拡張ACLとは

ACLとはAccess Control Listの略で、ネットワーク機器を通過するパケットを検査し、そのパケットを「許可」するか「拒否」するかを判断するためのルールリストです。拡張ACLとは送信元IPアドレス、宛先IPアドレス、プロトコル、送信元/宛先ポート番号の条件でフィルタリングします。番号付き（100~199，2000~2699）と名前付きがあります。

拡張ACLの設定手順

1. ACLの作成

まずルールリストを作成します。

Router(config)# ip access-list extended <リスト名>
Router(config-ext-nacl)# <行番号> permit | deny <プロトコル> <送信元IPアドレス> <ワイルドカードマスク> [演算子 <送信元ポート番号>] <宛先IPアドレス> <ワイルドカードマスク> [演算子 <宛先ポート番号>]

Router(config-ext-nacl)# <行番号> permit | deny <プロトコル> host <送信元IPアドレス> [演算子 <送信元ポート番号>] host <宛先IPアドレス> [演算子 <宛先ポート番号>]

[]内は未入力でも大丈夫です。
演算子にはeq（等しい）、neq（等しくない）、gt（より大きい）、lt（より小さい）、range（範囲指定）などがあります。
ポート番号はtelnetなどでも大丈夫です。

2. インターフェースへの適用

作成したACLをルーターのインターフェースに適用することで、パケットフィルタリングをすることができます。

 Router(config-if)# ip access-group <リスト名または番号> in | out

in:インターフェースが受信するパケット（インバウンド）に適用
out:インターフェースが送信するパケット（アウトバウンド）に適用
１個のインターフェースにinとoutそれぞれ１つずつしか設定できない。

備考

標準ACLよりも詳細な条件で制御でき、不要なトラフィックを早期に遮断できるため、できるだけ送信元に近いルーターに適用するのが一般的です。