網路基礎四(傳輸層TCP協議 ACL NAT)
一 傳輸層的作用 • 網路層提供點到點的連線 • 傳輸層提供端到端的連線 二 傳輸層的協議 • TCP(Transmission Control Protocol) – 傳輸控制協議 – 可靠的、面向連線的協議 – 傳輸效率低 • UDP(User Datagram Protocol) – 使用者資料報協議 – 不可靠的、無連線的服務 – 傳輸效率高 三 TCP的連線-三次握手 1 (客戶機)傳送 SYN ,請求建立連線(seq=100, ctl=SYN) 2 (伺服器)傳送 SYN 、ACK(seq=300, ack=101,ctl=SYN、ACK) 3 (客戶機)傳送ACK(seq=101 ack=301ctl=ACK) TCP的四次斷開 1 (客戶機)傳送 FIN,請求斷開連線(FIN=1,ACK=1) 2 (伺服器)傳送 ACK(ACK=1) 3 (伺服器)傳送 FIN,請求斷開連線( FIN=1,ACK=1) 4 (客戶機)傳送ACK( ACK=1) TCP埠及應用:FTP 21 TELNET 23 SMTP 25 HTTP 80 DNS 53 UDP埠及應用:TFTP 69 NTP 123 DNS 53 四 訪問控制列表(ACL) 1 訪問控制列表作用 – 讀取第三層、第四層 頭部資訊 – 根據預先定義好的規則對資料進行過濾 2 訪問控制列表的工作原理 當裝置的埠接收到報文後,即根據當前埠上應用的ACL規則對報文的欄位進行分析,在識別出特定的報文之後,根據預先設定的策略允許或禁止該報文通過。由ACL定義的報文匹配規則,可以被其它需要對流量進行區分的場合引用,如包過濾、QoS中流分類規則的定義等。 3 標準訪問控制列表 – 基於源IP地址過濾資料包 – 標準訪問控制列表的訪問控制列表號是1~99 4 訪問控制列表的處理過程 如果匹配第一條規則,則不再往下檢查,路由器將決定該資料包允許通過或拒絕通過。 如果不匹配第一條規則,則依次往下檢查,直到有任何一條規則匹配。 如果最後沒有任何一條規則匹配,則路由器根據預設的規則將丟棄該資料包。 5 標準ACL配置 (關鍵字– host代表精準主機地址, – any 代表任何其他所有) 限制主機192.168.2.1的資料:Router(config)#access-list 1 deny host 192.168.2.1 (反掩碼等同於上一個命令) Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0 放行其他所有資料 : Router(config)#access-list 1 permit any 隱含的拒絕語句: Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255 將ACL應用於介面 : Router(config-if)# ip access-group 1 in (在入口控制,out 為出口) 在介面上取消ACL的應用 : Router(config-if)# no ip access-group 1 in 檢視訪問控制列表 :Router# Show access-lists 刪除ACL : Router(config)# no access-list 1
6 擴充套件訪問控制列表 – 基於源IP地址、目的IP地址、指定協議、埠來過濾資料包 – 擴充套件訪問控制列表的訪問控制列表號是100~199 Router(config)#no access-list 1 Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21 Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80 Router(config)#access-list 100 permit ip any any 在介面中應用 acl Router(config)#interface gigabitEthernet 0/1 Router(config-if)#ip access-group 100 in
五 NAT技術 1 NAT作用 – Network Address Translation,網路地址轉換 – 通過將內部網路的私有IP地址翻譯成全球唯一的公網IP地址,使內部網路可以連線到網際網路等外部網路上。 2 私有ip地址分類 • A類 10.0.0.0~10.255.255.255 • B類 172.16.0.0~172.31.255.255 • C類 192.168.0.0~192.168.255.255 3 NAT的優點 – 節省公有合法IP地址 – 處理地址重疊 – 安全性 4 NAT的缺點 – 延遲增大 – 配置和維護的複雜性 5 NAT實現方式 – 靜態轉換(Static Translation) – 埠多路複用(Port Address Translation,PAT) 6 靜態NAT轉換 – IP地址的對應關係是一對一,而且是不變的,藉助靜態轉換,能實現外部網路對內部網路中某些特設定伺服器的訪問。 7 靜態NAT配置步驟 – 介面IP地址配置 – 決定需要轉換的主機地址 – 決定採用什麼公有地址 – 在內部和外部埠上啟用NAT 配置靜態 nat 轉換: Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2 Router(config)#ip nat inside source static 192.168.1.2 100.0.0.3 在內部和外部埠上啟用 NAT:Router(config)#interface g0/1 Router(config-if)#ip nat outside Router(config)#interface g0/0 Router(config-if)#ip nat inside
8 NAT埠對映 建立NAT埠對映關係 :Router(config)#ip nat inside source static tcp 192.168.1.18 0 100.0.0.2 80 (前提是先關閉靜態nat配置,外網能通過100.0.0.2訪問伺服器192.168.1.6的WEB服務,如果另外一臺伺服器還是需要共享WEB服務,需要另外再買一個公網IP) 六 埠多路複用(PAT) 1 PAT(埠多路複用) – 通過改變外出資料包的源IP地址和源埠並進行埠轉換,內部網路的所有主機均可共享一個合法IP地址實現網際網路的訪問,節約IP。 2 PAT配置步驟 – 介面IP地址配置 用訪問控制列表定義哪些內部主機能做PAT : Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 – 確定路由器外部介面 在內部和外部埠上啟用NAT : Router(config)#ip nat inside source list 1 interface g0/1 overload