一 传输层的作用
• 网络层提供点到点的连接
• 传输层提供端到端的连接
二 传输层的协议
• TCP(Transmission Control Protocol)
– 传输控制协议 – 可靠的、面向连接的协议 – 传输效率低
• UDP(User Datagram Protocol)
– 用户数据报协议 – 不可靠的、无连接的服务 – 传输效率高
三 TCP的连接-三次握手
1 (客户机)发送 SYN ,请求建立连接(seq=100, ctl=SYN)
2 (服务器)发送 SYN 、ACK(seq=300, ack=101,ctl=SYN、ACK)
3 (客户机)发送ACK(seq=101 ack=301ctl=ACK)
TCP的四次断开
1 (客户机)发送 FIN,请求断开连接(FIN=1,ACK=1)
2 (服务器)发送 ACK(ACK=1)
3 (服务器)发送 FIN,请求断开连接( FIN=1,ACK=1)
4 (客户机)发送ACK( ACK=1)
TCP端口及应用:FTP 21 TELNET 23 SMTP 25 HTTP 80 DNS 53
UDP端口及应用:TFTP 69 NTP 123 DNS 53
四 访问控制列表(ACL)
1 访问控制列表作用
– 读取第三层、第四层 头部信息
– 根据预先定义好的规则对数据进行过滤
2 访问控制列表的工作原理
当设备的端口接收到报文后,即根据当前端口上应用的ACL规则对报文的字段进行分析,在识别出特定的报文之后,根据预先设定的策略允许或禁止该报文通过。由ACL定义的报文匹配规则,可以被其它需要对流量进行区分的场合引用,如包过滤、QoS中流分类规则的定义等。
3 标准访问控制列表
– 基于源IP地址过滤数据包
– 标准访问控制列表的访问控制列表号是1~99
4 访问控制列表的处理过程
如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
5 标准ACL配置 (关键字– host代表精准主机地址, – any 代表任何其他所有)
限制主机192.168.2.1的数据:Router(config)#access-list 1 deny host 192.168.2.1
(反掩码等同于上一个命令) Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0
放行其他所有数据 : Router(config)#access-list 1 permit any
隐含的拒绝语句: Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
将ACL应用于接口 : Router(config-if)# ip access-group 1 in (在入口控制,out 为出口)
在接口上取消ACL的应用 : Router(config-if)# no ip access-group 1 in
查看访问控制列表 :Router# Show access-lists
删除ACL : Router(config)# no access-list 1
6 扩展访问控制列表
– 基于源IP地址、目的IP地址、指定协议、端口来过滤数据包
– 扩展访问控制列表的访问控制列表号是100~199
Router(config)#no access-list 1
Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21
Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80
Router(config)#access-list 100 permit ip any any
在接口中应用 acl
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip access-group 100 in
五 NAT技术
1 NAT作用
– Network Address Translation,网络地址转换
– 通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。
2 私有ip地址分类
• A类 10.0.0.0~10.255.255.255
• B类 172.16.0.0~172.31.255.255
• C类 192.168.0.0~192.168.255.255
3 NAT的优点
– 节省公有合法IP地址 – 处理地址重叠 – 安全性
4 NAT的缺点
– 延迟增大 – 配置和维护的复杂性
5 NAT实现方式
– 静态转换(Static Translation)
– 端口多路复用(Port Address Translation,PAT)
6 静态NAT转换
– IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特设定服务器的访问。
7 静态NAT配置步骤
– 接口IP地址配置 – 决定需要转换的主机地址
– 决定采用什么公有地址 – 在内部和外部端口上启用NAT
配置静态 nat 转换: Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2
Router(config)#ip nat inside source static 192.168.1.2 100.0.0.3
在内部和外部端口上启用 NAT:Router(config)#interface g0/1
Router(config-if)#ip nat outside
Router(config)#interface g0/0
Router(config-if)#ip nat inside
8 NAT端口映射
建立NAT端口映射关系 :Router(config)#ip nat inside source static tcp 192.168.1.18 0 100.0.0.2 80
(前提是先关闭静态nat配置,外网能通过100.0.0.2访问服务器192.168.1.6的WEB服务,如果另外一台服务器还是需要共享WEB服务,需要另外再买一个公网IP)
六 端口多路复用(PAT)
1 PAT(端口多路复用)
– 通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可共享一个合法IP地址实现互联网的访问,节约IP。
2 PAT配置步骤
– 接口IP地址配置
用访问控制列表定义哪些内部主机能做PAT : Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
– 确定路由器外部接口
在内部和外部端口上启用NAT : Router(config)#ip nat inside source list 1 interface g0/1 overload