API Guide
Identifier GUID-E1C5D066-40E8-4F5B-A950-0190ECBCEDFD
Version 5
Status Translation approved
L3 ACL 规则
使用 ACL 命令进行 L3 数据包过滤。在 TCP 目标端口等于 24 的情况下,将允许来自主机 10.1.1.1 的 TCP 数据包,并且所有其他都被
拒绝。
在 TCP 目标端口等于 24 的情况下,将允许来自主机 10.1.1.1 的第一个片段或非零散的 TCP 数据包,并且允许来自主机 10.1.1.1 的所有
TCP 的非第一个片段。所有其他不是第一个片段的 IP 数据包都将被拒绝。
仅允许具有 L3 信息的 ACL
如果数据包的 L3 信息与 ACL 中的信息匹配,则会检查数据包的片段偏移量 (FO):
• 如果数据包的 FO > 0,则允许数据包
• 如果数据包的 FO = 0,则下一个 ACL 条目进程
仅拒绝具有 L3 信息的 ACL
如果数据包的 L3 信息与 ACL 中的 L3 信息不匹配,则会检查数据包的 FO:
• 如果数据包的 FO > 0,则将拒绝数据包
• 如果数据包的 FO = 0,则下一个 ACL 行进程
允许来自主机的所有数据包
OS10(config)# ip access-list ABC
OS10(conf-ipv4-acl)# permit tcp host 10.1.1.1 any eq 24
OS10(conf-ipv4-acl)# deny ip any any fragment
仅允许来自主机的第一个片段和非零碎数据包
OS10(config)# ip access-list ABC
OS10(conf-ipv4-acl)# permit tcp host 10.1.1.1 any eq 24
OS10(conf-ipv4-acl)# permit tcp host 10.1.1.1 any fragment
OS10(conf-ipv4-acl)# deny ip any any fragment
要记录拒绝的所有数据包并覆盖隐式拒绝规则和 TCP/UDP 片段的隐式允许规则,请使用类似的配置。当 ACL 筛选数据包时,它会
查看 FO 以确定它是否是一个片段:
• FO = 0 表示它是第一个片段,否则该数据包是非片段
• FO > 0 表示它是原始数据包的片段
Identifier
GUID-3541847F-35E5-4546-A5D5-EA29E407FD43
Version 6
Status Translation approved
为筛选器分配序列号
IP ACL 可筛选源和目标 IP 地址、IP 主机地址、TCP 地址、TCP 主机地址、UDP 地址以及 UDP 主机地址。流量按筛选顺序通过筛选
器传递。通过首先输入 IP ACCESS-LIST 模式,然后为筛选器分配序列号来配置 IP ACL。
用户提供的序列号
• 通过在 CONFIGURATION 模式下创建 IP ACL 来输入 IP ACCESS LIST 模式。
ip access-list access-list-name
1060
访问控制列表