ensp配置扩展ACL并在接口下应用（30分） ①创建扩展ACL，配置扩展ACL禁止学生机访问WWW服务器。 ②在合适的接口下应用访问控制列表。 ③配置只有教师机才能管理路由器进行SSH登录。

扩展访问控制列表（ACL）是网络设备中用于控制数据包转发的一种规则集。它可以根据源IP地址、目的IP地址、端口号等条件来控制流量。在配置扩展ACL并应用于接口时，可以实现对网络流量的精细控制。

以下是根据您的要求进行配置的一般步骤：

1. 创建扩展ACL禁止学生机访问WWW服务器：
首先，需要定义一个扩展ACL规则，通常使用数字标识。例如，可以创建一个编号为3000的ACL，然后在其中添加规则以阻止特定的学生机访问WWW服务器。

<Router> system-view
[Router] acl number 3000
[Router-acl-adv-3000] rule deny source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

在这个例子中，假定学生机位于192.168.1.0/24网络，而WWW服务器位于192.168.2.0/24网络。

2. 在合适的接口下应用访问控制列表：
创建ACL后，需要在特定的接口上应用此ACL。这通常是在将数据包进出网络的物理接口上进行配置。

[Router] interface GigabitEthernet 0/0/1
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3000

在这个例子中，假设我们希望阻止学生机访问WWW服务器的数据包从GigabitEthernet 0/0/1接口进入网络。

3. 配置只有教师机才能管理路由器进行SSH登录：
为了限制只有教师机可以SSH登录到路由器，你需要在路由器上配置SSH服务允许列表，这通常与ACL结合使用。

[Router] acl number 3001
[Router-acl-adv-3001] rule permit source 192.168.10.0 0.0.0.255
[Router] local-user admin class network
[Router] local-user admin service-type ssh
[Router] local-user admin password simple admin_password
[Router] local-user admin privilege level 15
[Router] interface Vlan-interface1
[Router-Vlan-interface1] user-vrf user-vpn
[Router-Vlan-interface1] ip binding vlan-interface 10
[Router] acl number 3001
[Router] user-interface vty 0 4
[Router-ui-vty0-4] authentication-mode scheme
[Router-ui-vty0-4] protocol inbound acl 3001

在这个例子中，假定教师机位于192.168.10.0/24网络。我们创建了一个新的ACL规则允许这个网络，并将其应用于控制SSH登录的VTY接口。

请注意，具体的命令和步骤可能因设备型号和系统版本而异，上述命令仅为示例。