 TCP 和端口号 21，因为 FTP 是基于这些的。因此，根据情况，我们必须指定允许或拒绝的条件。此外，我们必须在 eq 后面使用提供的应用程序层协议的端口号。

现在，我们必须阻止销售部门和市场部门通过 Telnet 连接到财务部门，因此任何人都不能这样做。现进行相应设置。

在这里，“any”表示任何子网掩码的任何 IP 地址，或者 0.0.0.0 0.0.0.0。由于 Telnet 使用端口号 23，因此我们必须在 eq 后面指定端口号 23。

这是目前最关键的地方。正如我们之前所知，每个访问列表的末尾都有一个隐含的拒绝规则，这意味着如果流量不符合访问列表的任何规则，则该流量将被丢弃。

任何源 IP 地址符合上述要求的流量将不会通过指定方式进入财务部门。现在我们必须将访问列表应用到路由器的接口。

正如我们回忆的那样，扩展访问列表必须尽可能靠近源进行应用，但在这种情况下，我们将其应用得太靠近目标了，因为我们需要阻止来自销售和市场部门的流量；因此，我们必须将扩展访问列表应用在靠近目标的位置，否则我们就需要为 fa0/0 和 fa1/0 入站配置单独的访问列表。

标准访问列表示例 -

现在，我们将使用相同的拓扑创建一个命名的扩展访问列表。

使用此命令，我们创建了一个名为 blockacl 的访问列表。

之后，我们重复了为编号访问列表所做的设置。