- 积分
- 58
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 最后登录
- 1970-1-1
- 阅读权限
- 20
- 听众
- 收听
助理工程师
|
M! d3 w9 L/ {3 F) ~7 s i! B, p8 F$ ?. b" X8 _* ]
1. 概述:- D7 F5 P* g) t) W3 i5 G: K
本文讨论以下两个问题:2 O7 N) V. d6 k: ~) R
理解和使用扩展访问控制列表的fragment选项;8 w* G+ H6 I6 ` {* K
理解和使用扩展访问控制列表的established选项。' h% @5 a* O4 T; r/ u6 V J
2.使用fragment选项:
9 f" A2 N& s: v/ D' y" p(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。
* @# T4 L( B! Z( A$ C) ~ I(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:
9 B: I0 w* ~2 q7 J3 k3 M如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。: u2 ~2 _1 E H% P7 \& j8 [
如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。, R# i) G+ Y" n1 d% _* a
(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。8 h) ]. P$ \# l/ k
access-list 101 permit <协议> <源> <目的> fragment. [, d+ Q7 ~6 R% n u
; F4 W, C# G0 W a
3.使用established选项的ACL条目:
0 X* t& b8 z/ M4 S4 o, Daccess-list 101 permit tcp <源> <目的> established! [0 K% X1 k1 Y; f2 a# i: J& y) `
该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。4 a- c/ n5 P$ @
4 F! Y/ N# r( c) ?; ^$ S例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。
, t6 ~+ i9 @& k: }hostname R1
$ y: g1 S. P' V, iinterface ethernet04 {# E( A- {9 E2 Y% |' ] u, g3 ^
ip access-group 102 in( H6 W* W( ]# I7 a6 R h, Y5 V
access-list 102 permit tcp any any gt 1023 established6 P# t. I. ~+ P; K/ R1 V
4.小结1 g# ]7 m; F& \
只有很好地理解tcp/ip协议各层数据单元的格式和内容,才能够正确使用ACL的各种高级选项功能。
$ R' H/ k- x. W' N
/ S8 k; i& h8 ]/ Z: e 6 E9 y7 S# g% e) v- Q, C
) C* A% c/ E( r0 s( B# V, x
(亚威科技 转载请注明出处) 5 `* E. C9 ~1 z1 g I! t$ k
|
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2010-7-1 17:52:23
置顶卡
喧嚣卡
变色卡
千斤顶