工大瑞普 南京工业大学思科网络技术学院 资深高级讲师 王琳琳
http://ciscobbs.njut.edu.cn
之前加了序列号(10 和 20)。
下面,我们使用一个例子来说明如何向列表中间插入新的语句。
Router(config)# ip access-list extended
101
Router(config-ext-nacl)# 15 permit ip host 1.1.1.1 host 4.4.4.4
使用 show access-list 命令检验:
Router# show access-list 101
Extended IP access list 101
10 permit ip host 1.1.1.1 host 2.2.2.2
15 permit ip host 1.1.1.1 host 4.4.4.4
20 permit ip host 1.1.1.1 host 3.3.3.3
从上面的输出中,我们可以看到:由于新插入语句的序列号为 15,因此它插在了序列号为
10 和 20 的两句话中间。
我们还可以使用 ip access-list resequence
access-list-number start-number
increase-number
命令对访问控制列表的序列号进行重新编号,例如:
Router(config)# ip access-list resequence
101 10 10
Router(config)# do sh access-list 101
Extended IP access list 101
10 permit ip host 1.1.1.1 host 2.2.2.2
20 permit ip host 1.1.1.1 host 4.4.4.4
30 permit ip host 1.1.1.1 host 3.3.3.3
命令“ip access-list resequence 101 10 10”中,第一个“10”代表序列号从 10 开始计
算,第二个“10”代表序列号每次增加以 10 为一跳。
2
2
.
.
3
3
.
.
2
2
扩
扩
展
展
A
A
C
C
L
L
中
中
的
的
e
e
s
s
t
t
a
a
b
b
l
l
i
i
s
s
h
h
e
e
d
d
参
参
数
数
在扩展 ACL 语句的最后,我们可以加上 established 参数,它可以用来作 TCP 的单向访问控
制。
在开始正式讲述之前,我们先来回顾一下 TCP 建立连接的过程:
上图显示了 TCP 建立连接的过程,从图中,我们可以看出:A 发给 B 的第一个数据段中没有
ACK 位,通过这点我们就可以判断 A 在向 B 发起连接。扩展 Acl 中的 established 可以根据数据
段中是否设置了 ACK 位来对分组进行过滤(没有 ACK 位的不符合 established 条件)。
下面我们使用两个实例来说明如何使用 established 参数实现单向访问控制,试验 1 拓扑图
如下所示: