ACL訪問控制技術(shù)

1、第第9章章 ACL訪問訪問控制技術(shù)控制技術(shù)2本章學(xué)習(xí)內(nèi)容 9.1 ACL概述9.1.1 什么是什么是ACL9.1.2 ACL的訪問順序（難點(diǎn)）的訪問順序（難點(diǎn)）9.1.3 ACL的分類的分類9.2 ACL的基本配置舉例9.2.1 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL配置舉例配置舉例(重點(diǎn)重點(diǎn))9.2.3 擴(kuò)展擴(kuò)展ACL配置舉例（重難點(diǎn)）配置舉例（重難點(diǎn)）9.3 本章命令匯總J要求：PC1所在網(wǎng)絡(luò)能訪問PC3，PC2所在網(wǎng)絡(luò)不能訪問PC3。J要求：PC1所在網(wǎng)絡(luò)僅能訪問PC2的WWW服務(wù)器，PC3所在網(wǎng)絡(luò)僅能訪問PC2的FTP服務(wù)器，其他計(jì)算機(jī)都不能訪問PC2服務(wù)器。59.1 ACL 概 述 J 訪問控制列表（Acc

2、ess Control List，簡(jiǎn)稱ACL）網(wǎng)絡(luò)操作系統(tǒng)所提供的一種訪問控制技術(shù)。J ACL原理ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾，從而達(dá)到訪問控制的目的。 J 功能保護(hù)資源、阻止非法用戶對(duì)資源的訪問；限制特定用戶對(duì)資源的訪問權(quán)限。J 使用范圍路由器、三層交換機(jī)、部分最新的二層交換機(jī)都提供ACL支持。ACL語句舉例：語句舉例：RA(config)#access-list 1 permit 55RA(config)#access-list 1 permit

3、 55ip access-list extend server-protectPeimit tcp host 3 host 1 eq 1521Deny tcp 55 host 1 eq 1521Peimit tcp 55 host 1 eq 1521Permit tcp 55 host 0 eq 80Peimit tcp 55 host 10.1.

4、2.22 eq 217配置ACL的基本原則：（1）最小特權(quán)原則最小特權(quán)原則：只給受控對(duì)象完成任務(wù)所：只給受控對(duì)象完成任務(wù)所必需的最小的權(quán)限；必需的最小的權(quán)限；（2）最靠近受控對(duì)象原則最靠近受控對(duì)象原則：所有的網(wǎng)絡(luò)層訪問：所有的網(wǎng)絡(luò)層訪問權(quán)限控制盡可能離受控對(duì)象最近。權(quán)限控制盡可能離受控對(duì)象最近。8ACL語句的增加與刪除JACL由一系列訪問控制語句組成。J當(dāng)創(chuàng)建一個(gè)ACL列表后，新增加的語句新增加的語句總是放放到列表最后到列表最后。J無法刪除某一條ACL語句，只能刪除整個(gè)刪除整個(gè)ACL列表列表。9ACL的訪問順序J按照語句順序語句順序，根據(jù)判定條件對(duì)數(shù)據(jù)包進(jìn)行檢檢查查。一旦找到了匹配條件就結(jié)束比

5、較過程找到了匹配條件就結(jié)束比較過程，不再檢查后面的判斷條件。J如果所有條件語句都不匹配所有條件語句都不匹配，則在最后強(qiáng)加一條拒絕全部流量的隱含語句，即總是拒絕所有總是拒絕所有流量。流量。10ACL訪問順序 示例協(xié)議源地址源端口目的地址目的端口訪問權(quán)限TCP10.1/16所有0/3280允許TCP10.1/16所有2/3221允許TCP10.1/16所有1/321521允許TCP10.1.6/24所有1/321521禁止TCP3/32所有1/321521允許IP10.1/16N/A所有N/A禁止ip

6、access-list extend server-protectPermit tcp 55 host 0 eq 80Peimit tcp 55 host 2 ep 21Peimit tcp 55 host 1 eq 1521Deny tcp 55 host 1 eq 1521Peimit tcp host 3 host 1 eq 1521Deny ip 10.

