訪問控制列表

1、第二章第二章 訪問控制列表（一）訪問控制列表（一） 理論部分 訪問控制列表（一） 對(duì)B類地址/16使用子網(wǎng)掩碼/19進(jìn)行 劃分，計(jì)算出子網(wǎng)數(shù)？ 判斷07/28所在的網(wǎng)絡(luò)號(hào)是什么？該 網(wǎng)絡(luò)中IP地址范圍及廣播地址是什么？ 課程回顧 理解TCP和UDP報(bào)文首部的格式 理解TCP連接建立和終止的過程 理解ACL的基本原理 會(huì)配置標(biāo)準(zhǔn)ACL 技能展示 本章結(jié)構(gòu) 訪問控制列表概述訪問控制列表概述 訪問控制列表的工作原理訪問控制列表的工作原理 訪問控制列表的類型訪問控制列表的類型 訪問控制列表（一）訪問控制列表（一） TCP協(xié)議協(xié)議 標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列

2、表 的配置的配置 TCP和和UDP協(xié)議協(xié)議 創(chuàng)建創(chuàng)建ACL 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL的配置實(shí)例的配置實(shí)例 將將ACL應(yīng)用于接口應(yīng)用于接口 UDP協(xié)議協(xié)議 TCP/IP協(xié)議族的傳輸層協(xié)議主要有兩個(gè)： TCP（Transmission Control Protocol ） n傳輸控制協(xié)議 UDP（User Datagram Protocol ） n用戶數(shù)據(jù)報(bào)協(xié)議 TCP和UDP協(xié)議 數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層 網(wǎng)絡(luò)層網(wǎng)絡(luò)層 傳輸層傳輸層 應(yīng)用層應(yīng)用層 物理層物理層 TCP UDP TCP/IP TCP是面向連接的、可靠的進(jìn)程到進(jìn)程通信的協(xié)議 TCP提供全雙工服務(wù)，即數(shù)據(jù)可在同一時(shí)間雙向傳輸 TCP報(bào)文段 TCP將

3、若干個(gè)字節(jié)構(gòu)成一個(gè)分組，叫報(bào)文段（Segment） TCP報(bào)文段封裝在IP數(shù)據(jù)報(bào)中 TCP協(xié)議 IP數(shù)據(jù)報(bào)數(shù)據(jù)報(bào)IP首部首部TCP報(bào)文段報(bào)文段 SYN：同步序號(hào)位，TCP需要建立連接時(shí)將該值設(shè)為1 ACK：確認(rèn)序號(hào)位，當(dāng)該位為1時(shí)，用于確認(rèn)發(fā)送方的數(shù) 據(jù) FIN：當(dāng)TCP斷開連接時(shí)將該位置為1 TCP報(bào)文段 源端口號(hào)（源端口號(hào)（1616）目標(biāo)端口號(hào)（目標(biāo)端口號(hào)（1616） 序號(hào)（序號(hào)（3232） 確認(rèn)號(hào)（確認(rèn)號(hào)（3232） 首部長(zhǎng)度首部長(zhǎng)度 （4） 保留保留 （6 6） U U R R G G A A C C K K P P S S H H R R S S T T S S Y Y N N F

4、F I I N N 窗口大小（窗口大?。?616） 校驗(yàn)和（校驗(yàn)和（1616）緊急指針（緊急指針（1616） 選項(xiàng)選項(xiàng) 序號(hào)：發(fā)送端為每個(gè)字節(jié)進(jìn)行編號(hào)，便于接收端正確重序號(hào)：發(fā)送端為每個(gè)字節(jié)進(jìn)行編號(hào)，便于接收端正確重 組組 確認(rèn)號(hào)：用于確認(rèn)發(fā)送端的信息確認(rèn)號(hào)：用于確認(rèn)發(fā)送端的信息 窗口大?。河糜谡f明本地可接收數(shù)據(jù)段的數(shù)目，窗口大窗口大?。河糜谡f明本地可接收數(shù)據(jù)段的數(shù)目，窗口大 小是可變的小是可變的 TCP建立連接的過程稱為三次握手 TCP連接4-1 PC1PC1 PC2PC2 1.1.發(fā)送發(fā)送SYNSYN報(bào)文報(bào)文 （Seq=xSeq=x，SYN=1SYN=1） 2.2.發(fā)送發(fā)送SYNSYNAC

