传输层的作用:
1、提供点到点的连接
2、提供端到端的连接
传输层的协议
1、TCP
传输控制协议
可靠的、面向连接的协议
传输效率低
2、UDP
用户数据报协议
不可靠的、无连接的服务
传输效率高
LISTEN - 侦听来自远方TCP端口的连接请求;
SYN-SEND - 在发送连接请求后等待匹配的链接请求
SYN-RECEIVED - 在收到和发送一个连接请求后等待对连接请求的确认;
ESTABLISHED - 代表一个打开的连接,数据可以传送给用户;
FIN-WAIT-1 - 等待远程TCP的连接中断请求,或先前的连接中断请求的确认;
FIN-WAIT-2 - 从远程TCP等待连接中断请求;
CLOSE-WAIT - 等待从本地用户发来的连接中断请求;
LAST-ACK - 等待原来发向远程TCP的连接中断请求的确认;
TIME-WAIT - 等待足够的时间以确保远程TCP接收到连接中断请求的确认;
CLOSED - 没有任何连接状态;
CLOSING - 同时发起关闭状态,从 FIN-WAIT-1 --> CLOSING --> TIME-WAIT
tcp的应用:
常用的有
端口 | 协议 | 说明 |
---|---|---|
21 | FTP | 文件传输协议,用于上传、下载 |
23 | Telnet | 用于远程登录,通过链接目标计算机这一端口,得到验证后可以远程控制管理目标主机 |
25 | SMTP | 简单邮件传输协议,用于发送邮件 |
53 | DNS | 域名服务,当用户输入网站的域名后,DNS负责解析成IP地址 |
80 | HTTP | 超文本传输协议,通过HTTP实现网络上超文本传输 |
UDP的封装格式
0←→15 | 16←→31 |
---|---|
16位源端口号 | 16位目标端口号 |
16位UDP长度 | 16位UDP校检和 |
数据 | 数据 |
UDP长度:用来指出UDP的总长度
校检和:用来完成UDP数据的差错检验,它是UDP协议提供的唯一的可靠机制
UDP的应用
端口 | 协议 | 说明 |
---|---|---|
69 | TFTP | 简单文件传输协议 |
53 | DNS | 域名服务 |
123 | NTP | 网络时间协议 |
UDP的流控和差错检验:
UDP缺乏可靠机制,只有检验和来提供差错控制
需要上层协议来提供差错控制:如TFTP协议
访问控制列表(ACL)
读取第三层、第四层头部信息(IP报头、TCP报头)
根据预先定义好的规则对数据进行过滤
访问控制列表的工作原理
访问控制列表的类型:
1、标准访问控制列表
2、扩展访问控制列表
Network Address Translation 网络地址转换
作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。
私有IP地址分类:
A类:10.0.0.0~10.255.255.255
B类:172.16.0.0~172.31.255.255
C类:192.168.0.0~192.168.255.255
NAT的优缺点:
NAT实现方式
1、静态转换
2、端口多路复用
IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特定服务器的访问。
静态NAT配置
1、接口IP地址配置
2、决定需要转换的主机地址
3、决定采用什么公有地址
4、在内部和外部端口上启用NAT
ip nat inside source static local-ip global-ip
例如:Router(config)#ip nat inside source static 192.168.1.2 100.0.0.3
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip nat inside //内部上启用NAT
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip nat outside //外部端口启用NAT
NAT端口映射配置
Router(config)#ip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80
通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可以共享一个合法IP地址实现互联网的互访,节约IP。
PAT的配置
1、接口IP地址配置
2、使用访问控制列表定义哪些内部主机能做PAT
3、确定路由器外部接口,并在内外部端口都启用NAT
定义内部ip地址
access-list 1 permit 192.168.1.0 0.0.0.255
设置复用动态IP地址转换
ip nat source list 1 interface g 0/1 overload
在内外端口上启用NAT,以及配置默认路由
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface gigabitEthernet 0/1 overload
Router(config)#interface gigabitEthernet 0/1
Router(config-if)#ip access-group 1 out
access-list access-list-number {permit | deny} source [source-wildcard] //创建acl
关键字:
-host
-any 所有人
deny(拒绝)
permit(允许)
ip access-group access-list-number{in|out}
no ip access-group access-list-number {in|out}
show access-lists
no access-list access-list-number
Router(config)#access-list 1 deny 192.168.2.1 0.0.0.0 //禁止192.168.2.1访问192.168.1.1
或
Router(config)#access-list 1 deny host 192.168.2.1
Router(config)#interface gigabitEthernet 0/1 //进入0/1接口
Router(config-if)#ip access-group 1 in //应用acl(1为配置的acl编号)
access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard } [operator operan]
禁止192.168.2.1访问192.168.1.1的ftp服务
Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21
禁止192.168.2.2访问192.168.1.1的web服务
Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80
开启nat排错功能
Router#debug ip nat
S表示源地址
D表示目的地址
192.168.1.2->61.159.62.130表示将192.168.1.2转换为61.159.62.130
关闭nat排错功能
Router#undebug ip nat