扩展（高级）ACL：

在没有ACL情况下C 1是可以访问Server的FTP和WWW服务的。

R1：

[R1]acl 3000（定义一个扩展ACL3000）

[R1-acl-adv-3000]rule 5 permit ip source 192.168.1.20 0.0.0.0 destination192.168.2.10 0.0.0.0（允许以C2为源C3为目标的流量）

[R1-acl-adv-3000]rule 10 deny ip source 192.168.1.0 0.0.0.255 destination192.168.2.0 0.0.0.255（注意此条语句位置！拒绝所有vlan 10为源vlan 20为目标的流量）

[R1-acl-adv-3000]rule 15 deny tcp source 192.168.1.10 0.0.0.0 destination13.0.0.2 0.0.0.0 destination-port eq 80（拒绝C1为源访问目标为Server的TCP 80端口）

[R1-acl-adv-3000]rule 20 permit ip source any（最后允许所有未匹配的流量）

[R1]int g0/0/1.10

[R1-GigabitEthernet0/0/1.10]traffic-filter inboundacl 3000（在vlan 10网关的in方向调用ACL)

实验验证：

在C2上与C3通信但是无法与vlan 20其他主机通信，且可以访问Server可正常上网。

在C1上不能访问Server的WWW服务，但仍然可以访问FTP服务，所以扩展ACL生效。