大型企業(yè)網(wǎng)絡(luò)運維-PPT02-v1.0

第二章訪問控制列表（一）——理論部分對B類地址/16使用子網(wǎng)掩碼/19進行劃分，計算出子網(wǎng)數(shù)？判斷07/28所在的網(wǎng)絡(luò)號是什么？該網(wǎng)絡(luò)中IP地址范圍及廣播地址是什么？課程回顧理解TCP和UDP報文首部的格式理解TCP連接建立和終止的過程理解ACL的基本原理會配置標(biāo)準(zhǔn)ACL技能展示本章結(jié)構(gòu)訪問控制列表概述訪問控制列表的工作原理訪問控制列表的類型訪問控制列表（一）TCP協(xié)議標(biāo)準(zhǔn)訪問控制列表的配置TCP和UDP協(xié)議創(chuàng)建ACL標(biāo)準(zhǔn)ACL的配置實例將ACL應(yīng)用于接口UDP協(xié)議TCP/IP協(xié)議族的傳輸層協(xié)議主要有兩個：TCP（TransmissionControlProtocol）傳輸控制協(xié)議UDP（UserDatagramProtocol）用戶數(shù)據(jù)報協(xié)議TCP和UDP協(xié)議數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層物理層TCPUDPTCP/IPTCP是面向連接的、可靠的進程到進程通信的協(xié)議TCP提供全雙工服務(wù)，即數(shù)據(jù)可在同一時間雙向傳輸TCP報文段TCP將若干個字節(jié)構(gòu)成一個分組，叫報文段（Segment）TCP報文段封裝在IP數(shù)據(jù)報中TCP協(xié)議IP數(shù)據(jù)報IP首部TCP報文段SYN：同步序號位，TCP需要建立連接時將該值設(shè)為1ACK：確認序號位，當(dāng)該位為1時，用于確認發(fā)送方的數(shù)據(jù)FIN：當(dāng)TCP斷開連接時將該位置為1TCP報文段源端口號（16）目標(biāo)端口號（16）序號（32）確認號（32）首部長度（4）保留（6）U

R

GA

C

KP

S

HR

S

TS

Y

NF

I

N窗口大?。?6）校驗和（16）緊急指針（16）選項序號：發(fā)送端為每個字節(jié)進行編號，便于接收端正確重組確認號：用于確認發(fā)送端的信息窗口大?。河糜谡f明本地可接收數(shù)據(jù)段的數(shù)目，窗口大小是可變的TCP建立連接的過程稱為三次握手TCP連接4-1PC1PC21.發(fā)送SYN報文（Seq=x，SYN=1）2.發(fā)送SYN＋ACK報文（Seq=y，Ack=x+1，SYN=1，ACK＝1）3.發(fā)送ACK報文（Seq=x+1，Ack=y+1，ACK=1）通過Sniffer抓包來分析三次握手的過程第一次握手第二次握手第三次握手TCP連接4-2SYN=1ACK=1SYN=1ACK=1TCP斷開連接的四次握手TCP連接4-3TCP半關(guān)閉的概念PC1PC22.發(fā)送ACK報文（ACK＝1）3.發(fā)送FIN/ACK報文（FIN=1，ACK=1）4.發(fā)送ACK報文（ACK＝1）1.發(fā)送FIN/ACK（FIN=1，ACK=1）此時，PC2能給PC1發(fā)送數(shù)據(jù)嗎？常用的TCP端口號及其功能TCP連接4-4端口協(xié)議說明21FTPFTP服務(wù)器所開放的控制端口23TELNET用于遠程登錄，可以遠程控制管理目標(biāo)計算機25SMTPSMTP服務(wù)器開放的端口，用于發(fā)送郵件80HTTP超文本傳輸協(xié)議110POP3用于郵件的接收UDP協(xié)議無連接、不可靠的傳輸協(xié)議花費的開銷小UDP報文的首部格式UDP長度：用來指出UDP的總長度，為首部加上數(shù)據(jù)校驗和：用來完成對UDP數(shù)據(jù)的差錯檢驗，它是UDP協(xié)議提供的唯一的可靠機制UDP協(xié)議2-1源端口號（16）目標(biāo)端口號（16）UDP長度（16）UDP校驗和（16）常用的UDP端口號及其功能UDP協(xié)議2-2端口協(xié)議說明69TFTP簡單文件傳輸協(xié)議111RPC遠程過程調(diào)用123NTP網(wǎng)絡(luò)時間協(xié)議請思考：簡述TCP與UDP區(qū)別？TCP建立連接需要三次握手，為什么終止連接需要四次握手？列舉常見的TCP、UDP端口有哪些？小結(jié)訪問控制列表（ACL）讀取第三層、第四層包頭信息根據(jù)預(yù)先定義好的規(guī)則對包進行過濾訪問控制列表概述IP報頭TCP報頭數(shù)據(jù)源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規(guī)則訪問控制列表在接口應(yīng)用的方向出：已經(jīng)過路由器的處理，正離開路由器接口的數(shù)據(jù)包入：已到達路由器接口的數(shù)據(jù)包，將被路由器處理列表應(yīng)用到接口的方向與數(shù)據(jù)方向有關(guān)訪問控制列表的工作原理2-1F0/0F1/0入方向出方向訪問控制列表的處理過程訪問控制列表的工作原理2-2拒絕允許允許允許到達訪問控制組接口的數(shù)據(jù)包匹配第一條目的接口隱含的拒絕丟棄YYYYYYNNN匹配下一條拒絕拒絕拒絕匹配下一條標(biāo)準(zhǔn)訪問控制列表基于源IP地址過濾數(shù)據(jù)包標(biāo)準(zhǔn)訪問控制列表的訪問控制列表號是1～99擴展訪問控制列表基于源IP地址、目的IP地址、指定協(xié)議、端口和標(biāo)志來過濾數(shù)據(jù)包擴展訪問控制列表的訪問控制列表號是100～199命名訪問控制列表命名訪問控制列表允許在標(biāo)準(zhǔn)和擴展訪問控制列表中使用名稱代替表號訪問控制列表的類型創(chuàng)建ACLRouter(config)#access-listaccess-list-number