7、1.0.0 55 any能否拒絕能否拒絕網(wǎng)絡(luò)網(wǎng)絡(luò)中主機(jī)中主機(jī)訪問主機(jī)訪問主機(jī)1:1521？ip access-list extend server-protectPeimit tcp host 3 host 1 eq 1521Deny tcp 55 host 1 eq 1521Peimit tcp 55 host 1 eq 1521Permit tcp 55 host 10.1.

8、2.20 eq 80Peimit tcp 55 host 2 eq 21ACL語句定義順序：語句定義順序：先小范圍先小范圍精確匹配，精確匹配，再大范圍再大范圍匹配。匹配。13 ACL的分類的分類 1標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL（standard ACL）2擴(kuò)展擴(kuò)展ACL（extended ACL）3命名命名ACL4基于時(shí)間的訪問控制列表基于時(shí)間的訪問控制列表141. 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACLJ標(biāo)準(zhǔn)ACL：使用使用IP包中的包中的源源IP地址地址進(jìn)行過濾。進(jìn)行過濾。在思科的路由器上使用的在思科的路由器上使用的ACL編號(hào)為編號(hào)為199以及以及13001999。151.標(biāo)

9、準(zhǔn)標(biāo)準(zhǔn)ACL的配置的配置J第一步，第一步，定義定義訪問控制列表，命令如下：訪問控制列表，命令如下： Router(config)# access-list access-list-number permit | deny source source-wildcard logJ第二步，把標(biāo)準(zhǔn)第二步，把標(biāo)準(zhǔn) ACL應(yīng)用到應(yīng)用到一個(gè)具體一個(gè)具體接口。接口。161.標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL的配置的配置J第一步，第一步，定義定義訪問控制列表，命令如下：訪問控制列表，命令如下： Router(config)# access-list access-list-number permit | deny source s

10、ource-wildcard log標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL編號(hào)編號(hào)199，13001999源地址通配符掩碼。通配符掩碼。0檢查相應(yīng)位；檢查相應(yīng)位；1不檢查相應(yīng)位。不檢查相應(yīng)位。Any表示表示 55Host 9 表示表示9 源地址通配符掩碼。通配符掩碼。0檢查相應(yīng)位；檢查相應(yīng)位；1不檢查相應(yīng)位。不檢查相應(yīng)位。Any表示表示 55Host 9 表示表示9 源地址通配符掩碼。通配符掩碼。0檢查相應(yīng)位；檢查相應(yīng)位；1

11、不檢查相應(yīng)位。不檢查相應(yīng)位。Any表示表示 55Host 9 表示表示9 171.標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL的配置的配置J第一步，第一步，定義定義訪問控制列表，命令如下：訪問控制列表，命令如下： Router(config)# access-list access-list-number permit | deny source source-wildcard log生成日志文件生成日志文件181.標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL的配置的配置J第二步，把標(biāo)準(zhǔn)第二步，把標(biāo)準(zhǔn) ACL應(yīng)用到應(yīng)用到一個(gè)具體一個(gè)具體接口接口： Rout

12、er(config)# int interface Router(config-if)# protocol access-group access-list-number in | out 例如：例如：Router(config)# access-list 1 permit 55 /允許源地址為允許源地址為網(wǎng)段的數(shù)據(jù)通過網(wǎng)段的數(shù)據(jù)通過Router(config)# int s1/1Router(config-if)# ip access-group 1 out192. 擴(kuò)展ACLJ擴(kuò)展ACL：可以控制可以控制源源IP，目的目的IP，源端口

13、源端口，目的端口目的端口等。等。在思科路由器上，擴(kuò)展在思科路由器上，擴(kuò)展ACL的編號(hào)為的編號(hào)為100199以及以及20002699。缺點(diǎn)缺點(diǎn)在沒有硬件在沒有硬件ACL加速的情況下，加速的情況下，消耗消耗大量的路由器大量的路由器CPU資源資源。中低檔路由器上盡量。中低檔路由器上盡量減少擴(kuò)展減少擴(kuò)展ACL的條目數(shù)。的條目數(shù)。202.擴(kuò)展ACL的配置J第一步，定義訪問控制列表，命令：第一步，定義訪問控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard o

