第一节TCP/IP传输层与应用层TCP/IP OSITCP/IP：网络访问层协议1～3章第7 章TCP/IP：互联网络层协议5～6章Internet层的功能10.20.30.2/24172.16.1.2/24172.31.255.2/24●互联网络层给每个网络的每台网络设备和主机配置所属的IP地址，实现逻辑寻址。

●能够建立网络与网络、主机与主机之间的连通性，但不保证数据传输的可靠性。

TCP/IP：传输层协议●传输控制协议（TCP）✓面向连接，每传输一个数据分段，都建立一个连接✓可靠的传输●用户数据报协议（UDP）✓无连接，将数据分段发送出去后不确认对方是否已接收到✓不可靠，需要应用层协议提供可靠性TCP 与UDP 协议●TCP与UDP协议使用端口号来区分主机上同一时间的不同会话。

●TCP端口号范围为：0～65535●UDP端口号范围为：0～65535●传输层提供从源主机到目的主机的传输服务，在网络端点之间建立逻辑连接。

●传输层TCP协议能够实现数据传输的可靠性。

●传输层能够实现数据传输时的流控制。

主机之间的多会话●一台服务器可能提供多种服务，如Web和FTP ，在传输层用端口来区分每个应用服务。

●客户端也需要向多个目的发送不同的数据连接，使用端口区分每个连接。

●服务器使用知名端口号0～1023 提供服务。

●客户端使用高于1023的随机端口号作为源端口对外发起数据连接请求，并为每一个连接分配不TCP/IP：应用层协议●Web服务：HTTP ---TCP 80 号端口●文件传输服务：FTP ---TCP 20、21 号端口TFTP ---UDP 69 号端口●电子邮件服务：SMTP ---TCP 25 号端口POP3 ---TCP 110 号端口IMAP4 ---TCP 143 号端口●域名服务：DNS ---TCP、UDP 53 号端口●远程登录：Telnet ---TCP 23 号端口SSH ---TCP 22 号端口●网络管理：SNMP ---UDP 161 号端口第二节访问控制列表问题1能否实现以下限制：除了老板以外，其他员工只能访问互联网Web、FTP和电子邮件等常用服务，拒绝BT、电驴、在线电影、网络游戏甚至QQ、MSN等与工作无关的数据。

10.1.1.0/24172.16.1.0/24172.16.2.0/2410.1.2.0/24192.168.1.0/30R1R2.1.1.1.2.1.1172.16.1.8/24172.16.1.9/24财务应用服务器财务数据库服务器深圳上海财务部分公司财务部不可以访问财务数据库服务器财务部ACL 的作用●ACL （Access Control List ，访问控制列表先看一个简单的ACL 例子172.16.1.0/24172.16.2.0/24R1172.16.1.8/24财务应用服务器R1(config)# ip access-list standard permit_172.16.2.2R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0172.16.1.9/24财务数据库服务器.1.1172.16.2.2/24172.16.2.3/24标准ACL 的语法●Router(config)# ip access-list standard 访问控制列表名字（创建命名访问控制列表）将ACL应用到接口上●R1(config)# interface e1R1(config-if)# ip access-group permit_172.16.2.2out两种应用方式●R1(config)# interface e1172.16.1.0/24172.16.2.0/24R1172.16.1.8/24财务应用服务器172.16.1.9/24财务数据库服务器.1.1172.16.2.2/24172.16.2.3/24路由器使用ACL 处理数据包的过程路由器使用ACL处理数据包的过程•当一个数据包进入到路由器的一个接口时，路由器首先看在该接口的入站“in”方向有没有配置ACL，如果配置了，就按照ACL一条一条地判断，决定是否允许数据包进入；如果没有配置ACL，则直接允许进入接口。

•路由器根据路由选择表把数据包转发到出口接口，这个过程ACL不起作用。

•数据包准备从一个接口出去时，路由器再看在该接口的出站“out”方向有没有配置ACL，如果配置了，就按照ACL一条一条地判断，决定是否允许数据包离开；如果没有配置ACL，则直接放行。

“any”和“host”●R1(config-std-nacl)# permit 172.16.2.3 0.0.0.0●表示允许主机172.16.2.3（子网掩码是255.255.255.255，反掩码就是0.0.0.0），可以使用“host”表示一台主机。

