传输层概述传输层的作用
• 网络层提供点到点的连接
• 传输层提供端到端的连接
知
识
讲
解传输层的协议
• TCP(Transmission Control Protocol)
– 传输控制协议
知
识
讲
解
– 可靠的、面向连接的协议
– 传输效率低
• UDP(User Datagram Protocol)
– 用户数据报协议
– 不可靠的、无连接的服务
– 传输效率高TCP的封装格式
0
源端口号
知
识
讲
解
31
15 16
目标端口号
32位序列号
32位确认号
4位 保留 U A P R S F
首部 (6 R C S S Y I
长度 位) G K H T N N 16位窗口大小
16位校验和 16位紧急指针
可选项
数据
20
字
节TCP的连接与断开
• TCP的连接-三次握手
Host A
知
识
讲
解
1
Host B
发送 SYN ,请求建立连接
(seq=100, ctl=SYN)
发送 SYN 、ACK
(seq=300, ack=101,
ctl=SYN、ACK)
3
发送ACK
(seq=101 ack=301
ctl=ACK)
2TCP的连接与断开(续1)
• TCP的四次断开
Host A
知
识
讲
解
1
4
发送 FIN,请求断开连接
(FIN=1,ACK=1)
发送ACK
( ACK=1)
Host B
发送 ACK
(ACK=1) 2
发送 FIN,请求断开连接
( FIN=1,ACK=1) 3TCP的应用
知
识
讲
解UDP协议工作原理UDP的封装格式
15
0
知
识
讲
解
16
31
16位源端口号 16位目标端口号
16位UDP长度 16位UDP校验和
数据UDP的应用
端 口
知
识
讲
解
协 议
说 明
69 TFTP 简单文件传输协议
53 DNS 域名服务
123 NTP 网络时间协议UDP的流控和差错控制
• UDP缺乏可靠机制
• UDP只有校验和来提供差错控制
知
识
讲
解
– 需要上层协议来提供差错控制:例如TFTP协议
Host A
Host B
TFTP协议提供分块传输、
分块确认机制,保证数据
传输的可靠性访问控制列表概述访问控制列表作用
• 访问控制列表(ACL)
– 读取第三层、第四层 头部信息
知
识
讲
解
– 根据预先定义好的规则对数据进行过滤
IP报头 TCP报头
源地址
目的地址 源端口
目的端口
数 据
访问控制列表利用这4
个元素定义的规则访问控制列表的工作原理
• 访问控制列表在接口应用的方向
知
识
讲
解
– 出:已经过路由器的处理,正离开路由器接口的数据
包
– 入:已到达路由器接口的数据包,将被路由器处理
g0/0
入方向
g1/0
出方向
– 列表应用到接口的方向与数据方向有关访问控制列表的工作原理(续1)
• 访问控制列表的处理过程
到达访问控制组接口的数据包
知
识
讲
解
匹配
第一条
Y
Y
N
允许
拒绝
拒绝
匹配
下一条
Y
Y
匹配
下一条
N
拒绝
允许
目的接口
N
拒绝
丢弃
Y
允许
Y
隐含的
拒绝访问控制列表的类型
• 标准访问控制列表
– 基于源IP地址过滤数据包
知
识
讲
解
– 标准访问控制列表的访问控制列表号是1~99
• 扩展访问控制列表
– 基于源IP地址、目的IP地址、指定协议、端口来过滤数据包
– 扩展访问控制列表的访问控制列表号是100~199标准ACL配置标准访问控制列表的配置
• 创建ACL
知
识
讲
解
Router(config)#access-list access-list-number
{ permit | deny } source [ source-wildcard ]
允许数据包通过 拒绝数据包通过标准访问控制列表的配置(续1)
• 应用实例
知
识
讲
解
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
– 允许192.168.1.0/24和主机192.168.2.2的流量通过标准访问控制列表的配置(续2)
• 隐含的拒绝语句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255
知
识
讲
解
• 关键字
– host
– any标准访问控制列表的配置(续3)
• 将ACL应用于接口
知
识
讲
解
Router(config-if)# ip access-group access-list-number {in
|out}
• 在接口上取消ACL的应用
Router(config-if)# no ip access-group access-list-number
{in |out}标准访问控制列表的配置(续4)
• 查看访问控制列表
Router(config)# Show access-lists
知
识
讲
解
• 删除ACL
