win7系统下载
当前位置: 首页 > 网络技术教程 > 详细页面

扩展访问控制下文的2个高级选项

发布时间:2022-05-30 文章来源:深度系统下载 浏览:

网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

概述:
本文讨论以下两个问题:
理解和使用扩展访问控制列表的fragment选项;
理解和使用扩展访问控制列表的established选项。

使用fragment选项
当一个ACL只含有三层信息时,对所有的包都进行控制。

(2) 当不使用frament选项时,一个包含三层和四层信息的acl条目将对所有的数据包进行以下控制:
如果是未分片数据包(nonfragmented)或者分片数据包的第一个分片(initial fragment) ,都将按正常的ACL进行控制(permit或deny)。

如果是分片数据包的后续分片(noninitial fragment),则只检查ACL条目中的三层部分(协议号、源、目的)。如果三层匹配而且是permit控制,则允许该分片通过;如果三层匹配而且是deny控制,则继续检查下一个ACL条目(和正常的ACL控制顺序不同)。

(3)当使用fragment选项时,一个acl条目将只对分片数据包的后续分片(noninitial fragment)进行控制;并且ACL条目中不能包含四层信息。
access-list 101 permit <协议> <源> <目的> fragment

使用established选项的ACL条目
access-list 101 permit tcp <源> <目的> established

该选项只能用于,目的是为了实现基于tcp数据段(四层pdu)中的代码控制位的标志进行会话的控制,例如只允许那些已经建立的tcp会话的流量(特征是ACK或者RST标志已置位)。

例如:假定上图中要实现以下控制,只允许Net A的所有主机初始化到Net B的TCP通信,但是不允许NetB的主机初始化到Net A的TCP通信,可以使用以下ACL实现。

hostname R1
interface ethernet0
ip access-group 102 in
access-list 102 permit tcp any any gt 1023 established

小结
只有很好地理解tcp/各层数据单元的格式和内容,才能够正确使用ACL的各种高级选项功能。

【相关文章】

  • 专题:访问控制列表(ACL)介绍
  • 网络层访问权限控制技术-ACL详解
  • 交换机的ACL配置练习


网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

本文章关键词: ACL 路由器 访问 控制 列表