为了更加精确地控制流量过滤,您可以使用编号在 100 到 199 之间以及 2000 到 2699 之间的扩展 ACL(最多可使用 800 个扩展 ACL)。您也可以对扩展 ACL 命名。
扩展ACL
原创
©著作权归作者所有:来自51CTO博客作者bbc12000的原创作品,请联系作者获取转载授权,否则将追究法律责任
扩展 ACL 比标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL 类似,扩展 ACL 可以检查数据包源地址,但除此之外,它们还可以检查目的地址、协议和端口号(或服务)。如此一来,我们便可基于更多的因素来构建 ACL。例如,扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量,同时拒绝文件传输和网页浏览流量。
图中显示了用来过滤源和目的地址、协议和端口号的扩展 ACL 所使用的逻辑决定路径。在本示例中,ACL 首先过滤源地址,然后过滤源的端口和协议。它接着过滤目的地址,然后是目的端口和协议,最后做出最终的允许-拒绝决定。
我们以前学过,ACL 中的条目是逐个处理的,因此结果“否”并不一定等于“拒绝”。沿着逻辑决定路径前进,您会发现“否”表示转到下一个条目,直到所有条目都测试完毕。只有当所有条目都已处理时,才会作出最终的“允许”或“拒绝”决定。
测试端口和服务
由于扩展 ACL 具备根据协议和端口号进行过滤的功能,因此您可以构建针对性极强的 ACL。利用适当的端口号,您可以通过配置端口号或公认端口名称来指定应用程序。
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
扩展ACL
扩展ACL1.
职场 ACL 休闲 -
配置扩展ACL
ACL综合实验
服务器 运维 网络 远程桌面 外网 -
标准ACL+扩展ACL+命名ACL
标准ACL+扩展ACL+命名ACL拓扑图 配置全网互通Router0Router#confRouter(confi
标准ACL 扩展ACL 思科ACL 命名ACL