大型企業(yè)網絡運維-PPT02-v1.0

第二章訪問控制列表（一）——理論部分對B類地址/16使用子網掩碼/19進行劃分，計算出子網數？判斷07/28所在的網絡號是什么？該網絡中IP地址范圍及廣播地址是什么？課程回顧理解TCP和UDP報文首部的格式理解TCP連接建立和終止的過程理解ACL的基本原理會配置標準ACL技能展示本章結構訪問控制列表概述訪問控制列表的工作原理訪問控制列表的類型訪問控制列表（一）TCP協(xié)議標準訪問控制列表的配置TCP和UDP協(xié)議創(chuàng)建ACL標準ACL的配置實例將ACL應用于接口UDP協(xié)議TCP/IP協(xié)議族的傳輸層協(xié)議主要有兩個：TCP（TransmissionControlProtocol）傳輸控制協(xié)議UDP（UserDatagramProtocol）用戶數據報協(xié)議TCP和UDP協(xié)議數據鏈路層網絡層傳輸層應用層物理層TCPUDPTCP/IPTCP是面向連接的、可靠的進程到進程通信的協(xié)議TCP提供全雙工服務，即數據可在同一時間雙向傳輸TCP報文段TCP將若干個字節(jié)構成一個分組，叫報文段（Segment）TCP報文段封裝在IP數據報中TCP協(xié)議IP數據報IP首部TCP報文段SYN：同步序號位，TCP需要建立連接時將該值設為1ACK：確認序號位，當該位為1時，用于確認發(fā)送方的數據FIN：當TCP斷開連接時將該位置為1TCP報文段源端口號（16）目標端口號（16）序號（32）確認號（32）首部長度（4）保留（6）U

R

GA

C

KP

S

HR

S

TS

Y

NF

I

N窗口大?。?6）校驗和（16）緊急指針（16）選項序號：發(fā)送端為每個字節(jié)進行編號，便于接收端正確重組確認號：用于確認發(fā)送端的信息窗口大?。河糜谡f明本地可接收數據段的數目，窗口大小是可變的TCP建立連接的過程稱為三次握手TCP連接4-1PC1PC21.發(fā)送SYN報文（Seq=x，SYN=1）2.發(fā)送SYN＋ACK報文（Seq=y，Ack=x+1，SYN=1，ACK＝1）3.發(fā)送ACK報文（Seq=x+1，Ack=y+1，ACK=1）通過Sniffer抓包來分析三次握手的過程第一次握手第二次握手第三次握手TCP連接4-2SYN=1ACK=1SYN=1ACK=1TCP斷開連接的四次握手TCP連接4-3TCP半關閉的概念PC1PC22.發(fā)送ACK報文（ACK＝1）3.發(fā)送FIN/ACK報文（FIN=1，ACK=1）4.發(fā)送ACK報文（ACK＝1）1.發(fā)送FIN/ACK（FIN=1，ACK=1）此時，PC2能給PC1發(fā)送數據嗎？常用的TCP端口號及其功能TCP連接4-4端口協(xié)議說明21FTPFTP服務器所開放的控制端口23TELNET用于遠程登錄，可以遠程控制管理目標計算機25SMTPSMTP服務器開放的端口，用于發(fā)送郵件80HTTP超文本傳輸協(xié)議110POP3用于郵件的接收UDP協(xié)議無連接、不可靠的傳輸協(xié)議花費的開銷小UDP報文的首部格式UDP長度：用來指出UDP的總長度，為首部加上數據校驗和：用來完成對UDP數據的差錯檢驗，它是UDP協(xié)議提供的唯一的可靠機制UDP協(xié)議2-1源端口號（16）目標端口號（16）UDP長度（16）UDP校驗和（16）常用的UDP端口號及其功能UDP協(xié)議2-2端口協(xié)議說明69TFTP簡單文件傳輸協(xié)議111RPC遠程過程調用123NTP網絡時間協(xié)議請思考：簡述TCP與UDP區(qū)別？TCP建立連接需要三次握手，為什么終止連接需要四次握手？列舉常見的TCP、UDP端口有哪些？小結訪問控制列表（ACL）讀取第三層、第四層包頭信息根據預先定義好的規(guī)則對包進行過濾訪問控制列表概述IP報頭TCP報頭數據源地址目的地址源端口目的端口訪問控制列表利用這4個元素定義的規(guī)則訪問控制列表在接口應用的方向出：已經過路由器的處理，正離開路由器接口的數據包入：已到達路由器接口的數據包，將被路由器處理列表應用到接口的方向與數據方向有關訪問控制列表的工作原理2-1F0/0F1/0入方向出方向訪問控制列表的處理過程訪問控制列表的工作原理2-2拒絕允許允許允許到達訪問控制組接口的數據包匹配第一條目的接口隱含的拒絕丟棄YYYYYYNNN匹配下一條拒絕拒絕拒絕匹配下一條標準訪問控制列表基于源IP地址過濾數據包標準訪問控制列表的訪問控制列表號是1～99擴展訪問控制列表基于源IP地址、目的IP地址、指定協(xié)議、端口和標志來過濾數據包擴展訪問控制列表的訪問控制列表號是100～199命名訪問控制列表命名訪問控制列表允許在標準和擴展訪問控制列表中使用名稱代替表號訪問控制列表的類型創(chuàng)建ACLRouter(config)#access-listaccess-list-number

{permit|deny}source[source-wildcard]刪除ACLRouter(config)#noaccess-listaccess-list-number標準訪問控制列表的配置3-1允許數據包通過拒絕數據包通過應用實例Router(config)#access-list1permit55Router(config)#access-list1permit允許/24和主機的流量通過隱含的拒絕語句Router(config)#access-list1deny55關鍵字hostany標準訪問控制列表的配置3-2將ACL應用于接口Router(config-if)#ipaccess-groupaccess-list-number{in|out}在接口上取消ACL的應用Router(config-if)#noipaccess-groupaccess-list-number{in|out}標準訪問控制列表的配置3-3需求描述禁止主機PC2訪問主機PC1，而允許所有其他的流量在哪個接口應用標準ACL應用在入方向還是出方向標準ACL的配置實例/24F0/0F0/1R1PC1PC2PC3/24/24R1(config)#access-list1denyhostR1(config)#access-list1permitanyR1(config)#intf0/1R1(config-if)#ipaccess-group1inR1#showaccess-listsStandardIPaccesslist110deny20permitany本章總結訪問控制列表概述訪問控制列表的工作原理訪問控制列表的類型訪問控制列表（一）TCP協(xié)議標準訪問控制列表的配置TCP和UDP協(xié)議創(chuàng)建ACL標準ACL的配置實例將ACL應用于接口UDP協(xié)議第二章訪問控制列表（一）——上機部分實驗環(huán)境兩臺Windows2008主機，配置IIS搭建FTP服務器，在客戶端主機安裝Sniffer軟件實驗一：觀察TCP建立鏈接的過程2-1需求描述在客戶端通過被動模式連接FTP服務器，觀察TCP的建立過程實現思路準備工作在客戶端運行Sniffer抓包，通過IE瀏覽器訪問FTP服務器過濾數據過濾范圍：在FTP服務器和客戶端主機之間分析數據分析三次握手的數據報文內容學員練習實驗一：觀察TCP建立鏈接的過程2-245分鐘完成實驗環(huán)境如圖所示，要求配置標準ACL實現：禁止主機PC1訪問主機PC2，而允許所有其他的流量實驗二：配置標準ACL實現需求3-1R1PC1F0/0F0/0F0/0R2R3PC2/24/24/24需求描述主機PC1不能ping通，但可以ping通問題分析