本文詳細(xì)的向大家介紹了established選項(xiàng)，同時(shí)給出established選項(xiàng)具體要進(jìn)行哪些工作，并且進(jìn)行哪些配置，下文給出了詳細(xì)解答。

ACL中的established選項(xiàng)

先來(lái)看一個(gè)例子：

現(xiàn)有一臺(tái)路由器A，其fa0/0口連接內(nèi)網(wǎng)，內(nèi)網(wǎng)網(wǎng)段172.16.0.0/16,s0/0口連接外網(wǎng)，現(xiàn)在路由器A上做如下配置：

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 established

int s0/0

ip access-group 101 in

這個(gè)配置實(shí)現(xiàn)一下目標(biāo)：

外網(wǎng)只能回應(yīng)內(nèi)網(wǎng)的TCP連接，而不能發(fā)起對(duì)內(nèi)網(wǎng)的TCP連接！

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 這個(gè)命令很好理解吧？允許外網(wǎng)對(duì)內(nèi)網(wǎng)的TCP訪問(wèn)。

加上established選項(xiàng)后，ACL會(huì)對(duì)外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的TCP段中的ACK或RST位進(jìn)行檢查，如果ACK或RST位被設(shè)置（使用）了，則表示數(shù)據(jù)包是正在進(jìn)行的會(huì)話的一部分，那么這個(gè)數(shù)據(jù)包會(huì)被permit。也就是說(shuō)，在外網(wǎng)向內(nèi)網(wǎng)發(fā)起TCP連接的時(shí)候，由于ACK或RST位未設(shè)置，這個(gè)時(shí)候是不會(huì)被permit的。

關(guān)于TCP段中的字段：

SYN：同步   只在三次握手（建立連接）時(shí)設(shè)置

ACK：確認(rèn)   在整個(gè)TCP通信過(guò)程中都可能用到

RST：復(fù)位   四次握手不是關(guān)閉TCP連接的***方法。有時(shí),如果主機(jī)需要盡快關(guān)閉連接(或連接超時(shí),端口或主機(jī)不可達(dá)),RST將被設(shè)置。

FIN：結(jié)束   只在在四次握手（終止連接）時(shí)設(shè)置

URG：緊急

PSH：推

和我們今天說(shuō)的內(nèi)容有關(guān)字段如下：

在三次握手時(shí)，發(fā)起方A首先發(fā)送SYN，接收方B回復(fù)ACK和SYN，發(fā)起方A再回復(fù)ACK。注意，發(fā)起方最開(kāi)是發(fā)送的只有SYN，沒(méi)有ACK。

四次握手時(shí)，A向B發(fā)送ACK和FIN，B回復(fù)ACK，然后B向A發(fā)送ACK和FIN，A回復(fù)ACK。

在中間的傳輸過(guò)程中ACK始終被使用。

重置連接（reset）時(shí)，RST會(huì)被設(shè)置，ACK可能有也可能沒(méi)有（大部分情況有）。

綜上，ACL中的established 選項(xiàng)會(huì)影響到三次握手中的***次！因?yàn)檫@次握手只有SYN，沒(méi)有ACK或RST。

簡(jiǎn)單總結(jié)一下：

ACL中的established選項(xiàng)只適用于TCP而不適用于UDP。

限制外部發(fā)起的TCP連接。

可以適用端口號(hào)進(jìn)一步限制，如：

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 80 established

則不允許外網(wǎng)對(duì)內(nèi)網(wǎng)發(fā)起80端口的TCP連接。

【編輯推薦】

1. 常用思科路由器密碼恢復(fù)經(jīng)典案例
2. 思科路由器口令恢復(fù)辦法全解
3. 思科路由器安全性管理
4. Cisco路由器故障診斷技術(shù)
5. 配置CBAC，提升Cisco路由器安全