●R1(config-std-nacl)# permit host 172.16.2.3●R1(config-std-nacl)# deny 0.0.0.0 255.255.255.255●表示拒绝所有的网络0.0.0.0（子网掩码是0.0.0.0，反掩码就是255.255.255.255），可以使用“any”表示任何网络，即所有IP。

●R1(config-std-nacl)# deny any另外一个标准ACL的例子1.允许主机A访问R22.拒绝除主机A以外的10.1.1.0/24网络访问R23.允许其它流量访问R2R2(config)# ip access-list standard std_aclR2(config-std-nacl)# permit host 10.1.1.100 R2(config-std-nacl)# deny 10.1.1.0 0.0.0.255 R2(config-std-nacl)# permit anyR2(config)# interface s0R2(config-if)# ip access-group std_acl in 尽量将标准访问控制列表应用在靠近目标的接口上扩展访问控制列表●标准访问控制列表只能根据数据包的源IP地址判断允许或拒绝通过。

●扩展访问控制列表能根据数据包的源IP地址、源端口号、目标IP地址、目标端口号等特征判断允许或拒绝通过。

●扩展访问控制列表给网络管理带来更多灵活性●包过滤防火墙就是使用扩展访问控制列表实现网络的安全性。

扩展ACL的语法●Router(config)# ip access-list extended 访问控制列表名字●Router(config-ext-nacl)# {permit|deny} 协议{源地址源地址的反掩码} [eq源端口号] {目标地址目标地址的反掩码} [eq目标端口号]●允许或拒绝来自于什么协议集的哪些主机的哪个端口到哪些目标主机的哪个端口●“协议”可以是tcp、udp、icmp、igmp或ip（ip包含上面4种协议），端口号如果不指定，则为全部端口！●可以配置多条判断语句，最后隐含一条“deny ip any any”。

扩展ACL例子●在R1上配置扩展ACL，完成以下5个任务：➢允许网络10.1.1.0/24的所有主机访问Web服务器192.168.1.100➢拒绝网络10.1.1.0/24的所有主机访问FTP服务器192.168.1.100➢拒绝网络10.1.1.0/24的所有主机Telnet路由器R2➢拒绝主机10.1.1.100/32 ping路由器R2➢允许其它所有数据详细配置-1●允许网络10.1.1.0/24的所有主机访问Web服务器192.168.1.100。

(Web服务端口：TCP 80)●R1(config)# ip access-list extended ext_acl详细配置-2●拒绝网络10.1.1.0/24的所有主机访问FTP服务器192.168.1.100。

（FTP服务端口：TCP20和21）●R1(config-ext-nacl)# deny tcp10.1.1.0 0.0.0.255详细配置-3●拒绝网络10.1.1.0/24的所有主机Telnet路由器R2●R2有两个端口s0和e0，都需要禁止TCP23号端口连接●R1(config-ext-nacl)# deny tcp10.1.1.0 0.0.0.255详细配置-4●拒绝主机10.1.1.100/32 ping路由器R2●Ping使用ICMP协议，所以“协议”一项写“icmp”！●R1(config-ext-nacl)# deny icmp host 10.1.1.100详细配置-5●允许其它所有数据：●R1(config-ext-nacl)# permit ip any any ●R1(config-ext-nacl)# exit显示ACL 配置交换机应用ACL●不同品牌的交换机应用ACL的方式不一样。

●锐捷三层交换机可以把ACL应用在：➢二层物理接口（普通交换接口）➢二层聚合端口➢三层物理接口（用“no switchport”改为三层模式）➢三层聚合端口➢VLAN虚拟三层接口（用“interface vlan VLAN_ID ”创建的虚拟接口）三层交换机ACL 实现在交换机上划分VLAN：VLAN 2、3、4端口VLAN分配：0/1:VLAN 10/2-4:VLAN 20/5:VLAN 30/6:VLAN 10/24:VLAN 4实现VLAN 间互通原有配置vlan1vlan2vlan3vlan4interface FastEthernet0/2switchport access vlan2 interface FastEthernet0/3switchport access vlan2 interface FastEthernet0/4switchport access vlan2 interface FastEthernet0/5switchport access vlan3interface FastEthernet0/24switchport access vlan4interface Vlan1ip address 192.168.1.1 255.255.255.0 interface Vlan2ip address 192.168.2.1 255.255.255.0 interface Vlan3ip address 192.168.3.1 255.255.255.0 interface Vlan4ip address 192.168.0.2 255.255.255.0分析用户需求●除了老板以外，其他员工只能访问互联网上的Web、FTP和电子邮件等常用服务。