环境:
![](https://img-blog.csdnimg.cn/img_convert/1363e4787b361379105ad6971bba1ffe.png)
1. 全局互通
2.阻止1.1访问2.1ftp服务
3.阻止3.1访问2.2www 网站访问
进入r2全局模式
ip access-list extended asd
ip access-list extended + 名字(这个名字随便取,相当于一个变量,往里写入变量值,等会把这个变量使用在接口上)
![](https://img-blog.csdnimg.cn/img_convert/66ff67d35cf113c5ecda1a8be306859c.png)
deny tcp host 192.168.1.1 host 192.168.2.1 eq ftp
拒绝1.1访问2.1ftp服务
deny tcp host 192.168.3.1 host 192.168.2.2 eq www
拒绝3.1访问2.2www服务
permit ip any any
允许其余所有通过
![](https://img-blog.csdnimg.cn/img_convert/3aae59383f285c54ff28f57b97a2e705.png)
配置完以后进入特权模式
show access-list
![](https://img-blog.csdnimg.cn/img_convert/0c8c91d6a53b9a6d784fa4100f52760b.png)
asd控制列表里写了3个
![](https://img-blog.csdnimg.cn/img_convert/97591fe41e0179f2c1e9e6dd76fdf3c8.png)
进入r2f0/0接口
ip access-group asd out
![](https://img-blog.csdnimg.cn/img_convert/5a32cd66e84433b9281e6157ae2210c7.png)
r1和r2和r3
这几个接口都可以放,只不过放在r2 f0/0 最方便
别的不是不能放,只是比较慢,还要注意辨别接口 in && out
附加::
如果你这个里边有条目写错了
![](https://img-blog.csdnimg.cn/img_convert/0c854c98a8a26fe7ee514bb7b17d34b8.png)
如果我们拒绝3.1 访问2.2www的想去掉
全局模式
ip access-list extended asd
![](https://img-blog.csdnimg.cn/img_convert/e9f46fabd9d85207b3bb4c6f34540914.png)
no 20
再去查看
![](https://img-blog.csdnimg.cn/img_convert/1362f81c3204db5652e6767c2aba3d20.png)
这样就去掉了
如果又想加回来了,可以进入asd
ip access-list extended asd
20 deny tcp host 192.168.3.1 host 192.168.2.2 eq www
![](https://img-blog.csdnimg.cn/img_convert/f55543b87355ab8c128584cd2409de6a.png)
这样就加回来了
![](https://img-blog.csdnimg.cn/img_convert/19ebd803249619ae49af70a36f3843f1.png)
只要是10-30 之间就行
如果我们在写条目时候 前边加上数字可以控制先后
这个多用于删错错误条目,添加新条目