TCP
TCP是面向連接的,可靠的進程到進程通信的協議,TCP提供全雙工服務,即數據可在同一時間雙向傳輸,每一個TCP都有發送緩存和接收緩存,用來臨時存儲數據。
TCP報文段
TCP將若干個字節構成一個分組,稱爲報文段,TCP報文段封裝在IP數據包中
首部長度爲20~60字節,以下是各字段的含義
源端口號:它是16位字段,爲發送方進程對應的端口號
目標端口號:它是16位字段,對應的是接收端的進程,接收端收到數據段後,根據這個端口號來確定把數據送給哪個應用程序的進程
序號:當TCP從進程接收數據字節時,就把他們存儲在發送緩存中,並對每一個字節進行編號,編號特點如下
編號不一定從0開始,一般會產生一個隨機數作爲第一個字節的編號,稱爲初始序號(ISN),範圍是0~2(32)-1
TCP每個方向的編號是互相獨立的
當字節都被編上號後,TCP就給每個報文段指派一個序號,序號就是該報文段中第一個字節的編號
當數據到達目的地後,接收端會按照這個序號把數據重新排列,保證數據的正確性
確認號:對發送端的確認信息,用它來告訴發送端這個序號之前的數據段都已經收到,如確認號是X,就是表示前X-1個數據段都已經收到
首部長度:用它可以確定首部數據結構的字節長度,一般情況下TCP首部是20字節,但首部長度最大可以擴展爲60字節
保留:這部分保留位供今後擴展功能用,現在還沒有使用到
控制位:這六位有很重要的作用,TCP的連接,傳輸和斷開都受這六個控制位的指揮,各位含義如下:
URG:緊急指針有效位
ACK:只有當ACK=1時,確認序列號字段纔有效,當ACK=0時,確認號字段無效
PSH:標誌位爲1時,要求接收方儘快將數據段送達應用層
RST:當RST值爲1時,通知重新建立TCP連接
SYN:同步序號位,TCP需要建立連接時將這個值設爲1
FIN:發送端完成發送任務位,當TCP完成數據傳輸需要斷開連接時,提出斷開連接的一方將這個值設爲1
窗口大小:說明本地可接收數據段的數目,這個值的大小是可變的,當網絡通暢時將這個窗口值變大以加快傳輸速度,當網絡不穩定時減小這個值可保證網絡數據的可靠傳輸,TCP中的流量控制機制就是依靠變化窗口的大小實現的
校驗和:用來做差錯控制,與IP的校驗和不同,TCP校驗和的計算包括TCP首部,數據和其他填充字節
緊急指針:和URG配合使用,當URG=1時有效
選項:在TCP首部可以有多達40字節的可選信息
TCP連接
TCP連接是面向連接的協議,它在源點和終點之間建立一條虛連接。TCP建立廉價的過程需要三次握手,而四次握手時終止連接
常用的TCP端口
UDP
UDP是一個無連接,不保證可靠性的傳輸層協議,也就是說發送端不關心發送的數據是否到達目標主機,數據是否出錯等,收到數據的主機也不會告訴發送方是否收到了數據,它的可靠性由上層協議來保障。
UDP首部的格式
各字段的含義如下
源端口號:用來標識數據發送端的進程,和TCP協議的端口號類似
目的端口號:用來標識數據接收端的進程,和TCP協議的端口號類似
UDP長度:用來指出UDP的總長度,爲首部加上數據
校驗和:用來完成對UDP數據的差錯檢驗,它的計算與TCP校驗和類似,這是UDP提供的唯一可靠機制
UDP常見的端口號
ACL的類型
標準ACL:根據數據包的源IP地址來允許或拒絕數據包,標準ACL的訪問控制列表號是1~99
擴展ACL:根據數據包的源IP地址,目的IP地址,指定協議,端口和標誌來允許或拒絕數據包,擴展ACL的訪問控制列表號是100~199
命名ACL:允許在標準ACL和擴展ACL中使用名稱代替表號
ACL的檢查條件
ACL依靠規則對數據包執行檢查,而這些規則通過檢查數據包中的指定字段來允許或拒絕數據包,ACL通過五個元素來執行檢查,這些元素位於IP頭部和傳輸層頭部中,他們分別是源IP地址,目標IP地址,協議,源端口及目標端口
ACL規則的匹配順序
如果匹配第一條規則,則不再往下檢查,路由器將決定該數據包允許通過或拒絕通過
如果不匹配第一條規則,則依次往下檢查,直到有任何一條規則匹配,路由器將決定該數據包允許通過或拒絕通過
如果最後沒有任何一條規則匹配,則路由器根據默認的規則將丟棄該數據包
數據包最後要不被允許,要麼被拒絕
ACL應用的方向
ACL是一組規則的集合,他應用在路由器的某個接口上,對於路由器接口而言,ACL有以下兩個方向
出:已經過路由器的處理,正離開路由器接口的數據包
入:已到達路由器接口的數據包,將被路由器處理