思科扩展ACL配置之禁止ping但可以使用web服务

“普通员工可以与干部通信，也可以访问外网服务器中的Web服务，使用Web功能与老板交流，但不能直接与老板电脑PCO通信。普通员工不能使用外网服务器的FTP服务。”请问这样的扩展ACL该怎么配置？思科的

**答案参考ChatGPT ，如果有参考价值麻烦采纳一下，谢谢啦！！_**

针对这样的需求，可以使用扩展ACL进行配置。扩展ACL可以控制各个用户或用户组对网络资源的访问权限。下面是一个可能的ACL配置方案：

对普通员工设置访问外网服务器的Web服务的权限，可以使用以下命令：
Copy
ip access-list extended employee-web
 permit tcp any any eq www
 deny ip any any
该命令创建了一个名为“employee-web”的扩展ACL，允许普通员工访问外网服务器的Web服务（即HTTP协议的端口80），并禁止其访问其他网站或使用其他协议进行通信。

对普通员工设置访问外网服务器的FTP服务的限制，可以使用以下命令：
Copy
ip access-list extended employee-ftp
 deny tcp any any eq ftp
 permit ip any any
该命令创建了一个名为“employee-ftp”的扩展ACL，禁止普通员工访问外网服务器的FTP服务（即FTP协议的端口21），但允许其访问其他网站或使用其他协议进行通信。

对普通员工设置无法直接与老板电脑PCO通信的限制，可以使用以下命令：
Copy
ip access-list extended employee-pco
 deny ip any host <老板电脑的IP地址>
 permit ip any any
该命令创建了一个名为“employee-pco”的扩展ACL，禁止普通员工直接与老板电脑PCO通信（即通过IP地址访问老板电脑），但允许其访问其他IP地址或进行其他协议的通信。

对所有员工设置不能访问公司内部的敏感信息的限制，可以使用以下命令：
Copy
ip access-list extended employee-sensitive
 deny ip any <敏感信息所在的IP地址段>
 permit ip any any
该命令创建了一个名为“employee-sensitive”的扩展ACL，禁止所有员工访问公司内部的敏感信息所在的IP地址段，但允许其访问其他IP地址或进行其他协议的通信。

最后，将上述ACL应用到网络设备的相关接口上，以实现对用户访问权限的控制。例如，将“employee-web”ACL应用到外网服务器的接口上，将“employee-pco”ACL应用到老板电脑所在的接口上，将“employee-sensitive”ACL应用到存储敏感信息的服务器的接口上。