二、两手都要抓的ACL

　　上例中我们写的ACL只是限制一个端口下连的网络中只有指定IP地址的主机可以上网，其实ACL还可以管的更宽，比如可以做到指定的主机只能与指定的目标网段的主机进行通讯，这需要用一个扩展的ACL来实现，写扩展的ACL祥子发现了一个规律，或者说是一个着眼点，那就是如何判断源地址和目标地址，其实祥子以前一直对这个事情很茫然，愚者千虑，并有一得，困惑了这么久，现在发现换个角度看这个问题就清楚了，那就是站在将要应用ACL的交换机的端口的角度上看源和目标，端口下面连接的网络（或主机）为源，对外的访问就是目标了，本例中这样写：

　　3550(config)#access-list 106 permit ip any 192.168.1.0 0.0.0.255
　　3550(config)#end
　　3550#show access-lists
　　Extended IP access list 106
　　permit ip any 192.168.1.0 0.0.0.255
　　3550#conf t
　　Enter configuration commands, one per line.  End with CNTL/Z.
　　3550(config)#inter fa0/22
　　3550(config-if)#ip access-group 106 in

　　将ACL106应用到端口22以后，PC1（22端口下所连的所有微机，因为我使用了一个“any”来代表所有的微机）就只能与位于端口3的PC2所在的网段（192.168.1/24）进行通讯了，我们也就通过扩展的ACL对于主机与外部网络的通讯作了更细化的限制。