访问控制列表和IP分段

分段关键字情形

方案1
路由器B接通到网络服务器，并且网络管理员不想要 允许任何片段到达服务器。 此方案显示发生了什么如果网络 管理员实现ACL 100与ACL 101。ACL是应用Inbound在路由器 Serial0 (s0)接口并且应该允许仅不可成片断的信息包到达网络服 务器。参见 ACL规则流程图 和 信息包如何能匹配 ACL部分当您跟随方案。

使用片段关键字的后果

　

下列是 ACL 100：

access-list 100 permit tcp any host 171.16.23.1 eq 80 access-list 100 deny ip any any

ACL 100的第一条线路允 许仅HTTP对服务器，但在服务器也允许非初始片段对所有TCP端口。 它允许这些信息包因为非初始片段不包含第四层信息，并且 ACL逻辑假设那如果第三层信息匹配，然后第四层信息也配比，如果 是可用的。第二条线路是含蓄的并且否决其他数据流。
请注意，自Cisco IOS软件版本 12.1(2)和12.0(11)，新的ACL代码投下在ACL不匹配其他线路的片段 。如果他们不匹配ACL的其他线路，更早版本通过允许非初始 片段。
下列是ACL 101：

access-list 101 deny ip any host 171.16.23.1 fragments access-list 101 permit tcp any host 171.16.23.1 eq 80 access-list 101 deny ip any any

ACL 101通过不允许非初始片段对服 务器由于第一条线路。一个非初始片段到服务器被拒绝当遇 到第一条ACL线路时因为第三层信息在信息包在ACL线路匹配第三层 信息。