14、perator operand destination destination-wildcard operator operand established logJ第二步，把擴(kuò)展第二步，把擴(kuò)展 ACL應(yīng)用應(yīng)用到一個(gè)具體到一個(gè)具體接口接口：212.擴(kuò)展ACL的配置J第一步，定義訪問控制列表，命令：第一步，定義訪問控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wi

15、ldcard operator operand established log擴(kuò)展擴(kuò)展ACL編號(hào)編號(hào)100199，20002699222.擴(kuò)展ACL的配置J第一步，定義訪問控制列表，命令：第一步，定義訪問控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log指定協(xié)議類型IP, TCP,

16、UDP, ICMP等232.擴(kuò)展ACL的配置J第一步，定義訪問控制列表，命令：第一步，定義訪問控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log源地址源地址 及及 通配符掩碼通配符掩碼。0檢查相應(yīng)位；檢查相應(yīng)位；1不檢查相應(yīng)位。不檢查相應(yīng)位。Any表示表示 255.25

17、5.255.255Host 9 表示表示9 242.擴(kuò)展ACL的配置第一步J第一步，定義訪問控制列表，命令：第一步，定義訪問控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established logJ第二步，把擴(kuò)展第二步，把擴(kuò)展 ACL應(yīng)用應(yīng)用到一個(gè)

18、具體到一個(gè)具體接口接口：目的地址 ，通配符掩碼,0檢查,1不檢查252.擴(kuò)展ACL的配置第一步J第一步，定義訪問控制列表，命令：第一步，定義訪問控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established logJ第二步，把擴(kuò)展第二步，把擴(kuò)展 ACL應(yīng)用應(yīng)用到一個(gè)具體到一個(gè)具體接口接口：lt, gt,

19、 eq, neq(小于小于, 大于大于, 等于等于, 不等于不等于)一個(gè)端口號(hào)或應(yīng)用名稱262.擴(kuò)展ACL的配置第一步J第一步，定義訪問控制列表，命令：第一步，定義訪問控制列表，命令：Router(config)# access-list access-list-number permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established logJ第二步，把擴(kuò)展第二步，把擴(kuò)展 ACL應(yīng)用應(yīng)用到一個(gè)具體到一個(gè)具體

20、接口接口：如果數(shù)據(jù)包使用一個(gè)已建立連接，則允許TCP信息通過。擴(kuò)展擴(kuò)展ACL命令命令示例如下：示例如下：例例1：Router(config)# access-list 101 deny tcp 55 55 eq 20例例2：Router(config)# access-list 101 permit tcp 55 host 0 eq 80例例3：Router(config)# access-list 101 deny ip 55 any

21、特定主機(jī)特定主機(jī)IP地址：地址：0 表示任何主機(jī)地址：表示任何主機(jī)地址： 55282.擴(kuò)展ACL的配置第二步Router(config)# int interfaceRouter(config-if)# protocol access-group access-list-number in | out 例如：例如：Router(config)# int f0/0Router(config-if)# ip access-group 1 outJ第一步，定義訪問控制列表；第一步，定義訪問控制列表；J第二步，把擴(kuò)展第二步，把擴(kuò)展

22、 ACL應(yīng)用應(yīng)用到一個(gè)具體到一個(gè)具體接口接口：293.命名ACL的配置J命名命名ACL在標(biāo)準(zhǔn)在標(biāo)準(zhǔn)ACL和擴(kuò)展和擴(kuò)展ACL中，使中，使用用名字名字代替代替ACL編號(hào)編號(hào)。J命名命名ACL好處：好處：字母數(shù)字串直觀表示特定字母數(shù)字串直觀表示特定ACL。不受不受99條標(biāo)準(zhǔn)條標(biāo)準(zhǔn)ACL和和100條擴(kuò)展條擴(kuò)展ACL限制。限制。修改方便修改方便，無需刪除后再重新配置。，無需刪除后再重新配置。30命名ACL配置3個(gè)步驟J第一步，第一步，創(chuàng)建一個(gè)創(chuàng)建一個(gè)ACL命名命名，要求，要求名字字符串名字字符串要要唯一唯一。 Router(config)# ip access-list standard | exten

