访问控制列表和IP分段

ACL规则流程图

当不分片、初始分段和非初始片段被检查ACL时，以 下流程图说明ACL规则。

注意： 非初始片段包含仅第三层，从未第四层信息， 虽然ACL可能包含第三层和第四层信息。

信息包如何能匹配 ACL

示例 1
以下五个可能的情况介 入遇到ACL 100的不同种类的信息包。参见表和流程图您跟随 什么在每个情况发生。网络服务器的IP地址是171.16.23.1。
access-list 100 permit tcp any host 171.16.23.1 eq 80
access-list 100 deny ip any any
 
信息包是为服务器或不分片注定的初始分段在端口80：
ACL的第一条线路包含第 三层和第四层信息，在信息包匹配第三层和第四层信息，因此信息包允许。

信息包是为服务器或不分片注定的初始分段在端口21：
ACL的第一条线路包含第 三层和第四层信息，但第四层信息在ACL不匹配信息包，因此下条 ACL线路被处理。

ACL的第二条线路丢 弃所有信息包，因此信息包被丢弃。

信息包是非初始片段到服务 器在端口80流：
ACL的第 一条线路包含第三层和第四层信息，第三层信息在ACL匹配信息包， 并且ACL 活动是允许，因此信息包允许。

信息包是非初始片段到服务 器在端口21流：
ACL的 第一条线路包含第三层和第四层信息。第三层信息在ACL匹配 信息包，没有第四层信息在信息包，并且ACL活动是允许，因此信息 包允许。

信息包是初始分段、不分片或者非初始片段到另一台主机在服务器 子网：
ACL的第一条 线路包含在信息包的第三层信息(目的地地址)不匹配第三层信息， 因此下条ACL线路被处理。

ACL的第 二条线路丢弃所有信息包，因此信息包被丢弃。

示例 2
下列同样五个可能的 情况介入遇到ACL 101的不同种类的信息包。再次，参见表 和流程图您跟随什么在每个情况发生。网络服务器的IP地址 是171.16.23.1。

access-list 101 deny ip any host 171.16.23.1 fragments
access-list 101 permit tcp any host 171.16.23.1 eq 80
access-list 101 deny ip any any
 
信息包是为服务器或不分片注定的初始分段在端口 80：
ACL的第一条线路 包含在信息包匹配第三层信息的第三层信息。ACL活动是拒绝 ，但因为 片段 关键字存 在，下ACL条目被处理。

ACL的第二 条线路包含第三层和第四层信息，匹配信息包，因此信息包允许。

信息包 是为服务器或不分片注定的初始分段在端口21：
ACL的第一条线路包含 第三层信息，匹配信息包，但ACL条目也有 片 段 关键字，不匹配信息包因为FO = 0 ，因 此下ACL条目被处理。

ACL的第二条 线路包含第三层和第四层信息。在这种情况下，第四层信息 不配比，因此下ACL条目被处理。

ACL的第三条线路丢弃所有信息包，因此信息包被丢 弃

信息包 是非初始片段到服务器在端口80流：
ACL的第一条线路包含在信息包匹配第三层信息的第 三层信息。切记即使这是端口80流的一部分，没有第四层信 息在非初始片段。因为第三层信息配比，信息包被丢弃。

信息包是 非初始片段到服务器在端口21流：
ACL的第一条线路包含仅第三层信息，并且匹配信息包，因此信息包被丢弃。

信息包是初始分段、不分片或者非初始片段到另一 台主机在服务器子网：
ACL的第一条线路包含仅第三层信息，并且不匹配信 息包，因此下条ACL线路被处理。

ACL的第二条线路包含第三层和第四层信息。第四层信息在信息包不匹配那ACL，因此下条ACL线路被处理。

ACL的第三条线路丢弃此信息包

分段关键字情形

方案1
路由器B接通到网络服务器，并且网络管理员不想要 允许任何片段到达服务器。 此方案显示发生了什么如果网络 管理员实现ACL 100与ACL 101。ACL是应用Inbound在路由器 Serial0 (s0)接口并且应该允许仅不可成片断的信息包到达网络服 务器。参见 ACL规则流程图 和 信息包如何能匹配 ACL部分当您跟随方案。

使用片段关键字的后果

下列是 ACL 100：
access-list 100 permit tcp any host 171.16.23.1 eq 80
access-list 100 deny ip any any

ACL 100的第一条线路允 许仅HTTP对服务器，但在服务器也允许非初始片段对所有TCP端口。 它允许这些信息包因为非初始片段不包含第四层信息，并且 ACL逻辑假设那如果第三层信息匹配，然后第四层信息也配比，如果 是可用的。第二条线路是含蓄的并且否决其他数据流。

请注意，自Cisco IOS软件版本 12.1(2)和12.0(11)，新的ACL代码投下在ACL不匹配其他线路的片段 。如果他们不匹配ACL的其他线路，更早版本通过允许非初始 片段。

下列是ACL 101：
access-list 101 deny ip any host 171.16.23.1 fragments
access-list 101 permit tcp any host 171.16.23.1 eq 80
access-list 101 deny ip any any
 
ACL 101通过不允许非初始片段对服 务器由于第一条线路。一个非初始片段到服务器被拒绝当遇 到第一条ACL线路时因为第三层信息在信息包在ACL线路匹配第三层信息。