- TCP/IP協議族的傳輸層協議主要有兩個
TCP(Transmission Control Protocol )傳輸控制協議
UDP(User Datagram Protocol )用戶數據報協議
- TCP是面向連接的、可靠的進程到進程通信的協議
- TCP提供全雙工服務,即數據可在同一時間雙向傳輸
- TCP報文段
TCP將若干個字節構成一個分組,叫報文段(Segment)
TCP報文段首部長度20~60字節
TCP報文段封裝在IP數據報中
-
字段含義
序號:為每個字節進行編號,便于接收端正確重組
確認號:用于確認發送端的信息,
1.告訴發送方確認號之前的數據都收到了
2.下一個要發送的數據序號
窗口大小:用于說明本地可接收數據段的數目,窗口大小是可變的,代表接收方的數據量(以字節為單位)進行流量控制
SYN:同步序號位,TCP需要建立連接時將該值設為1
ACK:確認序號位,當該位為1時,用于確認發送方數據
FIN:當TCP斷開連接時將該位置為1
端口號:區分應用程序
源端口號:代表發送方的進程
目標端口號:代表接收方的進程
- UDP協議
無連接、不可靠的傳輸協議
花費的開銷小
- 常用的UDP端口號及其功能
端口 協議 說 明
69 TFTP 簡單文件傳輸協議
111 RPC 遠程過程調用
123 NTP 網絡時間協議
- 網絡層實現點到點的通信
- 傳輸層實現端到端的通信(進程到進程)
- 反掩碼:用255.255.255.255減去正掩碼
反掩碼中的0=代表嚴格審查
反掩碼中的1=代表忽略
- 關于標準的ACL
(1).創建并應用在離目標近的地方
(2).列表最后隱含著一條拒絕所有的規則
(3).新添加的規則添加到列表最后
(4)刪除一條規則=刪除所有
- 總結:標準ACL不能隨意的編輯
- 三次握手期間重要的標志位
(1) syn=1,ACK=0
(2) syn=1,ACK=1
(3) syn=0,ACK=1
- TCP半關閉:因為TCP是一個全雙工的服務
-
UDP報文的首部格式
源端口號(16)目標端口號(16)
UDP長度(16)UDP校驗和(16)
UDP長度:用來指出UDP的總長度,為首部加上數據
校驗和:用來完成對UDP數據的差錯檢驗,它是UDP協議提供的唯一的可靠機制
- 訪問控制列表(ACL)
讀取第三層、第四層包頭信息
根據預先定義好的規則對包進行過濾
- 訪問控制列表在接口應用的方向
出:已經過路由器的處理,正離開路由器接口的數據包
入:已到達路由器接口的數據包,將被路由器處理
- 標準訪問控制列表
基于源IP地址過濾數據包
標準訪問控制列表的訪問控制列表號是1~99
- 擴展訪問控制列表
基于源IP地址、目的IP地址、指定協議、端口和標志來過濾數據包
擴展訪問控制列表的訪問控制列表號是100~199
- 命名訪問控制列表
命名訪問控制列表允許在標準和擴展訪問控制列表中使用名稱代替表號
- 常用的TCP端口號及其功能
?
- 創建ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]
- 刪除ACL
Router(config)# no access-list access-list-number
- 隱含的拒絕語句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
- 將ACL應用于接口
Router(config-if)# ip access-group access-list-number {in |out}
-
在接口上取消ACL的應用
Router(config-if)# no ip access-group access-list-number {in |out}
查看是否有ACL
Router# sh ip int f0/0
