扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
ACL规则流程图
当不分片、初始分段和非初始片段被检查ACL时,以 下流程图说明ACL规则。
注意: 非初始片段包含仅第三层,从未第四层信息, 虽然ACL可能包含第三层和第四层信息。
信息包如何能匹配 ACL
示例 1
以下五个可能的情况介 入遇到ACL 100的不同种类的信息包。参见表和流程图您跟随 什么在每个情况发生。网络服务器的IP地址是171.16.23.1。
access-list 100 permit tcp any host 171.16.23.1 eq 80
access-list 100 deny ip any any
信息包是为服务器或不分片注定的初始分段在端口80:
ACL的第一条线路包含第 三层和第四层信息,在信息包匹配第三层和第四层信息,因此信息包允许。
信息包是为服务器或不分片注定的初始分段在端口21:
ACL的第一条线路包含第 三层和第四层信息,但第四层信息在ACL不匹配信息包,因此下条 ACL线路被处理。
ACL的第二条线路丢 弃所有信息包,因此信息包被丢弃。
信息包是非初始片段到服务 器在端口80流:
ACL的第 一条线路包含第三层和第四层信息,第三层信息在ACL匹配信息包, 并且ACL 活动是允许,因此信息包允许。
信息包是非初始片段到服务 器在端口21流:
ACL的 第一条线路包含第三层和第四层信息。第三层信息在ACL匹配 信息包,没有第四层信息在信息包,并且ACL活动是允许,因此信息 包允许。
信息包是初始分段、不分片或者非初始片段到另一台主机在服务器 子网:
ACL的第一条 线路包含在信息包的第三层信息(目的地地址)不匹配第三层信息, 因此下条ACL线路被处理。
ACL的第 二条线路丢弃所有信息包,因此信息包被丢弃。
示例 2
下列同样五个可能的 情况介入遇到ACL 101的不同种类的信息包。再次,参见表 和流程图您跟随什么在每个情况发生。网络服务器的IP地址 是171.16.23.1。
access-list 101 deny ip any host 171.16.23.1 fragments
access-list 101 permit tcp any host 171.16.23.1 eq 80
access-list 101 deny ip any any
信息包是为服务器或不分片注定的初始分段在端口 80:
ACL的第一条线路 包含在信息包匹配第三层信息的第三层信息。ACL活动是拒绝 ,但因为 片段 关键字存 在,下ACL条目被处理。
ACL的第二 条线路包含第三层和第四层信息,匹配信息包,因此信息包允许。
信息包 是为服务器或不分片注定的初始分段在端口21:
ACL的第一条线路包含 第三层信息,匹配信息包,但ACL条目也有 片 段 关键字,不匹配信息包因为FO = 0 ,因 此下ACL条目被处理。
ACL的第二条 线路包含第三层和第四层信息。在这种情况下,第四层信息 不配比,因此下ACL条目被处理。
ACL的第三条线路丢弃所有信息包,因此信息包被丢 弃
信息包 是非初始片段到服务器在端口80流:
ACL的第一条线路包含在信息包匹配第三层信息的第 三层信息。切记即使这是端口80流的一部分,没有第四层信 息在非初始片段。因为第三层信息配比,信息包被丢弃。
信息包是 非初始片段到服务器在端口21流:
ACL的第一条线路包含仅第三层信息,并且匹配信息包,因此信息包被丢弃。
信息包是初始分段、不分片或者非初始片段到另一 台主机在服务器子网:
ACL的第一条线路包含仅第三层信息,并且不匹配信 息包,因此下条ACL线路被处理。
ACL的第二条线路包含第三层和第四层信息。第四层信息在信息包不匹配那ACL,因此下条ACL线路被处理。
ACL的第三条线路丢弃此信息包
分段关键字情形
方案1
路由器B接通到网络服务器,并且网络管理员不想要 允许任何片段到达服务器。 此方案显示发生了什么如果网络 管理员实现ACL 100与ACL 101。ACL是应用Inbound在路由器 Serial0 (s0)接口并且应该允许仅不可成片断的信息包到达网络服 务器。参见 ACL规则流程图 和 信息包如何能匹配 ACL部分当您跟随方案。
使用片段关键字的后果
下列是 ACL 100:
access-list 100 permit tcp any host 171.16.23.1 eq 80
access-list 100 deny ip any any
ACL 100的第一条线路允 许仅HTTP对服务器,但在服务器也允许非初始片段对所有TCP端口。 它允许这些信息包因为非初始片段不包含第四层信息,并且 ACL逻辑假设那如果第三层信息匹配,然后第四层信息也配比,如果 是可用的。第二条线路是含蓄的并且否决其他数据流。
请注意,自Cisco IOS软件版本 12.1(2)和12.0(11),新的ACL代码投下在ACL不匹配其他线路的片段 。如果他们不匹配ACL的其他线路,更早版本通过允许非初始 片段。
下列是ACL 101:
access-list 101 deny ip any host 171.16.23.1 fragments
access-list 101 permit tcp any host 171.16.23.1 eq 80
access-list 101 deny ip any any
ACL 101通过不允许非初始片段对服 务器由于第一条线路。一个非初始片段到服务器被拒绝当遇 到第一条ACL线路时因为第三层信息在信息包在ACL线路匹配第三层信息。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。