4傳輸層

傳輸層

做用
網絡層: 提供點到點的鏈接
傳輸層: 提供端到端的鏈接
------------------------------------------------
協議

TCP
傳輸控制協議
可靠的、面向鏈接的協議
傳輸效率低

UDP
用戶數據報協議
不可靠的、無鏈接的服務
傳輸效率高
---------------------------------------------------
TCP的封裝格式

16位源端口號 16位目標端口號
32位序列號
32位確認號
4位首部長度 保留(6位) URG ACK PSH RST SYN FIN 16位窗口大小
16位校驗和 16位緊急指針
可選項
數據
-----------------------------------------------------
TCP的鏈接

三次握手:
1 A主機： 發送 SYN ,請求創建鏈接
2 B主機： 發送 SYN 、ACK
3 A主機： 發送ACK

四次斷開:
1 A主機：發送 FIN,請求斷開鏈接
2 B主機： 發送 ACK
3 B主機： 發送 FIN,請求斷開鏈接
4 A主機：發送ACK
----------------------------------------------------------
TCP的應用

FTP 文件傳輸協議，上傳，下載 21
Telnet 遠程登錄 23
SMTP 簡單郵件傳輸協議，發郵件 25
DNS 域名解析服務 53
HTTP 超文本傳輸協議 80
-----------------------------------------------------------
UDP協議

UDP的封裝格式
16位源端口號 16位目標端口號
16位UDP長度 16位UDP校驗和
數據
-------------------------------------------------------------
UDP的應用

TFTP 簡單文件傳輸協議 69
DNS 域名解析服務 53
NTP 網絡時間協議 123
-------------------------------------------------------------
UDP的流控和差錯控制

UDP缺少可靠機制
UDP只有校驗和來提供差錯控制
須要上層協議來提供差錯控制: 例如TFTP協議

TFTP協議提供分塊傳輸、分塊確認機制,保證數據傳輸的可靠性
-------------------------------------------------------------
acl

訪問控制列表(ACL)
讀取第三層、第四層 頭部信息
根據預先定義好的規則對數據進行過濾

ACL利用如下4個元素定義規則。
IP報頭: 源/目的(地址)
TCP報頭: 源/目的(端口)
--------------------------------------------------------------
工做原理

訪問控制列表在接口應用的方向
出: 已通過路由器的處理,正離開路由器接口的數據包
入: 已到達路由器接口的數據包,將被路由器處理

入/出(方向)
列表應用到接口的方向與數據方向有關
------------------------------------------------------------
處理過程

到達訪問控制組接口的數據包，匹配第一條。
若是第一條不匹配，則匹配下一條。
依此類推，若是一直到最後都不匹配，則「隱含的拒絕」，丟棄數據包。

acl 隱含的拒絕 相似白名單,沒提到的不讓經過。

反掩碼 0是嚴格匹配，255是不關心

一旦寫錯了，no掉，它會所有都刪除的，因此一開始就要寫對，能夠寫到文本里確認無誤再敲命令。
ip access-group 1 in 這個1的組只用寫一次

1個接口只能應用一個列表！
-------------------------------------------------------------
類型

(標準)訪問控制列表
基於源IP地址過濾數據包
標準訪問控制列表的訪問控制列表號是 1~99

(擴展)訪問控制列表
基於源/目的IP地址、指定協議、端口來過濾數據包
擴展訪問控制列表的訪問控制列表號是 100~199
---------------------------------------------------------------
標準ACL配置

建立ACL
Router(config)#access-list access-list-number { permit | deny } source [ source-wildcard ]
容許數據包經過 拒絕數據包經過

應用實例
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)# access-list 1 permit 192.168.2.2 0.0.0.0
容許192.168.1.0/24和主機192.168.2.2的流量經過

隱含的拒絕語句
Router(config)# access-list 1 deny 0.0.0.0 255.255.255.255

關鍵字
host
any

將ACL應用於接口
Router(config-if)# ip access-group access-list-number {in |out}
如：ip access-group 1 in

