C ập nhật các danh sách truy cập:
5.2.2. ACLs mở rộng
ACLs mở rộng thường được sử dụng nhiều hơn ACLs cơ bản vì nĩ cĩ khả năng kiểm sốt lớn hơn nhiều. ACLs mở rộng kiểm tra điạ chỉ nguồn và đích của gĩi dữ liệu, kiểm tra cả giao thức với số cổng. Do đĩ rất thuận tiện trong việc cấu hình các điều kiện kiểm tra cho ACL. Gĩi dữ liệu được chấp nhận hay từ chối là dựa trên vị trí xuất phát và đích đến của gĩi dữ liệu cùng với loại giao thức và số cổng của nĩ. Ví dụ, một ACL mở rộng cĩ thể cho phép lưu lượng của Email từ cổng Fa0/0 ra cổng S0/0 và từ chối các lưu lượng của Web và FTP. Khi gĩi dữ liệu bị hủy bỏ vì bị từ chối, một số giao thức sẽ gửi thơng điệp phản hồi về cho máy gửi để thơng báo là dữ liệu khơng đến đích được.
Trong một ACL cĩ thể cĩ nhiều câu lệnh. Các câu lệnh cĩ cùng số ACL là nằm trong cùng một danh sách ACL. Cĩ thể cấu hình số lượng ACL với số lượng khơng hạn chế và chỉ phụ thuộc vào dung lượng bộ nhớ của router.
Ví dụ:
Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq telnet Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp Access-list 114 permit tcp 172.16.6.0 0.0.0.255 any eq ftp-data
Ở cuối câu lệnh ACL mở rộng cĩ thơng số về số port TCP và UDP để xác định chính xác hơn loại gĩi dữ liệu. Cĩ thể xác định số port bằng các tham số eq (equal: bằng), neq
(not equal: khơng bằng), gt (greater: lớn hơn), lt (less than: nhỏ hơn). ACL mở rộng sử dụng số ACL từ 100 đến 199 (và từ 2000 đến 2699 đối với các IOS gần đây).
Lệnh ip access-group được sử dụng để gán một ACL mở rộng đã cĩ vào một cổng của router. Một ACL cho một giao thức cho một chiều trên một cổng.
Ví dụ:
---
69