- 积分
- 58
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
7 a$ S+ X5 r9 @$ `" a" J- S
1 U! t( P3 L5 b; l' H6 P1. 概述:
7 R1 k( U# M& B3 d' d本文讨论以下两个问题:
3 P8 S3 F$ h6 S9 h4 ~理解和使用扩展访问控制列表的fragment选项;7 s& M0 S: d% h B6 d! y6 R
理解和使用扩展访问控制列表的established选项。
?; j1 U+ X$ H+ w) i0 a! n* C; b5 u- u2.使用fragment选项:9 p8 I1 \; M5 `$ D
(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。( ^3 O3 `, o( t6 g
(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:
: B; Z6 I: e" p% w如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。
* g( c2 n. V8 g# _( ?* ?- M如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。
t/ a' J# D) g8 w# u3 L(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。0 t+ G' {) P7 C% e9 w5 k
access-list 101 permit <协议> <源> <目的> fragment
2 ~' o5 X! }# O% i1 V4 J2 e& f5 B1 k
: H; R; z3 t/ B; B) V3.使用established选项的ACL条目:- \, Y' Q5 g6 B# g2 X; h( N
access-list 101 permit tcp <源> <目的> established
% g" G5 k1 i5 P. f7 @/ Z该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。
# r' E0 M# |1 w3 r) d7 F9 W0 u; g k! D+ S& P9 {2 r6 e# }
例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。: H) O" v, j7 b' N' q7 |
hostname R1, d* `% c8 l( j; w
interface ethernet04 J6 b* }5 C6 F6 | [) B
ip access-group 102 in! Z4 k6 S# a" f! Z
access-list 102 permit tcp any any gt 1023 established- ~6 \- r; R) C# U [$ B: s
4.小结! s4 l" u0 A' N+ l) J6 f
只有很好地理解tcp/ip协议各层数据单元的格式和内容,才能够正确使用ACL的各种高级选项功能。 z6 S, d+ t/ `5 U$ S. Y) i. g9 a
% I9 j0 ?; f! M# c
9 {; \, J- I/ F1 B: i5 g
% L7 r( k/ q, s (亚威科技 转载请注明出处) ; _2 c, R9 S6 `9 r' B! K
|
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-7-1 17:52:23
置顶卡
喧嚣卡
变色卡
千斤顶