- 积分
- 58
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2010-6-25
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
; w: F# \: Z/ E
* J# |% [* l5 C9 T. t: m1 Y1. 概述:1 S. g5 s6 N, D3 q% z
本文讨论以下两个问题:
6 c1 c5 Y9 `6 N: [ y2 I4 w理解和使用扩展访问控制列表的fragment选项;( T! h5 C! |7 L" V6 g4 T
理解和使用扩展访问控制列表的established选项。
- V) A5 x) E. W2.使用fragment选项:
' I1 G; u, R/ Z p2 Y4 d(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。
0 v: |0 d* l* U2 E2 d# ~2 ](2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:
7 ~% f# W, w/ j0 v ? d如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。0 [# l/ G7 p1 U& [
如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。
3 z; n6 H3 e: }" M! Z(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。1 R5 g$ q% s$ C2 [$ d& Z
access-list 101 permit <协议> <源> <目的> fragment
; W+ P# k, R2 j0 r( e% q- t
/ H! W' s/ ]) Q: n+ S* K2 r3.使用established选项的ACL条目:1 X! c" e8 P# ]3 M3 p
access-list 101 permit tcp <源> <目的> established
9 _3 ^% k3 y1 |" J$ e1 F' q4 J该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。
) f% A/ h8 G" @2 U* n. O2 F, O# `( t r2 j7 t/ i4 S1 _
例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。. Z# a1 ]+ e H/ M$ I; R, Y& Y8 _
hostname R17 y$ o/ C2 R6 i8 }
interface ethernet05 u/ M5 t7 D7 ^
ip access-group 102 in3 |' K$ n8 A0 o. x. J8 N
access-list 102 permit tcp any any gt 1023 established
: G2 u& b/ T/ h) x& G4.小结8 u% u2 L+ }$ Q4 V" m
只有很好地理解tcp/ip协议各层数据单元的格式和内容,才能够正确使用ACL的各种高级选项功能。
6 I8 V, |2 B, U+ L( a) H2 G' d) u* ?" u/ ^; q% ^6 G
8 J" }5 g+ U' Y2 p
! D, g' f' j/ Y6 h5 T (亚威科技 转载请注明出处)
/ b8 V! c& W+ p |
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-7-1 17:52:23
置顶卡
喧嚣卡
变色卡
千斤顶