5、KACK報(bào)文報(bào)文 （Seq=ySeq=y，Ack=x+1Ack=x+1， SYN=1SYN=1，ACKACK1 1） 3. 3. 發(fā)送發(fā)送ACKACK報(bào)文報(bào)文 （Seq=x+1Seq=x+1，Ack=y+1Ack=y+1， ACK=1ACK=1） 通過Sniffer抓包來分析三次握手的過程 第一次握手 第二次握手 第三次握手 TCP連接4-2 SYN=1SYN=1 ACK=1ACK=1 SYN=1SYN=1 ACK=1ACK=1 TCP斷開連接的四次握手 TCP連接4-3 vTCP半關(guān)閉的概念半關(guān)閉的概念 PC1PC2 2. 發(fā)送發(fā)送ACK報(bào)文報(bào)文 （ACK1） 3. 發(fā)送發(fā)送FIN/ACK報(bào)

6、文報(bào)文 （FIN=1，ACK=1） 4. 發(fā)送發(fā)送ACK報(bào)文報(bào)文 （ACK1） 1.發(fā)送發(fā)送FIN/ACK （FIN=1，ACK=1） 此時(shí)，此時(shí)，PC2能給能給PC1發(fā)送數(shù)據(jù)嗎？發(fā)送數(shù)據(jù)嗎？ 常用的TCP端口號(hào)及其功能 TCP連接4-4 端口端口協(xié)議協(xié)議說明說明 2121FTPFTPFTPFTP服務(wù)器所開放的控制端口服務(wù)器所開放的控制端口 2323TELNETTELNET用于遠(yuǎn)程登錄，可以遠(yuǎn)程控制管理目標(biāo)計(jì)算機(jī)用于遠(yuǎn)程登錄，可以遠(yuǎn)程控制管理目標(biāo)計(jì)算機(jī) 2525SMTPSMTPSMTPSMTP服務(wù)器開放的端口，用于發(fā)送郵件服務(wù)器開放的端口，用于發(fā)送郵件 8080HTTPHTTP超文本傳輸協(xié)議超

7、文本傳輸協(xié)議 110110POP3POP3用于郵件的接收用于郵件的接收 UDP協(xié)議 無連接、不可靠的傳輸協(xié)議 花費(fèi)的開銷小 UDP報(bào)文的首部格式 UDP長(zhǎng)度：用來指出UDP的總長(zhǎng)度，為首部加上數(shù)據(jù) 校驗(yàn)和：用來完成對(duì)UDP數(shù)據(jù)的差錯(cuò)檢驗(yàn)，它是UDP協(xié) 議提供的唯一的可靠機(jī)制 UDP協(xié)議2-1 源端口號(hào)（源端口號(hào)（1616）目標(biāo)端口號(hào)（目標(biāo)端口號(hào)（1616） UDPUDP長(zhǎng)度（長(zhǎng)度（1616）UDPUDP校驗(yàn)和（校驗(yàn)和（1616） 常用的UDP端口號(hào)及其功能 UDP協(xié)議2-2 端口端口協(xié)議協(xié)議說明說明 6969TFTPTFTP簡(jiǎn)單文件傳輸協(xié)議簡(jiǎn)單文件傳輸協(xié)議 111111RPCRPC遠(yuǎn)程過程調(diào)用

8、遠(yuǎn)程過程調(diào)用 123123NTPNTP網(wǎng)絡(luò)時(shí)間協(xié)議網(wǎng)絡(luò)時(shí)間協(xié)議 請(qǐng)思考： 簡(jiǎn)述TCP與UDP區(qū)別？ TCP建立連接需要三次握手，為什么終止連接需要四次 握手？ 列舉常見的TCP、UDP端口有哪些？ 小結(jié) 訪問控制列表（ACL） 讀取第三層、第四層包頭信息 根據(jù)預(yù)先定義好的規(guī)則對(duì)包進(jìn)行過濾 訪問控制列表概述 IP報(bào)頭報(bào)頭TCP報(bào)頭報(bào)頭數(shù)據(jù)數(shù)據(jù) 源地址源地址 目的地址目的地址 源源端口端口 目的端口目的端口 訪問控制列表利用這訪問控制列表利用這4個(gè)元素個(gè)元素 定義的規(guī)則定義的規(guī)則 訪問控制列表在接口應(yīng)用的方向 出：已經(jīng)過路由器的處理，正離開路由器接口的數(shù)據(jù)包 入：已到達(dá)路由器接口的數(shù)據(jù)包，將被路由

9、器處理 列表應(yīng)用到接口的方向與數(shù)據(jù)方向有關(guān) 訪問控制列表的工作原理2-1 F0/0 F1/0 入方向入方向 出方向出方向 訪問控制列表的處理過程 訪問控制列表的工作原理2-2 拒絕拒絕 允許允許 允許允許 允許允許 到達(dá)訪問控制組接口的數(shù)據(jù)包到達(dá)訪問控制組接口的數(shù)據(jù)包 匹配匹配 第一條第一條 目的接口目的接口 隱含的隱含的 拒絕拒絕 丟棄丟棄 Y Y Y Y Y Y Y Y Y YY Y N N N N N N 匹配匹配 下一條下一條 拒絕拒絕 拒絕拒絕 拒絕拒絕 匹配匹配 下一條下一條 標(biāo)準(zhǔn)訪問控制列表 基于源IP地址過濾數(shù)據(jù)包 標(biāo)準(zhǔn)訪問控制列表的訪問控制列表號(hào)是199 擴(kuò)展訪問控制列表 基

