����:
�������������������⣺
�����ʹ����չ���ʿ����б���fragmentѡ�
�����ʹ����չ���ʿ����б���establishedѡ�
ʹ��fragmentѡ����
(1) ��һ��ACLֻ����������Ϣʱ�������еİ������п��ơ�
(2) ����ʹ��framentѡ��ʱ,һ������������IJ���Ϣ��acl��Ŀ�������е����ݰ��������¿���:
�����δ��Ƭ���ݰ�(nonfragmented)���߷�Ƭ���ݰ��ĵ�һ����Ƭ(initial fragment) ,������������ACL���п��ƣ�permit��deny����
����Ƿ�Ƭ���ݰ��ĺ�����Ƭ��noninitial fragment������ֻ���ACL��Ŀ�е����㲿�֣�Э��š�Դ��Ŀ�ģ����������ƥ�������permit���ƣ��������÷�Ƭͨ�����������ƥ�������deny���ƣ�����������һ��ACL��Ŀ����������ACL����˳��ͬ����
��3����ʹ��fragmentѡ��ʱ,һ��acl��Ŀ��ֻ�Է�Ƭ���ݰ��ĺ�����Ƭ��noninitial fragment�����п��ƣ�����ACL��Ŀ�в��ܰ����IJ���Ϣ��
access-list 101 permit <Э��> <Դ> <Ŀ��> fragment
ʹ��establishedѡ���ACL��Ŀ��
access-list 101 permit tcp <Դ> <Ŀ��> established
��ѡ��ֻ������tcpЭ�飬Ŀ����Ϊ��ʵ�ֻ���tcp���ݶΣ��IJ�pdu���еĴ������λ�ı�־���лỰ�Ŀ��ƣ�����ֻ������Щ�Ѿ�������tcp�Ự��������������ACK����RST��־����λ����
���磺�ٶ���ͼ��Ҫʵ�����¿��ƣ�ֻ����Net A������������ʼ����Net B��TCPͨ�ţ����Dz�����NetB��������ʼ����Net A��TCPͨ�ţ�����ʹ������ACLʵ�֡�
hostname R1
interface ethernet0
ip access-group 102 in
access-list 102 permit tcp any any gt 1023 established
��
ֻ�кܺõ�����tcp/ipЭ��������ݵ�Ԫ�ĸ�ʽ�����ݣ����ܹ���ȷʹ��ACL�ĸ��ָ�ѡ��ܡ�
��QQ���磺1360095750��