Router(config)# no access-list access-list-number标准ACL的配置
• 需求描述
– 禁止主机PC2访问主机PC1,而允许所有其他的流量
知
识
讲
解
192.168.2.1/24
192.168.1.254/24
g0/0
PC1
192.168.2.254/24
g0/1
PC2
R1
192.168.2.2/24
192.168.1.1/24
PC3• 需求描述
– 只允许主机PC2访问主机PC1,而禁止所有其他的流
量
课
堂
练
习
192.168.2.1/24
192.168.1.254/24
g0/0
PC1
192.168.2.254/24
g0/1
PC2
R1
192.168.2.2/24
192.168.1.1/24
PC3扩展访问控制列表的配置
• 创建ACL
知
识
讲
解
Router(config)# access-list access-list-number { permit | deny }
protocol { source source-wildcard destination destination-
wildcard } [ operator operan ]
• 应用实例
Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255
host 192.168.2.2 eq 80
Router(config)# access-list 101 permit ip any any• 通过配置扩展acl禁止pc2访问pc1的ftp服务,禁止pc3
访问pc1的www服务器,所有主机的其他服务不受任何
限制
课
堂
练
习
192.168.2.1/24
192.168.1.254/24
g0/0
PC1
192.168.2.254/24
g0/1
PC2
R1
192.168.2.2/24
192.168.1.1/24
PC3NAT概述NAT作用
• NAT
– Network Address Translation,网络地址转换
知
识
讲
解
• 作用
– 通过将内部网络的私有IP地址翻译成全球唯一的
公网IP地址,使内部网络可以连接到互联网等外
部网络上。私有ip地址分类
• A类 10.0.0.0~10.255.255.255
• B类 172.16.0.0~172.31.255.255
知
识
讲
解
• C类 192.168.0.0~192.168.255.255NAT的特性
• NAT的优点
– 节省公有合法IP地址
知
识
讲
解
– 处理地址重叠
– 安全性NAT的特性(续1)
• NAT的缺点
– 延迟增大
知
识
讲
解
– 配置和维护的复杂性NAT实现方式
• NAT实现方式
– 静态转换(Static Translation)
知
识
讲
解
– 端口多路复用(Port Address Translation,
PAT)NAT的工作过程
• 静态
5
知
识
讲
解
DA SA
10.1.1.1 125.25.65.3
3
DA
125.25.65.3
4
10.1.1.2
Internet
NAT
10.1.1.1
SA
10.1.1.1
1
203.51.23.55
外部主机B
2
NAT转换表
协议 内部局部IP地址 内部全局IP地址 外部IP地址
TCP 10.1.1.1 125.25.65.3 203.51.23.55NAT的工作过程(续1)
• PAT
5
知
识
讲
解
3
DA SA
10.1.1.1 125.25.65.3
DA
125.25.65.3
4
10.1.1.2
Internet
NAT
10.1.1.1
SA
10.1.1.1
1
2
203.51.23.55
外部主机B
NAT转换表
协议 内部局部IP地址
内部全局IP地址
外部IP地址
TCP 10.1.1.1:1492 125.25.65.3:1492 203.51.23.55:23
TCP 10.1.1.2:1493 125.25.65.3:1493 203.51.23.55:80静态转换静态NAT
• 静态转换
知
识
讲
解
– IP地址的对应关系是一对一,而且是不变的,
借助静态转换,能实现外部网络对内部网络
中某些特设定服务器的访问。静态NAT的配置
• 静态NAT配置步骤
– 接口IP地址配置
知
识
讲
解
– 决定需要转换的主机地址
– 决定采用什么公有地址
– 在内部和外部端口上启用NAT
Router(config)#ip nat inside source static local-ip global-ip静态NAT的配置(续1)
• 将内网地址192.168.1.1静态转换为合法的外部地址
100.0.0.2以便访问外网。
知
识
讲
解
Internet
100.0.0.1
192.168.1.254
g0/1
NAT外部端口
g0/0
NAT内部端口
内部网络
......
