网络设备调试20标准访问控制列表

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,主讲教师：马宇麟,授课专业：计算机应用技术,第,20,讲 标准访问控制列表,网络设备调试,简述,PPP,协议的特点,PPP,协议的认证方式有哪些？各有什么特点？,配置,PPP,协议时的注意事项有哪些？,课程回顾,本章结构,访问控制列表概述,访问控制列表的工作原理,访问控制列表的类型,标准访问,控制,列表,TCP,协议,标准访问控制列表的配置,TCP,和,UDP,协议,创建,ACL,标准,ACL,的配置实例,将,ACL,应用于接口,UDP,协议,TCP/IP,协议族的传输层协议主要有两个：,TCP,（,Transmission Control Protocol,）,传输控制协议,UDP,（,User Datagram Protocol,）,用户数据报协议,TCP,和,UDP,协议,数据链路层,网络层,传输层,应用层,物理层,TCP,UDP,TCP/IP,TCP,是面向连接的、可靠的进程到进程通信的协议,TCP,提供全双工服务，即数据可在同一时间双向传输,TCP,报文段,TCP,将若干个字节构成一个分组，叫报文段（,Segment,）,TCP,报文段封装在,IP,数据报中,TCP,协议,IP数据报,IP,首部,TCP,报文段,SYN,：同步序号位，,TCP,需要建立连接时将该值设为,1,ACK,：确认序号位，当该位为,1,时，用于确认发送方的数据,FIN,：当,TCP,断开连接时将该位置为,1,TCP,报文段,源端口号（,16,）,目标端口号（,16,）,序号（,32,）,确认号（,32,）,首部长度（,4,）,保留（,6,）,URG,ACK,PSH,RST,SYN,FIN,窗口大小（,16,）,校验和（,16,）,紧急指针（,16,）,选项,序号：发送端为每个字节进行编号，便于接收端正确重组,确认号：用于确认发送端的信息,窗口大小：用于说明本地可接收数据段的数目，窗口大小是可变的,TCP,建立连接的过程称为三次握手,TCP,连接,4-1,PC1,PC2,1.,发送,SYN,报文,（,Seq=x,，,SYN=1,）,2.,发送,SYN,ACK,报文,（,Seq=y,，,Ack=x+1,，,SYN=1,，,ACK,1,）,3.,发送,ACK,报文,（,Seq=x+1,，,Ack=y+1,，,ACK=1,）,通过,Sniffer,抓包来分析三次握手的过程,第一次握手,第二次握手,第三次握手,TCP,连接,4-2,SYN=1,ACK=1,SYN=1,ACK=1,TCP,断开连接的四次握手,TCP,连接,4-3,TCP,半关闭的概念,PC1,PC2,2.,发送,ACK,报文,（,ACK,1,）,3.,发送,FIN/ACK,报文,（,FIN=1,，,ACK=1,）,4.,发送,ACK,报文,（,ACK,1,）,1.,发送,FIN/ACK,（,FIN=1,，,ACK=1,）,此时，,PC2,能给,PC1,发送数据吗？,常用的,TCP,端口号及其功能,TCP,连接,4-4,端口,协议,说明,21,FTP,FTP,服务器所开放的控制端口,23,TELNET,用于远程登录，可以远程控制管理目标计算机,25,SMTP,SMTP,服务器开放的端口，用于发送邮件,80,HTTP,超文本传输协议,110,POP3,用于邮件的接收,UDP,协议,无连接、不可靠的传输协议,花费的开销小,UDP,报文的首部格式,UDP,长度：用来指出,UDP,的总长度，为首部加上数据,校验和：用来完成对,UDP,数据的差错检验，它是,UDP,协议提供的唯一的可靠机制,UDP,协议,2-1,源端口号（,16,）,目标端口号（,16,）,UDP,长度（,16,）,UDP,校验和（,16,）,常用的,UDP,端口号及其功能,UDP,协议,2-2,端口,协议,说明,69,TFTP,简单文件传输协议,111,RPC,远程过程调用,123,NTP,网络时间协议,请思考：,简述,TCP,与,UDP,区别？,TCP,建立连接需要三次握手，为什么终止连接需要四次握手？,列举常见的,TCP,、,UDP,端口有哪些？