【IT168 专稿】上篇文章我们提到了标准访问控制列表，他是基于IP地址进行过滤的，是最简单的ACL。那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。扩展访问控制列表使用的ACL号为100到199。

    一，扩展访问控制列表的格式：

    扩展访问控制列表是一种高级的ACL，他的具体格式如下：
    acl ACL号
    rule permit|deny 协议 定义过滤源主机范围  定义过滤源端口 定义过滤目的主机访问 定义过滤目的端口

    例如：
    (1)access-list 101
    (2)rule deny tcp source any  destination 192.168.1.1 0.0.0.0 destination-port equal www这句命令是将所有主机访问192.168.1.1这个地址网页服务（WWW）TCP连接的数据包丢弃。（如图1）

图1（点击看大图）

    小提示：

    同样在扩展访问控制列表中也可以定义过滤某个网段，当然和标准访问控制列表一样需要我们使用反向掩码定义IP地址后的子网掩码。

    二，配置实例：

    要想使扩展ACL生效需要我们配置两方面的命令：
    1，ACL自身的配置，即将详细的规则添加到ACL中。
    2，宣告ACL，将设置好的ACL添加到相应的端口中。