23、ded name31命名ACL配置3個(gè)步驟J第二步，定義訪問控制列表，命令格式：第二步，定義訪問控制列表，命令格式：（1）命名的標(biāo)準(zhǔn)）命名的標(biāo)準(zhǔn)ACL： Router(config-sta-nacl)# permit | deny source source-wildcard log編號(hào)的標(biāo)準(zhǔn)編號(hào)的標(biāo)準(zhǔn)ACL格式：格式： Router(config)# access-list access-list-number permit | deny source source-wildcard log32命名ACL配置3個(gè)步驟J第二步，定義訪問控制列表，命令格式：第二步，定義訪問控制列表，命令格式：（

24、2）命名的擴(kuò)展）命名的擴(kuò)展ACL： Router(config-sta-nacl)# permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log33命名ACL配置3個(gè)步驟J第三步，把第三步，把 ACL應(yīng)用到一個(gè)具體接口上：應(yīng)用到一個(gè)具體接口上：Router(config)# int interfaceRouter(config-if)# protocol access-group name in |

25、 out 34命名ACL配置實(shí)例JRouter(config)# access-list extend server-protectJRouter(config-ext-nad)# permit tcp 55 host 0 eq wwwJRouter(config)# int f0/0JRouter(config)# ip access-group server-protect out35刪除命名ACL命令J刪除某一條命名ACL命令：Router(config-sta-nacl)# no permit | deny source source

26、-wildcard log Router(config-sta-nacl)# no permit | deny protocol source source-wildcard operator operand destination destination-wildcard operator operand established log刪除命名的標(biāo)準(zhǔn)ACL刪除命名的擴(kuò)展ACL36命名ACL注意事項(xiàng)：J不能不能在任意位置加入新的ACL條目。J新增的ACL仍然放在最后一行。J必須注意ACL的放置順序。379.2 ACL的基本配置舉例9.2.1 標(biāo)準(zhǔn)ACL配置舉例1. 實(shí)驗(yàn)?zāi)康模?）掌握標(biāo)準(zhǔn)）掌握

27、標(biāo)準(zhǔn)ACL的配置的配置。（2）掌握標(biāo)準(zhǔn)）掌握標(biāo)準(zhǔn)ACL的的測(cè)試測(cè)試。（3）掌握）掌握命名標(biāo)準(zhǔn)命名標(biāo)準(zhǔn)ACL的配置的配置。2. 實(shí)驗(yàn)拓?fù)銳某公司經(jīng)理部、財(cái)務(wù)部和銷售部分別屬于3個(gè)不同的網(wǎng)段，通過路由器傳遞信息。要求：銷售部銷售部PC2不能訪問不能訪問財(cái)務(wù)部財(cái)務(wù)部PC3；經(jīng)理部經(jīng)理部PC1可以訪問可以訪問財(cái)務(wù)部財(cái)務(wù)部PC3。2. 實(shí)驗(yàn)拓?fù)涞谝徊剑篟1接口參數(shù)和OSPF協(xié)議配置RouterenRouter#conf tRouter(config)#hostname R1R1(config)#int f0/0R1(config-if)#ip add R

28、1(config-if)#no shutR1(config-if)#int f0/1R1(config-if)#ip add R1(config-if)#no shutR1(config-if)#int s0/0R1(config-if)#ip add R1(config-if)#clock rate 64000R1(config-if)#no shut第一步：第一步：R1接口參接口參數(shù)和數(shù)和OSPF協(xié)議配置協(xié)議配置R1(config)#router ospf 100R1(config-router)#net

29、work 55 area 0R1(config-router)#network 55 area 0R1(config-router)#network 55 area 0第二步：R2接口參數(shù)和OSPF協(xié)議配置RouterenRouter#conf tRouter(config)#hostname R2R2(config)#int f0/1R2(config-if)#ip add R2(config-if)#no shutR2(config-

30、if)#int s0/0R2(config-if)#ip add R2(config-if)#no shut第二步：R2接口參數(shù)和OSPF協(xié)議配置R2(config)#router ospf 100R2(config-router)#network 55 area 0R2(config-router)#network 55 area 0第三步：查看R1和R2路由表R2#show ip routeC /8 is directly connected, Serial0/0O 1

31、/24 110/65 via , 00:05:07, S0/0O /24 110/65 via , 00:05:07, S0/0C /24 is directly connected, F0/1R1#show ip routeC /8 is directly connected, Serial0/0C /24 is directly connected, F0/0C /24 is directly connected, F0/1O 192.

