通路控制清單

  通路控制清單

TCP和UDP協定

     TCP/IP協定族的傳輸有兩個重要的協定：TCP（Transmission Control Protocol傳輸控制協定）和UDP（User Datagram Protocol使用者資料報協定）。

 一 TCP協定

v   TCP是面向連接配接的、可靠的程序到程序通信的協定

v   TCP提供全雙工服務，即資料可在同一時間雙向傳輸

  1：TCP封包段

TCP将若幹個位元組構成一個分組，叫封包段（Segment）

TCP封包段封裝在IP資料報中           

         TCP封包段的首部格式：

   首部長度為20—60位元組，以下是個字段的含義：

源端口号：它是16為字段，為發送方程序對應的端口号。

目标端口号：它是16位字段，對應的是接收端的程序，接收端收到資料段後根據這個端口号來确定把資料送給哪個應用程式的程序。

序号：當TCP從程序接收資料位元組時，就把它們存儲在發送緩存中，并對每一個位元組進行編号。編号特點如下：

1：編号不一定從0開始，一般會産生一個随機數作為第一個位元組的編号，稱為初始序号（ISN），範圍是0—2的32次方減1.

2：TCP每一個方向的編号是互相獨立的。

當資料到達目的地後，接收端會按照這個序号把資料重新排列，保證資料段的正确性。

确認号：确認号是對發送端的确認資訊，用它來告訴發送端這個序号之前的資料段都已經收到，比如确認号是X，就是表示前X-1個資料段都已經收到。

首部長度：用它可以确定首部資料結構的位元組長度。一般情況下TCP首部是20位元組，但首部長度最大可以擴充為60位元組。

保留：這部分保留位作為今後發展功能用，現在還沒有使用到。

控制位：這六位有很重要的作用，TCP的連接配接，傳輸和斷開都是受這六個控制位的指揮。各位含義如下：

URG：緊急指針有效位。

ACK：隻有當ACK=1時，确認序列号字段才有效。當ACK=0時，确認序列号字段無效。

PSH：标志位為1時要求接收方盡快将資料段送達應用層。

RST：當RST值位1時通知重建立立連接配接。

SYN：同步序列号。TCP需要建立連接配接時将這個值設為1.

FIN：發送端完成任務位，當TCP完成資料傳輸需要斷開連接配接時，提出斷開連接配接的一方将這個值設為1.

視窗值：它說明本地可接收資料段的數目，這個值得大小時可變的。

校驗和：它是用來做差錯控制的，與IP的校驗和不同，TCP校驗和的計算包括TCP首部，資料和其他填充位元組。在發送TCP資料段時，由發送端計算校驗和，當到達目的地時又進行一次校驗和計算。若這兩次的校驗和一緻，則說明資料基本是正确的。否則将認為該資料已被破壞，接收端将丢棄該資料。

緊急指針：和URG配合使用，當URG=1時有效。

選項：在TCP首部可以有多達40位元組的可選資訊。

  2：TCP連接配接

TCP是面向連接配接的協定，它在源點和終點之間建立一條虛連接配接。

在通信之前，發送端與接收端要先建立連接配接。等資料發送結束後，雙方再斷開連接配接。TCP連接配接的每一方都是由一個IP位址和一個端口号組成的。

v  TCP建立連接配接的過程稱為三次握手

v  通過Sniffer抓包來分析三次握手的過程

   第一次握手

      第二次握手

    第三次握手

v  TCP斷開連接配接的四次握手

在TCP斷開連接配接過程中，有一個半關閉的概念。TCP一方（通常是用戶端）可以終止發送資料，但仍然可以接收資料，這被稱做半關閉。具體描述如下：

  用戶端發送FIN封包段，半關閉了這個連接配接，伺服器發送ACK封包段接受半關閉。

  伺服器繼續發送資料，而用戶端隻發送ACK确認，不再發送任何資料。

  當伺服器已經把所有資料發送完畢時，就發送FIN封包段，用戶端發送ACK封包段，這樣就關閉了TCP連接配接。

 TCP在網絡中的應用範圍很廣，主要用在對于資料傳輸可靠性要求高的環境。

                 TCP端口及應用

FTP 21  端口  FTP伺服器所開發的控制端口

TELNET  23端口   遠端登入

SMTP  25端口  發送郵件

HTTP  80端口   超文本傳輸協定

二  UDP 協定

UDP 是一個無連接配接，不保證可靠性的傳輸層協定。

UDP 的首部結構簡單，話費的開銷小。

v     UDP封包的首部格式

  源端口号：用來辨別資料發送端的程序，和TCP協定的端口号類似。

  目的端口号：用來辨別資料接收端的程序，和TCP協定的端口号類似。

  UDP長度：用來指出UDP的總長度，位首部加上資料。

  校驗和：用來完成對UDP資料差錯檢驗，它的計算與TCP的校驗和類似。這是UDP協定提供的唯一的可靠機制。

           UDP 使用的常見端口

   TFTP  69  端口   簡單檔案傳輸協定

   RPC   111 端口   遠端過程調用

   NTP  123  端口  網絡時間協定

通路控制清單的概述

   通路控制清單（ACL）是應用在路由器的指令清單（即規則）。這寫指令清單用來告訴路由器，哪些資料報可以接收，哪些資料包需要拒絕。

  ACL通過在路由器接口處控制資料包是轉發還是丢棄來過濾通信流量。路由器根據ACL中指定的條件開檢測通過路由器的資料包，進而決定是轉發還是丢棄改資料包。

可以通過在路由器或多層交換機上配置ACL來控制對特定網絡資源的通路。

通路控制清單的類型

1：标準通路控制清單

基于源IP位址過濾資料包

标準通路控制清單的通路控制清單号是1～99

     2：擴充通路控制清單

基于源IP位址、目的IP位址、指定協定、端口和标志來過濾資料包

擴充通路控制清單的通路控制清單号是100～199

    3：命名通路控制清單

命名通路控制清單允許在标準和擴充通路控制清單中使用名稱代替表号

通路控制清單的工作原理

  通路控制清單在接口應用的方向

  出：已經過路由器的處理，正離開路由器接口的資料包

入：已到達路由器接口的資料包，将被路由器處理

 清單應用到接口的方向與資料方向有關

通路控制清單的處理過程

标準通路控制清單的配置

标準ACL的配置執行個體

  檢視并驗證配置：

  驗證配置：

    PC2不能ping主機PC1，但PC3可以ping同主機PC1。