《网络设备调试20标准访问控制列表》由会员分享,可在线阅读,更多相关《网络设备调试20标准访问控制列表(28页珍藏版)》请在金锄头文库上搜索。
1、主讲教师:马宇麟授课专业:计算机应用技术第20讲 标准访问控制列表网络设备调试 简述PPP协议的特点 PPP协议的认证方式有哪些?各有什么特点? 配置PPP协议时的注意事项有哪些?课程回顾本章结构访问控制列表概述访问控制列表的工作原理访问控制列表的类型标准访问控制列表TCP协议标准访问控制列表 的配置TCP和UDP协议创建ACL标准ACL的配置实例将ACL应用于接口UDP协议 TCP/IP协议族的传输层协议主要有两个: TCP(Transmission Control Protocol ) 传输控制协议 UDP(User Datagram Protocol ) 用户数据报协议TCP和UDP协议
2、数据链路层网络层传输层应用层物理层TCPUDPTCP/IP TCP是面向连接的、可靠的进程到进程通信的协议 TCP提供全双工服务,即数据可在同一时间双向传输 TCP报文段 TCP将若干个字节构成一个分组,叫报文段(Segment) TCP报文段封装在IP数据报中TCP协议IP数据报IP首部TCP报文段 SYN:同步序号位,TCP需要建立连接时将该值设为1 ACK:确认序号位,当该位为1时,用于确认发送方的数 据 FIN:当TCP断开连接时将该位置为1TCP报文段源端口号(16)目标端口号(16)序号(32)确认号(32)首部长度 (4)保留( 6)U R GA C KP S HR S TS Y
3、 NF I N窗口大小(16)校验和(16)紧急指针(16)选项 序号:发送端为每个字节进行编号,便于接收端正确重 组 确认号:用于确认发送端的信息 窗口大小:用于说明本地可接收数据段的数目,窗口大 小是可变的 TCP建立连接的过程称为三次握手TCP连接4-1PC1PC21.发送SYN报文 (Seq=x,SYN=1)2.发送SYNACK报文 (Seq=y,Ack=x+1, SYN=1,ACK1)3. 发送ACK报文 (Seq=x+1,Ack=y+1, ACK=1) 通过Sniffer抓包来分析三次握手的过程 第一次握手 第二次握手 第三次握手TCP连接4-2SYN=1ACK=1SYN=1ACK
4、=1 TCP断开连接的四次握手TCP连接4-3vTCP半关闭的概念PC1PC22. 发送ACK报文 (ACK1)3. 发送FIN/ACK报文 (FIN=1,ACK=1) 4. 发送ACK报文 (ACK1)1.发送FIN/ACK (FIN=1,ACK=1)此时,PC2能给PC1发送数据吗? 常用的TCP端口号及其功能TCP连接4-4端口协议说 明21FTPFTP服务器所开放的控制端口23TELNET用于远程登录,可以远程控制管理目标计算机25SMTPSMTP服务器开放的端口,用于发送邮件80HTTP超文本传输协议110POP3用于邮件的接收 UDP协议 无连接、不可靠的传输协议 花费的开销小 U
5、DP报文的首部格式 UDP长度:用来指出UDP的总长度,为首部加上数据 校验和:用来完成对UDP数据的差错检验,它是UDP协 议提供的唯一的可靠机制UDP协议2-1源端口号(16)目标端口号(16)UDP长度(16)UDP校验和(16) 常用的UDP端口号及其功能UDP协议2-2端口协议说 明69TFTP简单文件传输协议111RPC远程过程调用123NTP网络时间协议 请思考: 简述TCP与UDP区别? TCP建立连接需要三次握手,为什么终止连接需要四次 握手? 列举常见的TCP、UDP端口有哪些?小结 访问控制列表(ACL) 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤访问控
6、制列表概述IP报头TCP报头数据源地址目的地址源端口目的端口访问控制列表利用这4个元素 定义的规则 访问控制列表在接口应用的方向 出:已经过路由器的处理,正离开路由器接口的数据包 入:已到达路由器接口的数据包,将被路由器处理 列表应用到接口的方向与数据方向有关访问控制列表的工作原理2-1F0/0F1/0入方向出方向 访问控制列表的处理过程访问控制列表的工作原理2-2拒绝允许允许允许到达访问控制组接口的数据包匹配 第一条目的接口隐含的 拒绝 丢弃YYYYYYNNN匹配 下一条拒绝拒绝拒绝匹配 下一条 标准访问控制列表 基于源IP地址过滤数据包 标准访问控制列表的访问控制列表号是199 扩展访问控
7、制列表 基于源IP地址、目的IP地址、指定协议、端口和标志来 过滤数据包 扩展访问控制列表的访问控制列表号是100199 命名访问控制列表 命名访问控制列表允许在标准和扩展访问控制列表中使 用名称代替表号访问控制列表的类型 创建ACLRouter(config)#access-list access-list-number permit | deny source source-wildcard 删除ACLRouter(config)# no access-list access-list-number标准访问控制列表的配置3-1允许数据包通过拒绝数据包通过标准访问控制列表的配置3-2 应用实
8、例 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0 允许192.168.1.0/24和主机192.168.2.2的流量通过 隐含的拒绝语句 Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255 关键字 host any 将ACL应用于接口Router(config-if)# ip access-group access-list-number in
9、|out 在接口上取消ACL的应用Router(config-if)# no ip access-group access-list-number in |out标准访问控制列表的配置3-3 需求描述 禁止主机PC2访问主机PC1,而允许所有其他的流量 在哪个接口应用标准ACL 应用在入方向还是出方向标准ACL的配置实例192.168.1.1/24F0/0F0/1 R1PC1PC2PC3192.168.2.2/24192.168.2.3/24R1(config)# access-list 1 deny host 192.168.2.2 R1(config)# access-list 1 per
10、mit any R1(config)# int f0/1 R1(config-if)# ip access-group 1 inR1# show access-lists Standard IP access list 110 deny 192.168.2.220 permit any本章总结访问控制列表概述访问控制列表的工作原理访问控制列表的类型标准访问控制列表TCP协议标准访问控制列表 的配置TCP和UDP协议创建ACL标准ACL的配置实例将ACL应用于接口UDP协议 实验环境 两台Windows 2008主机,配置IIS搭建FTP服务器,在 客户端主机安装Sniffer软件课堂练习:观察
11、TCP建立链接的过程2-1 需求描述 在客户端通过被动模式连接FTP服务器,观察TCP的建 立过程 实现思路 准备工作 在客户端运行Sniffer抓包,通过IE浏览器访问FTP服务器 过滤数据 过滤范围:在FTP服务器和客户端主机之间 分析数据 分析三次握手的数据报文内容课堂练习:观察TCP建立链接的过程2-2 实验环境 如图所示,要求配置标准ACL实现:禁止主机PC1访问 主机PC2,而允许所有其他的流量课后作业:配置标准ACL实现需求3-1R1PC1F0/0F0/0F0/0 R2R3PC2192.168.2.0/24192.168.1.1/24192.168.3.1/24 需求描述 主机PC1不能ping通192.168.3.1,但可以ping通 192.168.2.1 问题分析 在哪个接口应用标准ACL 在哪台路由器应用标准ACL课后作业:配置标准ACL实现需求3-2 实现思路 配置路由实现网络互通 确定在哪台路由器、哪个接口应用标准ACL 配置标准ACL并应用到接口上 查看并验证配置 使用show access-lists命令查看ACL配置 使用ping命令验证配置课后作业:配置标准ACL实现需求3-3
