本文詳細的向大家介紹了established選項，同時給出established選項具體要進行哪些工作，并且進行哪些配置，下文給出了詳細解答。

ACL中的established選項

先來看一個例子：

現有一臺路由器A，其fa0/0口連接內網，內網網段172.16.0.0/16,s0/0口連接外網，現在路由器A上做如下配置：

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 established

int s0/0

ip access-group 101 in

這個配置實現一下目標：

外網只能回應內網的TCP連接，而不能發起對內網的TCP連接！

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 這個命令很好理解吧？允許外網對內網的TCP訪問。

加上established選項后，ACL會對外網訪問內網的TCP段中的ACK或RST位進行檢查，如果ACK或RST位被設置（使用）了，則表示數據包是正在進行的會話的一部分，那么這個數據包會被permit。也就是說，在外網向內網發起TCP連接的時候，由于ACK或RST位未設置，這個時候是不會被permit的。

關于TCP段中的字段：

SYN：同步   只在三次握手（建立連接）時設置

ACK：確認   在整個TCP通信過程中都可能用到

RST：復位   四次握手不是關閉TCP連接的***方法。有時,如果主機需要盡快關閉連接(或連接超時,端口或主機不可達),RST將被設置。

FIN：結束   只在在四次握手（終止連接）時設置

URG：緊急

PSH：推

和我們今天說的內容有關字段如下：

在三次握手時，發起方A首先發送SYN，接收方B回復ACK和SYN，發起方A再回復ACK。注意，發起方最開是發送的只有SYN，沒有ACK。

四次握手時，A向B發送ACK和FIN，B回復ACK，然后B向A發送ACK和FIN，A回復ACK。

在中間的傳輸過程中ACK始終被使用。

重置連接（reset）時，RST會被設置，ACK可能有也可能沒有（大部分情況有）。

綜上，ACL中的established 選項會影響到三次握手中的***次！因為這次握手只有SYN，沒有ACK或RST。

簡單總結一下：

ACL中的established選項只適用于TCP而不適用于UDP。

限制外部發起的TCP連接。

可以適用端口號進一步限制，如：

access-list 101 permit tcp any 172.16.0.0 0.0.255.255 eq 80 established

則不允許外網對內網發起80端口的TCP連接。

【編輯推薦】

1. 常用思科路由器密碼恢復經典案例
2. 思科路由器口令恢復辦法全解
3. 思科路由器安全性管理
4. Cisco路由器故障診斷技術
5. 配置CBAC，提升Cisco路由器安全