cisco ACL hisoblagich yo'q

Bizda bir nechta kirish ro'yxati mavjud va barcha kodlarni ko'rsatish uchun taymer mavjud, biroq hech qanday ko'rsatma ko'rsatilmaydi.

C3850#show access-lists 101
Extended IP access list 101
    5 permit ip 101.142.61.0 0.0.0.255 any (7 matches)
    10 deny ip any any fragments
    20 permit ip any any (202593 matches)

Nima uchun 10 ipni biron bir qismini rad etmaslik haqida biron bir fikr yo'q da unga hech qanday taymer yo'q? Katta paketni jo'natishga harakat qildim va u tushmadi, lekin hech qanday taymer yo'q edi.

1
Javob berish sizga yordam berdimi? Agar shunday bo'lsa, savolni javobni qabul qilishingiz kerak, shunda savol doimiy javob bermaydi. Shu bilan bir qatorda, siz o'zingizning javobingizni berishingiz va uni qabul qilishingiz mumkin.
qo'shib qo'ydi muallif Ron Maupin, manba

1 javoblar

(Bu yaqinda DSLRda paydo bo'ldi.)

Transportning ishlashi bilan shug'ullanish kerak. Birinchi qism to'liq katman-4 ma'lumotni olib kelganligi uchun, bu parcha sifatida ko'rib chiqilmaydi. Xullas, u qoidaga 20 muvofiq keladi va uning uchun NAT/CEF/oqim usuli yaratiladi va barcha keyingi qismlar ACL orqali o'tmaydi - bu allaqachon tekshirilgan oqimning bir qismi. Agar siz "marshrut-kesh" ni o'chirmasangiz, barcha paketlar jarayonini o'zgartirasiz (juda, juda yomon fikr) - har bir paket ACL orqali o'tkazilmaydi.

3
qo'shib qo'ydi
@RonMaupin, fragmentlar har doim IP ning bir qismi bo'lganligidan, parchalanish normal emas ... siz butunlay qulflaydigan bir mashinaga yuborish uchun ishlatiladigan ba'zi yomon IP-fragmentatsiya hack hujumlari mavjud (ref ning " Linux uchun nestea hujumi yoki Windows uchun "ko'z yoshi" hujumi). Cisco, ASIC-ga parchalanishdan voz kechishni istamaydi, chunki u erda juda ko'p yomon burchak ishi bor va ular xavfsizlik kamomadida kuyib ketishidan qo'rqishadi ... IOSni yamoqlash osonroqdir
qo'shib qo'ydi muallif Mun, manba
Zamonaviy internetda siz parcha-parcha ko'rmasligingiz kerak. Internetdagi barcha interfeyslarda ip virtual-remontning pastki qismlari dan foydalanaman. Men bilan gaplasholmasangiz, siz bilan gaplashishga hojat yo'q. :-)
qo'shib qo'ydi muallif Neall, manba
Sizning ACL (nima uchun hisoblagichni bekor qilish) qilayotgan narsangizni aniq ayta olasiz. Bu trafikni mutlaqo qismlarga ajratish kerak bo'lgan har qanday odam bilan aloqa qilishni to'xtatadi, lekin bu odamlar buziladi va biz gaplasha olmaymiz. (qisqasi, menga hech qachon muammo tug'dirmaydi)
qo'shib qo'ydi muallif Neall, manba
@Satiq, fragmentlar IP-ning DNKga boshidan boshlab o'rnatiladi. Sizning tarmoq sizning tashqi qismingizdan chiqqanligi sababli, hech narsa noto'g'ri yoki hech kim sizga yomon narsalarni tashlamaydi degani emas. RFC 791, INTERNET PROTOKOL , IPning ta'rifi, 1.4-qism. Internet protokoli ikkita asosiy funktsiyani amalga oshiradi: manzil va parchalanish . "
qo'shib qo'ydi muallif Ron Maupin, manba
baribir men har qanday hisoblagichni ko'rishim mumkin, chunki men bizning bog'chamizga shit bersa, qarashni ko'rishni istayman, shuning uchun u qanchalik yomon ekanligini ko'rasiz?
qo'shib qo'ydi muallif jim, manba
ip virtual-remontning pastki qismlari buyrug'i yordamida biron bir ta'sir bormi? Qanday qilib ishlaydi va parcha paketini tushiradi?
qo'shib qo'ydi muallif jim, manba
Men, TCP yoki UDPdan qat'i nazar, barcha tirbandlik trafigini to'xtatishi uchun ishlatish xavfsizligini nazarda tutgan edik .. .. biz ko'pincha NTP, DNS, Chargen IP-frag-ning hujumini olamiz.
qo'shib qo'ydi muallif jim, manba