第六章 传输层协议、ACL

1.TCP和UDP协议

TCP/IP协议族的传输层协议

TCP（Transmission Control Protocol ）

• 传输控制协议

UDP（User Datagram Protocol ）

• 用户数据报协议

1.1 TCP协议

TCP是面向连接的、可靠的进程到进程通信的协议

TCP提供全双工服务，即数据可在同一时间双向传输

TCP报文段

• TCP将若干个字节构成一个分组，叫报文段（Segment）
• TCP报文段封装在IP数据报中

1.2 TCP报文段

序号：发送端为每个字节进行编号，便于接收端正确重组

确认号：用于确认发送端的信息

窗口大小：用于说明本地可接收数据段的数目，窗口大小是可变的

• SYN：同步序号位，TCP需要建立连接时将该值设为1
• ACK：确认序号位，当该位为1时，用于确认发送方的数据
• FIN：当TCP断开连接时将该位置为1

1.3 TCP连接

TCP建立连接的过程称为三次握手

TCP断开连接的四次挥手

常用的TCP端口号及其功能

端口	协议	说　　明
21	FTP	FTP****服务器所开放的控制端口
23	TELNET	用于远程登录，可以远程控制管理目标计算机
25	SMTP	SMTP****服务器开放的端口，用于发送邮件
80	HTTP	超文本传输协议
110	POP3	用于邮件的接收

2.UDP协议

UDP协议

• 无连接、不可靠的传输协议
• 花费的开销小

UDP报文的首部格式

源端口号（16）	目标端口号（16）
UDP****长度（16）	UDP****校验和（16）

• UDP长度：用来指出UDP的总长度，为首部加上数据
• 校验和：用来完成对UDP数据的差错检验，它是UDP协议提供的唯一的可靠机制

常用的UDP端口号及其功能

端口	协议	说　　明
69	TFTP	简单文件传输协议
111	RPC	远程过程调用
123	NTP	网络时间协议

3.ACL概述

在网络环境下，通常运用黑名单和白名单来设置外部的访问权限：

• 白名单：默认拒绝所有，放一个 可以通信一个自己内部的业务
• 黑名单：默认开放所有，加入一个，不能通信一个

1、应用在接口的ACL-----过滤数据包（五元组：源IP地址、目的IP地址、协议号、源端口、目的端口 ）

2、应用在路由协议-------匹配相应的路由条目

3、NAT、IPSEC VPN、QOS-----匹配感兴趣的数据流 （匹配上我设置的数据流的）

ACL原理及种类

当数据包从接口经过时，由于接口启用了acl， 此时路由器会对报文进行检查，然后做出相应的处理。

ACL组成

规则编号

通配符（反掩码）

4.ACL应用

基本ACL:尽量用在靠近目的点

高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

ACL匹配规则

• 一个接口的同一个方向，只能调用一个acl
• 一个acl里面可以有多个rule 规则，按照规则ID从小 到大排序，从上往下依次执行
• 数据包一旦被某rule匹配，就不再继续向下匹配
  ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)

ACL匹配规则

• 一个接口的同一个方向，只能调用一个acl
• 一个acl里面可以有多个rule 规则，按照规则ID从小 到大排序，从上往下依次执行
• 数据包一旦被某rule匹配，就不再继续向下匹配
• 用来做数据包访问控制时，默认放行所有(华为 设备)