网络路由之ACL

ACL access control list 访问控制列表

TCP transmit control protocol传输控制协议

UDP user data protocol 用户数据报协议

Segment 数据段

ISN initial serialnumber 初始序列号

TCP

面向连接的

全双工

复习：

全双工：同时双向传输

半双工：不能同时，但是双向的

单工：一个方向传输

TCP报文段：

封装在IP数据报中

首部长度最少20字节，可以扩展长达60字节

源端口号（16）								目标端口号（16）
序号（32）随机产生的，每个方向的编号是独立的
确认号（32）是告诉发送端这个序号之前的数据都收到了，为序号+1
首部长度（4）	保留（6）	U R G	A C K	P S H	R S T	S Y N	F I N	窗口大小（16）
校验和（16）包括校验首部、数据和其他填充字节（与IP不同）								紧急指针（16）
选项

ACK 确认位为1表示确认序列号字段有效

RST 重置位重新建立TCP连接

SYN 同步序列号建立TCP连接时置为1

FIN 完成发送位需要断开连接时，置为1

TCP 三次握手：

TCP四次断开：

TCP常用的端口号和应用：

21 FTP

23 TELNET

25 SMTP 用于发送邮件

110 POP3 邮局协议

UDP：

无连接，不保证可靠性

常用的UDP端口和应用

69 TFTP 简单文件传输协议

111 RPC 远程过程调用

123 NTP 网络时间协议

161 SNMP 简单网络管理协议

ACL 访问控制列表：

1、标准访问控制列表：只匹配源IP 表号1-99

2、扩展访问列表：表号100-199

3、命名访问控制列表：使用名称代替表号

4、定时ACL：基于时间进行控制

标准ACL的配置：

Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]

将ACL应用于接口

Router(config-if)# ip access-group access-list-number {in |out}

删除ACL

Router(config)#no access-list access-list-number

扩展ACL的配置：

Router(config)# access-list access-list-number { permit | deny } protocol{ source source-wildcard destination destination-wildcard } [ operator operan ]

show access-lists命令查看ACL配置

注意：

因为默认ACL是deny ip any any，所以如果要允许流量，要考虑是否加上permit ip any any

Echo参数:

permit icmp host10.3.9.23 any echo

deny icmp any any

（意思是说：任何PC不可以ping通10.3.9.23，但是10.3.9.23可以ping通任何PC）

命名ACL配置：

Router(config)# ip access-list { standard | extended } access-list-name

配置标准命名ACL

Router(config-std-nacl)# [ Sequence-Number] { permit | deny } source [ source-wildcard ]

配置扩展命名ACL

Router(config-ext-nacl)# [ Sequence-Number] { permit | deny } protocol { sourcesource-wildcard destination destination-wildcard } [ operatoroperan ]

删除组中单一ACL语句

no Sequence-Number

no ACL语句

注意：Sequence-Number决定ACL语句在ACL列表中的位置

关于ACL应用的接口和方向问题：

应用的接口可以是物理接口，也可以是vlan虚拟接口等。

标准ACL和扩展ACL的应用区别：

标准的应用在离目的端最近的路由器上，应用在入口

扩展的应用在离源端最近的路由器上，应用在入口

特例：

telnet流量的ACL控制

例子：

////////只允许网管区telnet到各设备上

access-list 1 permit 192.168.2.0 0.0.0.255

username benet password 123

line vty 0 4

login local

access-class 1 in

exit

注意：这几条命令都需要在每个管理设备上进行配置