当前位置:   article > 正文

网络基础四(传输层TCP协议 ACL NAT)_tcp acl

tcp acl

一   传输层的作用
    • 网络层提供点到点的连接
    • 传输层提供端到端的连接
    
二    传输层的协议
    • TCP(Transmission Control Protocol)
    – 传输控制协议  – 可靠的、面向连接的协议  – 传输效率低
        
    • UDP(User Datagram Protocol)
    – 用户数据报协议   – 不可靠的、无连接的服务  – 传输效率高
        
三    TCP的连接-三次握手
         1 (客户机)发送 SYN ,请求建立连接(seq=100, ctl=SYN)         
         2 (服务器)发送 SYN 、ACK(seq=300, ack=101,ctl=SYN、ACK)
         3 (客户机)发送ACK(seq=101 ack=301ctl=ACK)
         
       TCP的四次断开
         1  (客户机)发送 FIN,请求断开连接(FIN=1,ACK=1)
         2  (服务器)发送 ACK(ACK=1)
         3  (服务器)发送 FIN,请求断开连接( FIN=1,ACK=1)
         4  (客户机)发送ACK( ACK=1)
         
        TCP端口及应用:FTP 21   TELNET  23   SMTP  25   HTTP 80  DNS  53
        UDP端口及应用:TFTP 69  NTP 123    DNS 53
        
四     访问控制列表(ACL)
        1 访问控制列表作用
         – 读取第三层、第四层 头部信息
         – 根据预先定义好的规则对数据进行过滤
         
        2 访问控制列表的工作原理          
         当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。由ACL定义的报文匹配规则,可以被其它需要对流量进行区分的场合引用,如包过滤、QoS中流分类规则的定义等。
        
        3 标准访问控制列表
          – 基于源IP地址过滤数据包
          – 标准访问控制列表的访问控制列表号是1~99
              
         4 访问控制列表的处理过程
            如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
            如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
            如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
               
        5 标准ACL配置  (关键字– host代表精准主机地址,     – any 代表任何其他所有)        
           限制主机192.168.2.1的数据:Router(config)#access-list 1 deny host 192.168.2.1  
               (反掩码等同于上一个命令)  Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0
           放行其他所有数据 : Router(config)#access-list 1 permit any                          
           隐含的拒绝语句: Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255          
           将ACL应用于接口 : Router(config-if)# ip access-group 1 in  (在入口控制,out 为出口)
           在接口上取消ACL的应用 : Router(config-if)# no ip access-group 1 in    
           查看访问控制列表  :Router# Show access-lists
           删除ACL : Router(config)# no access-list 1


        6   扩展访问控制列表
         – 基于源IP地址、目的IP地址、指定协议、端口来过滤数据包
         – 扩展访问控制列表的访问控制列表号是100~199
           Router(config)#no access-list 1
           Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21
           Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80
           Router(config)#access-list 100 permit ip any any
           在接口中应用 acl
           Router(config)#interface gigabitEthernet 0/1
           Router(config-if)#ip access-group 100 in

五    NAT技术
       1 NAT作用 
        – Network Address Translation,网络地址转换       
        – 通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。
       
       2 私有ip地址分类        
       • A类 10.0.0.0~10.255.255.255
       • B类 172.16.0.0~172.31.255.255
       • C类 192.168.0.0~192.168.255.255
       
       3 NAT的优点
         – 节省公有合法IP地址   – 处理地址重叠  – 安全性
             
       4 NAT的缺点
        – 延迟增大  – 配置和维护的复杂性
              
       5 NAT实现方式
        – 静态转换(Static Translation)
        – 端口多路复用(Port Address Translation,PAT)
       
       6 静态NAT转换
        – IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特设定服务器的访问。
       
       7 静态NAT配置步骤
        – 接口IP地址配置    – 决定需要转换的主机地址       
        – 决定采用什么公有地址  – 在内部和外部端口上启用NAT
             
       配置静态 nat 转换: Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2
                                         Router(config)#ip nat inside source static 192.168.1.2 100.0.0.3
       
       在内部和外部端口上启用 NAT:Router(config)#interface g0/1
                                                          Router(config-if)#ip nat outside
                                                          Router(config)#interface g0/0
                                                          Router(config-if)#ip nat inside

       8 NAT端口映射
          建立NAT端口映射关系 :Router(config)#ip nat inside source static tcp 192.168.1.18 0 100.0.0.2 80
        (前提是先关闭静态nat配置,外网能通过100.0.0.2访问服务器192.168.1.6的WEB服务,如果另外一台服务器还是需要共享WEB服务,需要另外再买一个公网IP)
       
 六   端口多路复用(PAT)
       1 PAT(端口多路复用)
       – 通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可共享一个合法IP地址实现互联网的访问,节约IP。
       
       2 PAT配置步骤
       – 接口IP地址配置
          用访问控制列表定义哪些内部主机能做PAT  : Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
       – 确定路由器外部接口
          在内部和外部端口上启用NAT  : Router(config)#ip nat inside source list 1 interface g0/1 overload
       

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/从前慢现在也慢/article/detail/694574
推荐阅读
相关标签
  

闽ICP备14008679号