{permit|deny}source[source-wildcard]刪除ACLRouter(config)#noaccess-listaccess-list-number標(biāo)準(zhǔn)訪問控制列表的配置3-1允許數(shù)據(jù)包通過拒絕數(shù)據(jù)包通過應(yīng)用實例Router(config)#access-list1permit55Router(config)#access-list1permit允許/24和主機的流量通過隱含的拒絕語句Router(config)#access-list1deny55關(guān)鍵字hostany標(biāo)準(zhǔn)訪問控制列表的配置3-2將ACL應(yīng)用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}在接口上取消ACL的應(yīng)用Router(config-if)#noipaccess-groupaccess-list-number{in|out}標(biāo)準(zhǔn)訪問控制列表的配置3-3需求描述禁止主機PC2訪問主機PC1，而允許所有其他的流量在哪個接口應(yīng)用標(biāo)準(zhǔn)ACL應(yīng)用在入方向還是出方向標(biāo)準(zhǔn)ACL的配置實例/24F0/0F0/1R1PC1PC2PC3/24/24R1(config)#access-list1denyhostR1(config)#access-list1permitanyR1(config)#intf0/1R1(config-if)#ipaccess-group1inR1#showaccess-listsStandardIPaccesslist110deny20permitany本章總結(jié)訪問控制列表概述訪問控制列表的工作原理訪問控制列表的類型訪問控制列表（一）TCP協(xié)議標(biāo)準(zhǔn)訪問控制列表的配置TCP和UDP協(xié)議創(chuàng)建ACL標(biāo)準(zhǔn)ACL的配置實例將ACL應(yīng)用于接口UDP協(xié)議第二章訪問控制列表（一）——上機部分實驗環(huán)境兩臺Windows2008主機，配置IIS搭建FTP服務(wù)器，在客戶端主機安裝Sniffer軟件實驗一：觀察TCP建立鏈接的過程2-1需求描述在客戶端通過被動模式連接FTP服務(wù)器，觀察TCP的建立過程實現(xiàn)思路準(zhǔn)備工作在客戶端運行Sniffer抓包，通過IE瀏覽器訪問FTP服務(wù)器過濾數(shù)據(jù)過濾范圍：在FTP服務(wù)器和客戶端主機之間分析數(shù)據(jù)分析三次握手的數(shù)據(jù)報文內(nèi)容學(xué)員練習(xí)實驗一：觀察TCP建立鏈接的過程2-245分鐘完成實驗環(huán)境如圖所示，要求配置標(biāo)準(zhǔn)ACL實現(xiàn)：禁止主機PC1訪問主機PC2，而允許所有其他的流量實驗二：配置標(biāo)準(zhǔn)ACL實現(xiàn)需求3-1R1PC1F0/0F0/0F0/0R2R3PC2/24/24/24需求描述主機PC1不能ping通，但可以ping通問題分析