10、于源IP地址、目的IP地址、指定協(xié)議、端口和標(biāo)志來 過濾數(shù)據(jù)包 擴(kuò)展訪問控制列表的訪問控制列表號(hào)是100199 命名訪問控制列表 命名訪問控制列表允許在標(biāo)準(zhǔn)和擴(kuò)展訪問控制列表中使 用名稱代替表號(hào) 訪問控制列表的類型 創(chuàng)建ACL Router(config)#access-list access-list-number permit | deny source source-wildcard 刪除ACL Router(config)# no access-list access-list- number 標(biāo)準(zhǔn)訪問控制列表的配置3-1 允許數(shù)據(jù)包通過允許數(shù)據(jù)包通過 拒絕數(shù)據(jù)包通過拒絕數(shù)據(jù)包通過 應(yīng)

11、用實(shí)例 Router(config)# access-list 1 permit 55 Router(config)# access-list 1 permit 允許/24和主機(jī)的流量通過 隱含的拒絕語句 Router(config)# access-list 1 deny 55 關(guān)鍵字 host any 標(biāo)準(zhǔn)訪問控制列表的配置3-2 將ACL應(yīng)用于接口 Router(config-if)# ip access-group acce

12、ss-list-number in |out 在接口上取消ACL的應(yīng)用 Router(config-if)# no ip access-group access-list-number in |out 標(biāo)準(zhǔn)訪問控制列表的配置3-3 需求描述 禁止主機(jī)PC2訪問主機(jī)PC1，而允許所有其他的流量 在哪個(gè)接口應(yīng)用標(biāo)準(zhǔn)ACL 應(yīng)用在入方向還是出方向 標(biāo)準(zhǔn)ACL的配置實(shí)例 /24 F0/0F0/1 R1 PC1 PC2 PC3 /24 /24 R1(config)# access-list 1 deny host

13、R1(config)# access-list 1 permit any R1(config)# int f0/1 R1(config-if)# ip access-group 1 in R1# show access-lists Standard IP access list 1 10 deny 20 permit any 本章總結(jié) 訪問控制列表概述訪問控制列表概述 訪問控制列表的工作原理訪問控制列表的工作原理 訪問控制列表的類型訪問控制列表的類型 訪問控制列表（一）訪問控制列表（一） TCP協(xié)議協(xié)議 標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表 的配置的配置 TCP和和UDP協(xié)

14、議協(xié)議 創(chuàng)建創(chuàng)建ACL 標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL的配置實(shí)例的配置實(shí)例 將將ACL應(yīng)用于接口應(yīng)用于接口 UDP協(xié)議協(xié)議 第二章第二章 訪問控制列表（一）訪問控制列表（一） 上機(jī)部分 第二章 訪問控制列表（一） 實(shí)驗(yàn)環(huán)境 兩臺(tái)Windows 2008主機(jī)，配置IIS搭建FTP服務(wù)器，在 客戶端主機(jī)安裝Sniffer軟件 實(shí)驗(yàn)一：觀察TCP建立鏈接的過程2-1 需求描述 在客戶端通過被動(dòng)模式連接FTP服務(wù)器，觀察TCP的建立 過程 實(shí)現(xiàn)思路 準(zhǔn)備工作 n在客戶端運(yùn)行Sniffer抓包，通過IE瀏覽器訪問FTP服 務(wù)器 過濾數(shù)據(jù) n過濾范圍：在FTP服務(wù)器和客戶端主機(jī)之間 分析數(shù)據(jù) n分析三次握手的數(shù)據(jù)報(bào)文內(nèi)容 學(xué)員練習(xí) 實(shí)驗(yàn)一：觀察TCP建立鏈接的過程2-2 4545分鐘完成分鐘完成 實(shí)驗(yàn)環(huán)境 如圖所示，要求配置標(biāo)準(zhǔn)ACL實(shí)現(xiàn)：禁止主機(jī)PC1訪問 主機(jī)PC2，而允許所有其他的流量 實(shí)驗(yàn)二：配置標(biāo)準(zhǔn)ACL實(shí)現(xiàn)需求3-1 R1 PC1 F0/0F0/0F0/0 R2R3 PC2 /24 /24 /24 需求描述 主機(jī)PC1