192.168.1.1~192.168.1.253/24
...静态NAT配置(续2)
• 设置外部端口的IP地址:
知
识
讲
解
Router(config)#interface g0/1
Router(config-if)#ip address 100.0.0.1 255.0.0.0
Router(config-if)#no shut
• 设置内部端口的IP地址:
Router(config)#interface g0/0
Router(config-if)#ip address 192.168.1.254 255.255.255.0
Router(config-if)#no shut
• 建立静态地址转换
Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2静态NAT配置(续3)
• 在内部和外部端口上启用NAT
知
识
讲
解
Router(config)#interface g0/1
Router(config-if)#ip nat outside
Router(config)#interface g0/0
Router(config-if)#ip nat inside案例1:配置静态NAT
在R1上配置静态NAT使192.168.1.1转换为100.0.0.2,
192.168.1.2转换为100.0.0.3,实现外部网络访问。
课
堂
练
习
100.0.0.1
g0/0
192.168.1.254
PC1
192.168.1.1/24
R1
g0/1
PC3
100.0.0.10
PC2
192.168.1.2/24NAT端口映射NAT端口映射配置
• 建立NAT端口映射关系
• 配置实例
知
识
讲
解
Router(config)#ip nat inside source static tcp 192.168.1.6 80
61.159.62.133 80
192.168.1.6 80
192.168.1.6
61.159.62.133 80
NAT
协议 内部用局部IP地址
TCP 192.168.1.6:80
内部用全局IP地址
61.159.62.133:80
Internet
外部用全局IP地址
155.34.2.3案例2:配置端口映射
在R1上配置端口映射将192.168.1.1的80端口映射为
100.0.0.2的80端口,将其web服务发布到Internet。
课
堂
练
习
100.0.0.1
g0/0
192.168.1.254
PC1
192.168.1.1/24
R1
g0/1
PC3
PC2
192.168.1.2/24端口多路复用(PAT)PAT
• PAT(端口多路复用)
知
识
讲
解
– 通过改变外出数据包的源IP地址和源端口并进行端口转
换,内部网络的所有主机均可共享一个合法IP地址实现
互联网的访问,节约IP。PAT的配置
• PAT配置步骤
– 接口IP地址配置
知
识
讲
解
– 使用访问控制列表定义哪些内部主机能做PAT
– 确定路由器外部接口
在内部和外部端口上启用NATPAT的配置(续1)
• 定义内部ip地址
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
知
识
讲
解
• 设置复用动态IP地址转换
外部接口
Router(config)#ip nat inside source list 1 interface g 0/1 overload
• 在内部和外部端口上启用NAT,以及配置默认路由

与静态NAT配置相同案例4:PAT配置
在R1配置PAT端口多路复用使企业内网192.168.1.0/24复用
g0/1端口的IP,实现外部网络的访问。
课
堂
练
习
100.0.0.1
g0/0
192.168.1.254
PC1
192.168.1.1/24
R1
g0/1
PC3
PC2
192.168.1.2/24跟踪NAT
• debug ip nat命令跟踪NAT操作
知
识
讲
解
R1#debug ip nat
IP NAT debugging is on
*Mar 1 00:03:56.875: NAT: s=192.168.4.2->145.52.23.2, d=1.1.1.1 52225]
*Mar 1 00:03:57.667: NAT*: s=192.168.4.2->145.52.23.2, d=1.1.1.1 [52481]
*Mar 1 00:03:57.811: NAT*: s=1.1.1.1, d=145.52.23.2->192.168.4.2 [52481]
s=192.168.4.2表示源地址是192.168.4.2
d=1.1.1.1表示目的地址是1.1.1.1
192.168.4.2->145.52.23.2表示将地址192.168.4.2转换为
145.52.23.2