TCP/IP協定族的傳輸層協定主要有兩個
TCP(Transmission Control Protocol )傳輸控制協定
UDP(User Datagram Protocol )使用者資料報協定
TCP是面向連接配接的、可靠的程序到程序通信的協定
TCP提供全雙工服務,即資料可在同一時間雙向傳輸
TCP封包段
TCP将若幹個位元組構成一個分組,叫封包段(Segment)
TCP封包段首部長度20~60位元組
TCP封包段封裝在IP資料報中
字段含義
序号:為每個位元組進行編号,便于接收端正确重組
确認号:用于确認發送端的資訊,
1.告訴發送方确認号之前的資料都收到了
2.下一個要發送的資料序号
視窗大小:用于說明本地可接收資料段的數目,視窗大小是可變的,代表接收方的資料量(以位元組為機關)進行流量控制
SYN:同步序号位,TCP需要建立連接配接時将該值設為1
ACK:确認序号位,當該位為1時,用于确認發送方資料
FIN:當TCP斷開連接配接時将該位置為1
端口号:區分應用程式
源端口号:代表發送方的程序
目标端口号:代表接收方的程序
UDP協定
無連接配接、不可靠的傳輸協定
花費的開銷小
常用的UDP端口号及其功能
端口 協定 說 明
69 TFTP 簡單檔案傳輸協定
111 RPC 遠端過程調用
123 NTP 網絡時間協定
網絡層實作點到點的通信
傳輸層實作端到端的通信(程序到程序)
反掩碼:用255.255.255.255減去正掩碼
反掩碼中的0=代表嚴格審查
反掩碼中的1=代表忽略
關于标準的ACL
(1).建立并應用在離目标近的地方
(2).清單最後隐含着一條拒絕所有的規則
(3).新添加的規則添加到清單最後
(4)删除一條規則=删除所有
總結:标準ACL不能随意的編輯
三次握手期間重要的标志位
(1) syn=1,ACK=0
(2) syn=1,ACK=1
(3) syn=0,ACK=1
TCP半關閉:因為TCP是一個全雙工的服務
UDP封包的首部格式
源端口号(16)目标端口号(16)
UDP長度(16)UDP校驗和(16)
UDP長度:用來指出UDP的總長度,為首部加上資料
校驗和:用來完成對UDP資料的差錯檢驗,它是UDP協定提供的唯一的可靠機制
通路控制清單(ACL)
讀取第三層、第四層標頭資訊
根據預先定義好的規則對包進行過濾
通路控制清單在接口應用的方向
出:已經過路由器的處理,正離開路由器接口的資料包
入:已到達路由器接口的資料包,将被路由器處理
标準通路控制清單
基于源IP位址過濾資料包
标準通路控制清單的通路控制清單号是1~99
擴充通路控制清單
基于源IP位址、目的IP位址、指定協定、端口和标志來過濾資料包
擴充通路控制清單的通路控制清單号是100~199
命名通路控制清單
命名通路控制清單允許在标準和擴充通路控制清單中使用名稱代替表号
常用的TCP端口号及其功能
建立ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]
删除ACL
Router(config)# no access-list access-list-number
隐含的拒絕語句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
将ACL應用于接口
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的應用
Router(config-if)# no ip access-group access-list-number {in |out}
檢視是否有ACL
Router# sh ip int f0/0