访问控制列表（一）配置命令及原理

访问控制列表（一）
TCP/IP协议族的传输层协议主要有两个：
（1）TCP传输控制协议
（2）UDP用户数据报协议

TCP是面向连接的、可靠的进程到进程通信的协议
TCP提供全双工服务，即数据可在同一时间双向传输

TCP报文段：将若干个字节构成一个分组
TCP报文段封装在IP数据报中

TCP建立连接的过程称为三次握手
1.Pc1发送SYN报文（Seq=x，SYN=1）
2.Pc2发送STN+ACK报文（Seq=y，Ack=x+1，SYN=1，ACK＝1）
3.Pc1发送ACK报文（Seq=x+1，Ack=y+1，ACK=1）
TCP断开连接的四次握手
1.Pc1发送FIN/ACK（FIN=1，ACK=1）
2.Pc2发送ACK报文（ACK＝1）
3.Pc2发送FIN/ACK报文（FIN=1，ACK=1）
4.Pc1发送ACK报文（ACK＝1）

常用的TCP端口号及其功能
21 FTP FTP服务器所开放的控制端口
23 TELNET 用于远程登录，可以远程控制管理目标计算机
25 SMTP 服务器开放的端口，用于发送邮件
80 HTTP 超文本传输协议
110 POP3 用于邮件的接收

UDP协议的特点：
（1）无连接、不可靠的传输协议
（2）花费的开销小

常用的UDP端口号及其功能
69 TFTP 简单文件传输协议
111 RPC 远程过程调用
123 NTP 网络时间协议

访问控制列表（ACL）读取第三层、第四层包头信息，根据预先定义好的规则对包进行过滤
访问控制列表在接口应用的方向：
（1）出：已经过路由器的处理，正离开路由器接口的数据包
（2）入：已到达路由器接口的数据包，将被路由器处理

标准访问控制列表
基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是1～99
扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100～199
命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

标准访问控制列表的配置基本命令：
创建ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]
Permit：允许数据包通过
Deny：拒绝数据包通过
删除ACL
Router(config)# no access-list access-list-number
将ACL应用于接口
Router(config-if)# ip access-group access-list-number {in |out}
在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-number {in |out}