本文介绍了IP分片的概念,包括首片、非首片分片的区别。首片分片包含完整的四层信息,如TCP/UDP端口号,而后续分片则不包含。网络设备如华为、H3C的ACL策略通常针对首片分片进行匹配,以应对安全问题。默认情况下,ACL会匹配所有不分片报文和所有分片报文的全部片段,但这可能降低效率。
分片,首片,非分片,非首片分片,首片分片都尼玛是什么
转载
分片:就是一个火腿肠可以用刀分成好几块
首片:火腿肠可以用刀砍了,如果要组合起来,就是火腿肠的头部的那一片
非分片:你买的火腿你直接一口吃了,不分割的
非首片分片:就是你把火腿肠看成了7,8块,不是第一个的,其他的切开的肉块
IP分片除了首片报文外,还有后续分片报文,又叫做非首片分片报文。仅首片分片报文携带四层信息(如TCP/UDP端口号等),后续分片报文均不携带。意思就是这玩意,没有第一个切割的数据包的信息多,只有第一个才有tcp,udp的端口号的信息
首片分片:就是上面我说的“首片”的意思,就是一个火腿肠切成了N快,然后最开头的第一个
我被这些绕来绕去的快烦死了。。。
看下华为的文档:
看下h3c说的:
acl 默认是对于数据包(报文)的第一个分片(首个分片)进行匹配
也就是数据包是可以分割称很多的,叫做分片报文,对于分割成多分的数据包的报文的第一个报文(首个分片)进行匹配,但是这样有会有很严重的安全问题,所以acl缺省的规则是
对于所有的非分片报文(就是数据包不分割的)还有分片报文的全部分片(就是分割成不同的连续的报文,所有的切割的报文)都进行匹配,当然这样效率就非常低了 (看清楚,这是h3c的文档)
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
