- 积分
- 58
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
3 M5 v: R6 [- l# `8 Y# e! A$ f
$ q1 ~9 J4 R% p/ `' S. V: V1. 概述:+ [3 U* Q+ e1 ^% m
本文讨论以下两个问题:
- A* C3 T' G( X. t$ t理解和使用扩展访问控制列表的fragment选项;
r; }) N) B4 T2 Y理解和使用扩展访问控制列表的established选项。0 R5 _8 l0 X Y' [4 e# q/ q$ e
2.使用fragment选项:$ Y. A+ @3 c( ]- G' e- Z
(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。
4 X: |: V/ D7 t- k& n& G(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:
; ]- ^8 o/ L: y9 E+ Z+ D如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。# G3 v+ C; T( X, S8 t
如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。( r! @, k. O+ o6 \3 s3 ~5 n
(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。
# S5 J# ~- D8 U* x5 t5 Q: \3 Taccess-list 101 permit <协议> <源> <目的> fragment, J: u4 E( n" q' B5 r
* c5 K5 @% m1 }# T: [7 e3.使用established选项的ACL条目:
( T" F( q6 ]: zaccess-list 101 permit tcp <源> <目的> established$ D& ?$ e8 v; y$ U
该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。
1 ]. i% L4 r- Q* ^+ O1 ^" a4 p+ d. _1 t4 S; i- f
例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。
* _3 R3 Y& _8 Hhostname R1
7 z! m/ u* n$ _$ Ginterface ethernet0* y" @$ G" b, }1 y9 ]
ip access-group 102 in( q5 N7 _* b% k3 Q5 g" L8 m
access-list 102 permit tcp any any gt 1023 established
3 o ]! P' L; g# \) d4.小结
1 b1 T9 M. D0 m; h/ R" } J只有很好地理解tcp/ip协议各层数据单元的格式和内容,才能够正确使用ACL的各种高级选项功能。
+ R8 W6 r. D! x# v. L9 n1 i" Z3 S0 L
- f t7 b* N, m1 ?, a7 C) [
4 s9 C- R$ j6 u& T' y) b' O (亚威科技 转载请注明出处) # c6 e w, l! @# k4 G% m4 u" w
|
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-7-1 17:52:23
置顶卡
喧嚣卡
变色卡
千斤顶