高级网络应用复习——TCP与UDP,ACL列表, 防火墙,NAT复习与实验(带命令)
作者简介:一名在校云计算网络运维学生、每天分享网络运维的学习经验、和学习笔记。
座右铭:低头赶路,敬事如仪
个人主页:网络豆的主页
目录
前言
一.知识点总结
1.传输层的协议
(1)TCP 和 UDP 协议
(2)TCP 协议的数据段格式
(3)DUP协议的特点
2.ACL访问控制列表
(1)ACL 的运作原理
(2)这个表如何检查的
(3)ACL 的分类
(4)ACL 标准和扩展的配置
3.NAT (nat address translation) 网络地址转换
(1)NAT作用
(2)NAT 特点
(3)NAT 分类
(4)nat 优点
(5)nat 缺点
(6)NAT 配置(静态nat 动态nat pat 静态端口映射)
4.ASA防火墙
静态nat
二.PAT和静态端口映射实验
实验要求
实验命令
前言
本章将会复习:传输层的协议 TCP 和 UDP 协议,ACL访问控制列表,NAT (nat address translation) 网络地址转换,防火墙配置。
一.知识点总结
1.传输层的协议
(1)TCP 和 UDP 协议
tcp, 传输控制协议, 有保障的稳定的传输链接协议,需要建立双向链接。
- 保证链接双方的活跃度和正常传输数据
- 支持的主要服务 ftp ssh telnet http 远程桌面 等
udp, 用户数据包协议, 即时性强,免去繁琐的验证过程
- 没有保证的链接协议,在传输过程中不必验证对方是否存在
- 支持的服务主要有 ntp dhcp dns 等
(2)TCP 协议的数据段格式
三次握手和四次挥手
- 三次握手,即客户端与服务端进行的三次通信
- 四次挥手,就是客户端和服务端通过四次通信释放连接,也叫连接终止协议。
(3)DUP协议的特点
- UDP协议的特点就是无连接、不可靠、面向数据报的,
- 整个过程就像是一个寄信的过程,每次接收和发送数据均是整条进行发送。
2.ACL访问控制列表
作用, 对网络访问进行具体的控制
(1)ACL 的运作原理
- ACL 是一张配置的表(通过命令配置)
- ACl 这个表应用到接口的入口或者出口
(2)这个表如何检查的
- 自上而下匹配
- 匹配到一条后就不再往下匹配
- 如果表中都没有匹配到,默认拒绝
ACL 匹配的是数据包的那部分内容
是 传输层端口号 和网络层地址部分的内容
(3)ACL 的分类
- 标准acl
- 扩展acl
- 命名acl
(4)ACL 标准和扩展的配置
创建标准ACL的语法如下:
Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]创建扩展的ACL语法如下:
Router(config)#access-list access-list-number {permit|deny} protocol {source souce-wildcard destination destination-wildcard} [operator operan]3.NAT (nat address translation) 网络地址转换
(1)NAT作用
- 将私有地址转换为公有地址
- 可以有效节省ipv4地址(主要是公有地址)
(2)NAT 特点
- NAT允许对内部网络实行私有编址,从而维护合法注册的公有全局编址方案,并节省IP地址;
- NAT增强了公有网络连接的灵活性
(3)NAT 分类
静态nat 一对一(一个私网地址对应转换为一个公网地址)
- 192.168.1.1 —— 202.106.0.2
静态端口映射 (几个私网地址转换为一个公网地址,根据不同端口区分)
- 192.168.100.100:80 —— 202.106.0.150:80
- 192.168.100.200:23 —— 202.106.0.150:23
一般用在公司内部服务器通过映射让外网可以访问
动态nat 一组对一组 (实际上也是一对一 不过是随机的,每次都不同)
- 一般不用
pat 动态端口端口映射 (多对一 就是内网整个网络对一一个外网地址,)
- 192.168.1.0、24 —— 202.106.0.1
一般用在内网客户机访问外网的情况下
(4)nat 优点
- 有效节省IP 地址
- 避免地址重叠
- 增加内网安全性
- 增加了内网和外网链接灵活性
(5)nat 缺点
- 增加了网络延迟
- 有些网络服务并不支持
(6)NAT 配置(静态nat 动态nat pat 静态端口映射)
路由器的
静态nat
ip nat inside source static 内部服务器地址 外网公网地址
静态端口映射
ip nat inside source static tcp 内部服务器地址 端口号 外网公网地址 端口号
pat
access-list 1 permit 内网客户端主机网段地址 子网掩码
ip nat inside source list 1 int 路由器外接口编号 overload
4.ASA防火墙
静态nat
static(dmz, outside) 外网公网地址 dmz 服务器地址
access-list abc permit ip any host 外网公网地址
access-group abc in int outside
静态pat
static(dmz, outside) tcp 外网公网地址 端口号 dmz服务器地址 端口号
access-list abc permit ip any host 外网公网地址
access-group abc in int outside
动态pat
nat(inside) 1 内网网段地址 子网掩码
global(outside) 1 interface
动态nat
nat(inside) 1 内网网段地址 子网掩码
global(outside) 1 外网起始地址—外网结束地址
二.PAT和静态端口映射实验
实验要求
- 全网通
- 配置PAT
- 配置静态nat
- 删掉静态nat 配置 静态端口映射
实验命令
isp 路由器配置
Router>en
Router#conf t
Router(config)#int f0/0
Router(config-if)#ip add 202.106.0.2 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f0/1
Router(config-if)#ip add 201.0.0.1 255.255.255.0
Router(config-if)#no sh
router0路由器配置
Router>
Router>en
Router(config)#int f1/0
Router(config-if)#ip add 192.168.1.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f1/1
Router(config-if)#ip add 192.168.2.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f0/1
Router(config-if)#ip add 172.16.0.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int f0/0
Router(config-if)#ip add 202.106.0.1 255.255.255.0
Router(config-if)#no sh
Router(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2
配置pat
Router(config)#access-list 1 permit any
Router(config)#ip nat inside source list 1 int f0/0 overload
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config)#int f1/0
Router(config-if)#ip nat inside
Router(config-if)#int f1/1
Router(config-if)#ip nat inside
配置静态nat
Router(config)#ip nat inside source static 172.16.0.100 202.106.0.100
Router(config)#ip nat inside source static 172.16.0.200 202.106.0.200
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#
Router(config-if)#exit
删掉静态nat 配置 静态端口映射
Router(config)#no ip nat inside source static 172.16.0.200 202.106.0.200
Router(config)#no ip nat inside source static 172.16.0.100 202.106.0.100
Router(config)#ip nat inside source static tcp 172.16.0.100 80 202.106.0.150 80
Router(config)#ip nat inside source static tcp 172.16.0.200 21 202.106.0.150 21
创作不易,求关注,点赞,收藏,谢谢~