在接口上取消ACL的應用
Router(config-if)# no ip access-group access-list-number {in |out}

查看訪問控制列表
Router(config)# Show access-lists

刪除ACL
Router(config)# no access-list access-list-number
------------------------------------------------------------------------------------------------------
擴展訪問控制列表的配置

建立ACL
Router(config)# access-list access-list-number { permit | deny }
protocol { source source-wildcard destination destination-wildcard } [ operator operan ]

應用實例
Router(config)# access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80
Router(config)# access-list 101 permit ip any any
----------------------------------------------------------------------------------------------------------
NAT
Network Address Translation,網絡地址轉換

做用
經過將內部網絡的私有IP地址翻譯成全球惟一的公網IP地址,使內部網絡能夠鏈接到互聯網等外部網絡上。
------------------------------------------------------------------------------------------------------------
私有IP地址分類

A類 10.0.0.0 ~ 10.255.255.255
B類 172.16.0.0 ~ 172.31.255.255
C類 192.168.0.0 ~ 192.168.255.255
--------------------------------------------------------
NAT

優勢：
節省公有合法IP地址
處理地址重疊
安全性

缺點：
延遲增大
配置和維護的複雜性
---------------------------------------------------------
NAT實現方式：

靜態轉換 ：適用於服務器
端口多路複用：適用於公司裏的我的電腦

undebug ip nat #取消
----------------------------------------------------------
靜態NAT

靜態轉換
IP地址的對應關係是一對一,並且是不變的,藉助靜態轉換,能實現外部網絡對內部網絡中某些特設定服務器的訪問。

靜態NAT配置步驟：
接口IP地址配置
決定須要轉換的主機地址
決定採用什麼公有地址
在內部和外部接口上啓用NAT

Router(config)#ip nat inside source static local-ip global-ip
-------------------------------------------------------------
靜態NAT的配置(續1)
將內網地址192.168.1.1靜態轉換爲合法的外部地址100.0.0.2以便訪問外網。

設置外部接口的IP地址:

Router(config)#interface g0/1
Router(config-if)#ip address 100.0.0.1 255.0.0.0
Router(config-if)#no shut

設置內部接口的IP地址:
Router(config)#interface g0/0
Router(config-if)#ip address 192.168.1.254 255.255.255.0
Router(config-if)#no shut

創建靜態地址轉換
Router(config)#ip nat inside source static 192.168.1.1 100.0.0.2

在內部和外部接口上啓用NAT
Router(config)#interface g0/1
Router(config-if)#ip nat outside
Router(config)#interface g0/0
Router(config-if)#ip nat inside
---------------------------------------------------------------
端口多路複用(PAT)

做用
經過改變外出數據包的源IP地址和源端口並進行端口轉換,內部網絡的全部主機都可共享一個合法IP地址實現互聯網的訪問,節約IP。

PAT配置步驟：
接口IP地址配置
使用訪問控制列表定義哪些內部主機能作PAT
肯定路由器外部接口
在內部和外部接口上啓用NAT
-----------------------------------------------------------------
PAT的配置

定義內部ip地址
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

設置複用動態IP地址轉換外部接口
Router(config)#ip nat inside source list 1 interface g0/1 overload

在內部和外部接口上啓用NAT,以及配置默認路由
與靜態NAT配置相同
-----------------------------------------------------------------------
跟蹤NAT
debug ip nat命令跟蹤NAT操做

R1#debug ip nat
IP NAT debugging is on
*Mar 1 00:03:56.875: NAT: s=192.168.4.2->145.52.23.2, d=1.1.1.1 52225]
*Mar 1 00:03:57.667: NAT*: s=192.168.4.2->145.52.23.2, d=1.1.1.1 [52481]
*Mar 1 00:03:57.811: NAT*: s=1.1.1.1, d=145.52.23.2->192.168.4.2 [52481]

s=192.168.4.2表示源地址是192.168.4.2d=1.1.1.1表示目的地址是1.1.1.1192.168.4.2->145.52.23.2表示將地址192.168.4.2轉換爲145.52.23.2