32、168.3.0/24 110/65 via , 00:03:47, S0/045第四步：測(cè)試網(wǎng)絡(luò)連通性PC1ping 2 /PC1pingPC2Reply from 2: bytes=32 time=0ms TTL=127PC1ping 3 /PC1pingPC3Reply from 3: bytes=32 time=2ms TTL=126PC2ping 3 /PC2pingPC3Reply from 3: bytes=32 time=4ms TT

33、L=126結(jié)論：配置結(jié)論：配置ACL前，全網(wǎng)連通。前，全網(wǎng)連通。46第五步：在R2上上配置ACL思考：為什么要在R2上配置ACL？ACL的配置原則：的配置原則：（1）最小特權(quán)原則最小特權(quán)原則：只給受控對(duì)象完成任：只給受控對(duì)象完成任務(wù)所必需的最小的權(quán)限；務(wù)所必需的最小的權(quán)限；（2）最靠近受控對(duì)象原則最靠近受控對(duì)象原則：所有的網(wǎng)絡(luò)層：所有的網(wǎng)絡(luò)層訪問權(quán)限控制盡可能離受控對(duì)象最近。訪問權(quán)限控制盡可能離受控對(duì)象最近。47第五步：在R2上配置ACL48第五步：在R2上配置ACLR2(config)#access-list 1 deny 55R2(config)#ac

34、cess-list 1 permit anyR2(config)#int f0/1R2(config-if)#ip access-group 1 out49第六步：再次測(cè)試連通性J此時(shí)在R2上已經(jīng)配置好了access-list 1，拒絕PC2所在網(wǎng)段主機(jī)訪問PC3，運(yùn)行其他網(wǎng)段主機(jī)訪問PC3。PC1ping 3 / PC1能ping通PC3Reply from 3: bytes=32 time=1ms TTL=126PC2ping 3 / PC2ping不通PC3Reply from : Destination

35、host unreachable.50第七步：命名ACL的配置R2# show ip access-list /查看已配置的ACLStandard IP access list 1 deny 55 permit anyJ首先在R2上刪除原來配置的access-list 1：JR2(config)#no access-list 1JR2# show ip access-list /此時(shí)沒有顯示內(nèi)容51第七步：命名ACL的配置重新配置命名ACL：R2(config)#ip access-list standard 1jR2(config-std-nacl)#p

36、ermit 55R2(config-std-nacl)#deny 55R2(config-std-nacl)#peimit anyR2(config-std-nacl)#exitR2(config)#int f0/1R2(config-if)#ip access-group 1j out52第八步：查看命名ACLR2# show ip access-lists Standard IP access list 1j 10 permit 55 20 deny 0

37、.0.0.255 Permit any53第九步：測(cè)試網(wǎng)絡(luò)連通性PC1ping 3 Reply from 3: bytes=32 time=4ms TTL=126PC2ping 3Reply from : Destination host unreachable.549.2.2 擴(kuò)展ACL配置舉例J1. 實(shí)驗(yàn)?zāi)康模?）掌握擴(kuò)展ACL的配置。（2）掌握擴(kuò)展ACL的測(cè)試。（3）掌握命名擴(kuò)展ACL的配置。2. 實(shí)驗(yàn)拓?fù)銳要求：PC1所在網(wǎng)絡(luò)僅能訪問PC2的WWW服務(wù)器，PC3所在網(wǎng)絡(luò)僅能訪問PC2的FTP服務(wù)器，其他計(jì)

