科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道扩展访问控制列表的两个高级选项

扩展访问控制列表的两个高级选项

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文讨论以下两个问题:理解和使用扩展访问控制列表的fragment选项;理解和使用扩展访问控制列表的established选项。

作者:巧巧读书 来源:巧巧读书 2008年5月29日

关键字: 访问控制列表 ACL

  • 评论
  • 分享微博
  • 分享邮件

1. 概述:

本文讨论以下两个问题:

理解和使用扩展访问控制列表的fragment选项;

理解和使用扩展访问控制列表的established选项。

2.使用fragment选项:

(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。

(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:

如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。

如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。

(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。
access-list 101 permit <协议> <源> <目的> fragment

3.使用established选项的ACL条目:

access-list 101 permit tcp <源> <目的> established

该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。

例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。

hostname R1

interface ethernet0

ip access-group 102 in

access-list 102 permit tcp any any gt 1023 established

4.小结

只有很好地理解tcp/ip协议各层数据单元的格式和内容,才能够正确使用ACL的各种高级选项功能。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章