配置扩展 ACL 的步骤与配置标准 ACL 相同。 首先配置扩展 ACL,然后在接口上激活。 不过,用于支持扩展 ACL 所提供的附加功能的命令语法和参数较为复杂。

注意:应用于标准 ACL 语句排序的内部逻辑并不适用于扩展 ACL。 在配置过程中输入语句的顺序就是显示和处理这些语句的顺序。

图 1 显示了扩展 IPv4 ACL 的常用命令语法。 注意,扩展 ACL 有许多关键字和参数。 当配置扩展 ACL 时,不需要使用所有的关键字和参数。 回想一下,? 可用于在输入复杂命令时获得帮助。

图 2 显示了扩展 ACL 的示例。 在本示例中,网络管理员已经配置了用于限制网络访问的 ACL,只允许从与接口 G0/0 连接的 LAN 对任何外部网络进行网页浏览。 ACL 103 允许来自 192.168.10.0 网络中任何地址的流量发送到任何目的地,条件是这些流量仅使用端口 80 (HTTP) 和 443 (HTTPS)。

HTTP 的性质要求流量从通过内部客户端访问的网站返回到网络中。 网络管理员希望将返回的流量限制为从所请求网站进行 HTTP 交换,同时拒绝所有其他流量。 ACL 104 即可实现这一点,它会阻止除之前建立的连接以外的所有其他传入流量。 ACL 104 中的 permit 语句使用 established 参数允许入站流量。

established 参数仅允许对源自 192.168.10.0/24 网络的流量作出的响应返回该网络。 当返回的 TCP 数据段具有 ACK 或重置 (RST) 位时将出现匹配项,表示该数据包属于现有连接。 如果 ACL 语句中没有 established 参数,则客户端可以向 Web 服务器发送流量,但不会收到从 Web 服务器返回的流量。