本文詳細的向大家介紹了established選項，同時給出established選項具體要進行哪些工作，并且進行哪些配置，下文給出了詳細解答。

ACL中的established選項

先來看一個例子：

現(xiàn)有一臺路由器A，其fa0/0口連接內(nèi)網(wǎng)，內(nèi)網(wǎng)網(wǎng)段172.16.0.0/16,s0/0口連接外網(wǎng)，現(xiàn)在路由器A上做如下配置：

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 established

int s0/0

ip access-group 101 in

這個配置實現(xiàn)一下目標：

外網(wǎng)只能回應內(nèi)網(wǎng)的TCP連接，而不能發(fā)起對內(nèi)網(wǎng)的TCP連接！

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 這個命令很好理解吧？允許外網(wǎng)對內(nèi)網(wǎng)的TCP訪問。

加上established選項后，ACL會對外網(wǎng)訪問內(nèi)網(wǎng)的TCP段中的ACK或RST位進行檢查，如果ACK或RST位被設置（使用）了，則表示數(shù)據(jù)包是正在進行的會話的一部分，那么這個數(shù)據(jù)包會被permit。也就是說，在外網(wǎng)向內(nèi)網(wǎng)發(fā)起TCP連接的時候，由于ACK或RST位未設置，這個時候是不會被permit的。

關于TCP段中的字段：

SYN：同步   只在三次握手（建立連接）時設置

ACK：確認   在整個TCP通信過程中都可能用到

RST：復位   四次握手不是關閉TCP連接的***方法。有時,如果主機需要盡快關閉連接(或連接超時,端口或主機不可達),RST將被設置。

FIN：結(jié)束   只在在四次握手（終止連接）時設置

URG：緊急

PSH：推

和我們今天說的內(nèi)容有關字段如下：

在三次握手時，發(fā)起方A首先發(fā)送SYN，接收方B回復ACK和SYN，發(fā)起方A再回復ACK。注意，發(fā)起方最開是發(fā)送的只有SYN，沒有ACK。

四次握手時，A向B發(fā)送ACK和FIN，B回復ACK，然后B向A發(fā)送ACK和FIN，A回復ACK。

在中間的傳輸過程中ACK始終被使用。

重置連接（reset）時，RST會被設置，ACK可能有也可能沒有（大部分情況有）。

綜上，ACL中的established 選項會影響到三次握手中的***次！因為這次握手只有SYN，沒有ACK或RST。

簡單總結(jié)一下：

ACL中的established選項只適用于TCP而不適用于UDP。

限制外部發(fā)起的TCP連接。

可以適用端口號進一步限制，如：

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 80 established

則不允許外網(wǎng)對內(nèi)網(wǎng)發(fā)起80端口的TCP連接。

【編輯推薦】

1. 常用思科路由器密碼恢復經(jīng)典案例
2. 思科路由器口令恢復辦法全解
3. 思科路由器安全性管理
4. Cisco路由器故障診斷技術
5. 配置CBAC，提升Cisco路由器安全