扩展访问控制列表的两个高级选项
来源:互联网 发布:淘宝上能搜到闲鱼 编辑:程序博客网 时间:2024/06/05 16:39
1. 概述:
本文讨论以下两个问题:
理解和使用扩展访问控制列表的fragment选项;
理解和使用扩展访问控制列表的established选项。
2.使用fragment选项:
(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。
(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:
如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。
如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。
(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。
access-list 101 permit <协议> <源> <目的> fragment
3.使用established选项的ACL条目:
access-list 101 permit tcp <源> <目的> established
该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。
例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。
hostname R1
interface ethernet0
ip access-group 102 in
access-list 102 permit tcp any any gt 1023 established
本文讨论以下两个问题:
理解和使用扩展访问控制列表的fragment选项;
理解和使用扩展访问控制列表的established选项。
2.使用fragment选项:
(1) 当一个ACL只含有三层信息时,对所有的包都进行控制。
(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:
如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。
如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。
(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。
access-list 101 permit <协议> <源> <目的> fragment
3.使用established选项的ACL条目:
access-list 101 permit tcp <源> <目的> established
该选项只能用于tcp协议,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。
例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。
hostname R1
interface ethernet0
ip access-group 102 in
access-list 102 permit tcp any any gt 1023 established
- 扩展访问控制列表的两个高级选项
- 扩展IP访问控制列表
- RFC861_Telnet扩展选项列表选项
- Telnet扩展选项列表选项
- 访问控制列表的配置
- 访问控制列表的应用----自反访问控制列表
- 高级SQL生成选项的两个总是灰色
- 向外扩展SQL Server系统的两个选项
- 标准的访问控制列表的配置
- DA05 – 控制数据更新的高级选项
- 访问控制列表加注释的方式。
- 维护基于时间的访问控制列表
- ACL访问控制列表的配置命令
- Squid的访问控制列表语法
- 访问控制列表acl的配置
- 配置 Linux 的访问控制列表(ACL)
- Linux的访问控制列表facl
- Cisco访问控制列表的配置
- 080701-ssh+oracle
- 通用Clearcase conf spec例子
- SSH客户端命令的使用
- 探讨SQL Server中Case 的不同用法
- ^^^^^^^^^^^
- 扩展访问控制列表的两个高级选项
- Lucene:基于Java的全文检索引擎简介
- 采样率与频率的关系
- 作維護
- 使用Windos API实现远程屏幕信息获取
- 诺基亚叫板谷歌微软
- DockPanel
- [转]路由器访问控制列表详解
- 商业周刊:诺基亚Symbian免费开放帮了Google