思科认证:访问控制列中established用法
; c8 F1 I- M' K3 \- f- }访问控制列中的established用法说明* f# |/ ~) I7 h8 k! h* v, x- I
ACL中的established选项
" H" J$ F+ ~. c先来看一个例子:" V8 L! T: M6 z) K7 p" r! X# n
现有一台路由器A,其fa0/0口连接内网,内网网段172.16.0.0/16,s0/0口连接外网,现在路由器A上做如下配置:
" b1 G) W t9 R0 m; t9 w' W* e# aaccess-list 101 permit tcp any 172.16.0.0 0.0.255.255 established
- E! m/ k$ ]7 f1 D: _int s0/0
/ j$ C& S" U% n# J2 {ip access-group 101 in# v/ F5 K; U v# i
这个配置实现一下目标:
1 ?, U; X3 T" y/ J2 E# G3 W6 g外网只能回应内网的TCP连接,而不能发起对内网的TCP连接!
- @' {4 E# B( X b! b; ~access-list 101 permit tcp any 172.16.0.0 0.0.255.255 这个命令很好理解吧?允许外网对内网的TCP访问。4 E; n: Q/ l1 T7 \
加上established选项后,ACL会对外网访问内网的TCP段中的ACK或RST位进行检查,如果ACK或RST位被设置(使用)了,则表示数据包是正在进行的会话的一部分,那么这个数据包会被permit。也就是说,在外网向内网发起TCP连接的时候,由于ACK或RST位未设置,这个时候是不会被permit的。
6 q: W% D2 Z1 h( c; N关于TCP段中的字段:$ f2 g% P! I, B% |8 [
SYN:同步 只在三次握手(建立连接)时设置- m8 Z' i; \. w$ Y; g u' o y
ACK:确认 在整个TCP通信过程中都可能用到
. j! U1 E# z2 ^7 CRST:复位 四次握手不是关闭TCP连接的唯一方法。有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST将被设置。! n7 d, l8 U. v7 ?
FIN:结束 只在在四次握手(终止连接)时设置
. o- E, P9 B7 y; u8 D6 D& l" f3 Z; b- BURG:紧急
8 S$ s5 b% S1 C! z' N JPSH:推
7 K4 D `% G8 ^) w和我们今天说的内容有关字段如下:4 }4 Y0 z2 g! B' }
在三次握手时,发起方A首先发送SYN,接收方B回复ACK和SYN,发起方A再回复ACK。注意,发起方最开是发送的只有SYN,没有ACK。& w2 X( u) M% X9 d/ y8 s
四次握手时,A向B发送ACK和FIN,B回复ACK,然后B向A发送ACK和FIN,A回复ACK。
( R/ ^* S+ | e- w* J- }在中间的传输过程中ACK始终被使用。3 O! B: }! _/ E" A. x+ q$ E
重置连接(reset)时,RST会被设置,ACK可能有也可能没有(大部分情况有)。/ y) L( M e @ `; [3 r3 I$ U
综上,ACL中的established 选项会影响到三次握手中的第一次!因为这次握手只有SYN,没有ACK或RST。. k7 R& y p5 f* p$ s4 D! W& P
简单总结一下:
. B+ ~% R3 |% {7 C( j" t/ s- |ACL中的established选项只适用于TCP而不适用于UDP。- N S" }8 `4 y0 ~
限制外部发起的TCP连接。
& b, L# A8 A: | Q1 U可以适用端口号进一步限制,如:
1 K( G* h4 X9 R+ Daccess-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 80 established
6 j" ~/ u3 z) P, b5 O1 W则不允许外网对内网发起80端口的TCP连接。 |
发表于 2012-8-3 20:03:30