38、算機(jī)都不能訪問PC2服務(wù)器。563. 實(shí)驗(yàn)配置步驟J（1）分別配置各路由器的hostname和各接口參數(shù)。J（2）路由器上配置RIP協(xié)議使得全網(wǎng)互通。J（3）配置擴(kuò)展ACL，并檢測(cè)控制效果。第一步：R1接口配置RouterenRouter#conf tRouter(config)#hostname R1R1(config-if)#int f0/0R1(config-if)#ip add R1(config-if)#no shutR1(config-if)#int s0/0R1(config-if)#ip add 255.255

39、.255.0R1(config-if)#clock rate 64000R1(config-if)#no shut第一步：第一步：R2接口配置接口配置RouterenRouter#conf tRouter(config)#hostname R2R2(config)#int f0/0R2(config-if)#ip add R2(config-if)#no shutR2(config-if)#int s0/0R2(config-if)#ip add R2(config-if)#no shutR2(con

40、fig-if)#int s0/1R2(config-if)#ip add R2(config-if)#clock rate 64000R2(config-if)#no shut第一步：R3接口配置RouterenRouter#conf tRouter(config)#hostname R3R3(config)#int f0/0R3(config-if)#ip add R3(config-if)#no shutR3(config-if)#int s0/1R3(config-if)#ip add 20.0

41、.0.2 R3(config-if)#no shut第二步：R1的RIP協(xié)議配置R1(config)#router rip R1(config-router)#version 2R1(config-router)#network R1(config-router)#network 第二步：R2的RIP協(xié)議配置R2(config)#router rip R2(config-router)#version 2R2(config-router)#network R2(config-router)#network 1

42、R2(config-router)#network 第二步：第二步：R3的的RIP協(xié)議配置協(xié)議配置R3(config)#router ripR3(config-router)#version 2R3(config-router)#network R3(config-router)#network 63第三步：測(cè)試網(wǎng)絡(luò)連通性PC1ping /PC1ping PC2服務(wù)器Reply from : bytes=32 time=3ms TTL=126PC3ping

43、/PC3ping PC2服務(wù)器Reply from : bytes=32 time=1ms TTL=125PC1能訪問能訪問WWW服務(wù)器服務(wù)器PC3能訪問能訪問WWW服務(wù)器服務(wù)器PC1能訪問能訪問FTP服務(wù)器：服務(wù)器：PC1 ftp Trying to connect.Connected to 220- Welcome to PT Ftp serverPC3能訪問能訪問FTP服務(wù)器：服務(wù)器：PC3 ftp Trying to connect.Connected t

44、o 220- Welcome to PT Ftp server第四步：配置擴(kuò)展ACLR2(config)#access-list 100 permit tcp 55 host eq wwwR2(config)#access-list 100 permit tcp 55 host eq 21R2(config)#access-list 100 permit tcp 55 host eq 20

45、R2(config)#access-list 100 deny tcp any host R2(config)#access-list 100 permit ip any anyR2(config)#int f0/0 /應(yīng)用于f0/0的out方向R2(config-if)#ip access-group 100 out測(cè)試PC1到PC2的連通性PC1能訪問WWW服務(wù)器PC1 ftp Trying to connect.%Error opening / (Timed out)測(cè)試PC3到PC2的連通

46、性PC3不能訪問WWW服務(wù)器PC3 ftp Trying to connect.Connected to 220- Welcome to PT Ftp server69第五步：配置命名擴(kuò)展ACLR2#show ip access-list /查看R2的ACLExtended IP access list 100 permit tcp 55 host eq www (5 match(es) permit tcp 55 host 19

47、 eq ftp (3 match(es) permit tcp 55 host eq 20 deny tcp any host (42 match(es) permit ip any any (8 match(es)70第六步：配置命名擴(kuò)展ACLJ首先首先刪除刪除原來的擴(kuò)展原來的擴(kuò)展ACL：R2(config)#no access-list 100R2#show ip access-lists /此時(shí)沒有此時(shí)沒有ACL信息信息定義命名的擴(kuò)展ACLR2(config)#ip access-li

48、st extended ext-1R2(config-ext-nacl)#permit tcp 55 host eq wwwR2(config-ext-nacl)#permit tcp 55 host eq 21R2(config-ext-nacl)#permit tcp 55 host eq 20R2(config-ext-nacl)#deny tcp any host R2(config-ext-nacl)#per