,小结,访问控制列表（,ACL,）,读取第三层、第四层包头信息,根据预先定义好的规则对包进行过滤,访问控制列表概述,IP,报头,TCP,报头,数据,源地址,目的地址,源,端口,目的端口,访问控制列表利用这,4,个元素定义的规则,访问控制列表在接口应用的方向,出：已经过路由器的处理，正离开路由器接口的数据包,入：已到达路由器接口的数据包，将被路由器处理,列表应用到接口的方向与数据方向有关,访问控制列表的工作原理,2-1,F0/0,F1/0,入方向,出方向,访问控制列表的处理过程,访问控制列表的工作原理,2-2,拒绝,允许,允许,允许,到达访问控制组接口的数据包,匹配,第一条,目的接口,隐含的,拒绝,丢弃,Y,Y,Y,Y,Y,Y,N,N,N,匹配,下一条,拒绝,拒绝,拒绝,匹配,下一条,标准访问控制列表,基于源,IP,地址过滤数据包,标准访问控制列表的访问控制列表号是,1,99,扩展访问控制列表,基于源,IP,地址、目的,IP,地址、指定协议、端口和标志来过滤数据包,扩展访问控制列表的访问控制列表号是,100,199,命名访问控制列表,命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号,访问控制列表的类型,创建,ACL,Router,(config),#access-list,access-list-number,permit|deny,source,source-wildcard,删除,ACL,Router(config)#no access-list,access-list-number,标准访问控制列表的配置,3-1,允许数据包通过,拒绝数据包通过,标准访问控制列表的配置,3-2,应用实例,Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255,Router(config)#access-list 1 permit 192.168.2.2 0.0.0.0,允许,192.168.1.0/24,和主机,192.168.2.2,的流量通过,隐含的拒绝语句,Router(config)#access-list 1 deny 0.0.0.0 255.255.255.255,关键字,host,any,将,ACL,应用于接口,Router(config-if)#ip access-group,access-list-number,in|out,在接口上取消,ACL,的应用,Router(config-if)#no ip access-group,access-list-number,in|out,标准访问控制列表的配置,3-3,需求描述,禁止主机,PC2,访问主机,PC1,，而允许所有其他的流量,在哪个接口应用标准,ACL,应用在入方向还是出方向,标准,ACL,的配置实例,192.168.1.1/24,F0/0,F0/1,R1,PC1,PC2,PC3,192.168.2.2/24,192.168.2.3/24,R1(config)#access-list 1 deny host 192.168.2.2,R1(config)#access-list 1 permit any,R1(config)#int f0/1,R1(config-if)#ip access-group 1 in,R1#show access-lists,Standard IP access list 1,10 deny 192.168.2.2,20 permit any,本章总结,访问控制列表概述,访问控制列表的工作原理,访问控制列表的类型,标准访问控制列表,TCP,协议,标准访问控制列表的配置,TCP,和,UDP,协议,创建,ACL,标准,ACL,的配置实例,将,ACL,应用于接口,UDP,协议,实验环境,两台,Windows 2008,主机，配置,IIS,搭建,FTP,服务器，在客户端主机安装,Sniffer,软件,课堂练习：,观察,TCP,建立链接的过程,2-1,需求描述,在客户端通过被动模式连接,FTP,服务器，观察,TCP,的建立过程,实现思路,准备工作,在客户端运行,Sniffer,抓包，通过,IE,浏览器访问,FTP,服务器,过滤数据,过滤范围：在,FTP,服务器和客户端主机之间,分析数据,分析三次握手的数据报文内容,课堂练习：,观察,TCP,建立链接的过程,2-2,实验环境,如图所示，要求配置标准,ACL,实现：禁止主机,PC1,访问主机,PC2,，而允许所有其他的流量,课后作业,：配置标准,ACL,实现需求,3-1,R1,PC1,F0/0,F0/0,F0/0,R2,R3,PC2,192.168.2.0/24,192.168.1.1/24,192.168.3.1/24,需求描述,主机,PC1,不能,ping,通,192.168.3.1,，但可以,ping,通,192.168.2.1,问题分析,在哪个接口应用标准,ACL,在哪台路由器应用标准,ACL,课后作业,：配置标准,ACL,实现需求,3-2,实现思路,配置路由实现网络互通,确定在哪台路由器、哪个接口应用标准,ACL,配置标准,ACL,并应用到接口上,查看并验证配置,使用,show access-lists,命令查看,ACL,配置,使用,ping,命令验证配置,课后作业,：配置标准,ACL,实现需求,3-3,