- 积分
- 58
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
, a2 S, A1 A$ j( W
. M( t# r) c# O5 i+ T
1. 概述:; m, g' ^3 o, u7 ^# C3 y
本文讨论以下两个问题:, B7 @. r9 O& u# N2 m/ A7 U) F* F# i
理解和使用扩展访问控制列表的fragment选项;
, K/ u- z3 `1 y; |, d理解和使用扩展访问控制列表的established选项。
" b+ V& b# E. r+ y6 o$ h3 Q/ H2.使用fragment选项:1 F* P, W5 V9 |8 f, H8 X8 {
(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。
3 [2 ?& {! j. o6 M$ P(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:2 C7 i' K( g0 I; j0 f; u
如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。, E- V# v0 {" |
如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。* \: N4 ]) H# H, B) q; ^
(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。
' Z5 o9 f1 B% Paccess-list 101 permit <协议> <源> <目的> fragment9 c6 @, R$ s+ m! k% N3 @ `
, o/ k- r l$ |; ^# z" n3.使用established选项的ACL条目:7 n4 G+ x" X+ w6 W, n2 d8 } W% t0 }
access-list 101 permit tcp <源> <目的> established
7 Z4 Q& C ?9 Q% O+ M( O9 ]: b; X该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。
+ c, t- ~- d2 T1 K" ]( x6 F! A8 G& c6 L/ Z2 t3 N5 J9 y8 j' y
例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。+ v, |8 Y" \ E5 e# U( o: N2 s
hostname R1
5 Q" A% m" X. Q* `( i) [0 `interface ethernet07 b; C' z- A" M: z) q- ]" r! e8 k
ip access-group 102 in
3 E2 w0 b7 Q. b; ^% W& ?access-list 102 permit tcp any any gt 1023 established- Z( B+ K5 s a( s5 P T/ O
4.小结
4 V( h1 c/ z3 ]) e' }. m只有很好地理解tcp/ip协议各层数据单元的格式和内容,才能够正确使用ACL的各种高级选项功能。
: f# _/ a% E" o: j* t& b x8 D# ^' B% Q/ w- [! q9 T ?% L
% N4 W6 B- \! H' F; o& `
& _ c# r2 `; C [/ H$ [' Y
(亚威科技 转载请注明出处)
7 M8 ~5 P, r9 i, u. r: Y |
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-7-1 17:52:23
置顶卡
喧嚣卡
变色卡
千斤顶