传输层的作用:
1、提供点到点的连接
2、提供端到端的连接
传输层的协议
1、TCP
传输控制协议
可靠的、面向连接的协议
传输效率低
2、UDP
用户数据报协议
不可靠的、无连接的服务
传输效率高
TCP的连接与断开
tcp的链接有三次握手
断开有四次
LISTEN - 侦听来自远方TCP端口的连接请求;
SYN-SEND - 在发送连接请求后等待匹配的链接请求
SYN-RECEIVED - 在收到和发送一个连接请求后等待对连接请求的确认;
ESTABLISHED - 代表一个打开的连接,数据可以传送给用户;
FIN-WAIT-1 - 等待远程TCP的连接中断请求,或先前的连接中断请求的确认;
FIN-WAIT-2 - 从远程TCP等待连接中断请求;
CLOSE-WAIT - 等待从本地用户发来的连接中断请求;
LAST-ACK - 等待原来发向远程TCP的连接中断请求的确认;
TIME-WAIT - 等待足够的时间以确保远程TCP接收到连接中断请求的确认;
CLOSED - 没有任何连接状态;
CLOSING - 同时发起关闭状态,从 FIN-WAIT-1 --> CLOSING --> TIME-WAIT
tcp的应用:
常用的有
| 端口 | 协议 | 说明 |
|---|---|---|
| 21 | FTP | 文件传输协议,用于上传、下载 |
| 23 | Telnet | 用于远程登录,通过链接目标计算机这一端口,得到验证后可以远程控制管理目标主机 |
| 25 | SMTP | 简单邮件传输协议,用于发送邮件 |
| 53 | DNS | 域名服务,当用户输入网站的域名后,DNS负责解析成IP地址 |
| 80 | HTTP | 超文本传输协议,通过HTTP实现网络上超文本传输 |
UDP的封装格式
| 0←→15 | 16←→31 |
|---|---|
| 16位源端口号 | 16位目标端口号 |
| 16位UDP长度 | 16位UDP校检和 |
| 数据 | 数据 |
UDP长度:用来指出UDP的总长度
校检和:用来完成UDP数据的差错检验,它是UDP协议提供的唯一的可靠机制
UDP的应用
| 端口 | 协议 | 说明 |
|---|---|---|
| 69 | TFTP | 简单文件传输协议 |
| 53 | DNS | 域名服务 |
| 123 | NTP | 网络时间协议 |
UDP的流控和差错检验:
UDP缺乏可靠机制,只有检验和来提供差错控制
需要上层协议来提供差错控制:如TFTP协议
访问控制列表(ACL)
读取第三层、第四层头部信息(IP报头、TCP报头)
根据预先定义好的规则对数据进行过滤
访问控制列表的工作原理
- 访问控制列表在接口应用的方向
出包:已经过路由器的处理,正离开路由器接口的数据包
入:已到达路由器接口的数据包,将被路由器处理
列表应用到接口的方向与数据方向有关
访问控制列表的类型:
1、标准访问控制列表
- 基于源IP地址过滤数据包(访问控制列表号是1~99)
2、扩展访问控制列表
- 基于源IP地址、目的IP地址、指定协议、端口来过滤数据包(控制列表号是100~199)
NAT
Network Address Translation 网络地址转换
作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。
私有IP地址分类:
A类:10.0.0.0~10.255.255.255
B类:172.16.0.0~172.31.255.255
C类:192.168.0.0~192.168.255.255
NAT的优缺点:
- 优点
1、节省公有合法IP地址
2、处理地址重叠
3、安全性 - 缺点
1、延迟增大
2、配置和维护的复杂性
NAT实现方式
1、静态转换
2、端口多路复用
静态转换
IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特定服务器的访问。
静态NAT配置
1、接口IP地址配置
2、决定需要转换的主机地址
3、决定采用什么公有地址
4、在内部和外部端口上启用NAT
ip nat inside source static local-ip global-ip
例如:Router(config)#ip nat inside source static 192.168.1.2 100.0.0.3
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip nat inside //内部上启用NAT
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip nat outside //外部端口启用NAT
NAT端口映射配置
Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80
端口多路复用(PAT)
通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可以共享一个合法IP地址实现互联网的互访,节约IP。
PAT的配置
1、接口IP地址配置
2、使用访问控制列表定义哪些内部主机能做PAT
3、确定路由器外部接口,并在内外部端口都启用NAT
定义内部ip地址
access-list 1 permit 192.168.1.0 0.0.0.255
设置复用动态IP地址转换
ip nat source list 1 interface g 0/1 overload
在内外端口上启用NAT,以及配置默认路由
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface gigabitEthernet 0/1 overload
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip access-group 1 out
标准访问控制列表的配置
拓补图
标准访问控制列表的配置
创建ACL
access-list access-list-number {permit | deny} source [source-wildcard] //创建acl
关键字:
-host
-any 所有人
deny(拒绝)
permit(允许)
ACL应用于接口
ip access-group access-list-number{in|out}
从接口上取消ACL
no ip access-group access-list-number {in|out}
查看访问控制列表
show access-lists
删除ACL
no access-list access-list-number
例子:
Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0 //禁止192.168.2.1访问192.168.1.1
或
Router(config)#access-list 1 deny host 192.168.2.1
Router(config)#interface gigabitEthernet 0/1 //进入0/1接口
Router(config-if)#ip access-group 1 in //应用acl(1为配置的acl编号)
扩展访问控制列表的配置
创建ACL
access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard } [operator operan]
例子:
禁止192.168.2.1访问192.168.1.1的ftp服务
Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21
禁止192.168.2.2访问192.168.1.1的web服务
Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80
开启nat排错功能
Router#debug ip nat
S表示源地址
D表示目的地址
192.168.1.2->61.159.62.130表示将192.168.1.2转换为61.159.62.130
关闭nat排错功能
Router#undebug ip nat
扫一扫
2086
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
