大型企业网络运维-PPT02-v1.0.pptVIP

实验环境 如图所示，要求配置标准ACL实现：禁止主机PC1访问主机PC2，而允许所有其他的流量 实验二：配置标准ACL实现需求3-1 R1 PC1 F0/0 F0/0 F0/0 R2 R3 PC2 /24 /24 /24 需求描述 主机PC1不能ping通，但可以ping通 问题分析 在哪个接口应用标准ACL 在哪台路由器应用标准ACL 实验二：配置标准ACL实现需求3-2 实现思路 配置路由实现网络互通 确定在哪台路由器、哪个接口应用标准ACL 配置标准ACL并应用到接口上 查看并验证配置 使用show access-lists命令查看ACL配置 使用ping命令验证配置 学员练习 实验二：配置标准ACL实现需求3-3 45分钟完成 * * * 说明TCP提供全双工服务，即数据可在同一时间双向传输。 TCP的编号要重点讲解。 * 首先，从网络管理员的需求说起，网络管理员经常面临进退两难的困境，他们必须设法拒绝那些不希望的访问连接，同时又要允许正常的访问连接，引出访问控制列表的概念。此处需要指出应用访问控制列表也是一项网络安全措施，着重培养学员的安全意识。 重点是强调ACL是一系列规则。 讲述访问控制列表的作用，指出访问控制列表的作用就是使用一系列规则来控制用户对于网络资源的访问。 结合幻灯片中IP数据包的组成，介绍访问控制列表（ACL）实现的核心技术是包过滤。ACL对流量进行归类，使不同流量类别对应不同的处理方式。路由器根据ACL中指定的条件来检测通过路由器的数据包，从而决定转发还是丢弃该数据包。 ACL使用源地址、目的地址、源端口号、目的端口号定义规则 * 说明从路由器的角度来看，数据包可以分为进入的和出去的数据包。明确在不同方向应用ACL时，是对哪部分数据流量进行过滤。 首先说明，是否应用了访问控制列表，设备对数据包处理过程是不一样的。 ACL是一组判断语句的集合，具体对下列数据包进行检测并控制：从入站接口进入设备的数据包；从出站接口离开设备的数据包。 设备会检查接口上是否应用了访问控制列表，从而进入不同的处理流程。如果接口应用了访问控制列表，则与该接口相关的一系列访问控制列表语句组合将进行检测。基于ACL的测试条件，数据包被允许或者被拒绝。教员结合幻灯片讲述ACL的处理过程，引导学员思考ACL语句顺序的重要性，可与学员讨论某些语句顺序颠倒之后，语句执行的效果。然后顺便介绍编辑访问控制列表语句的方法 注意事项 教员应当提醒学员注意以下几点： 1、访问控制列表对路由器本身产生的数据包不起作用 2、只有在数据包与第一个判断条件不匹配时，它才交给ACL中的下一个条件判断语句进行比较 3、在与某条语句匹配后，就结束比较过程，不再检查以后的其他条件判断语句 4、如果不与任一语句匹配，则它必与最后隐含的拒绝匹配 5、按照从具体到普遍的次序来排列条目 6、将较经常发生的条件放在较不经常发生的条件之前 * * * * * B e n e t BENET 4.0 B e n e t BENET 4.0 */30 BENET 4.0 B e n e t BENET 4.0 */35 B e n e t BENET 4.0 */35 第二章 访问控制列表（一） —— 理论部分 对B类地址/16使用子网掩码/19进行划分，计算出子网数？ 判断07/28所在的网络号是什么？该网络中IP地址范围及广播地址是什么？ 课程回顾 理解TCP和UDP报文首部的格式 理解TCP连接建立和终止的过程 理解ACL的基本原理 会配置标准ACL 技能展示 本章结构 访问控制列表概述 访问控制列表的工作原理 访问控制列表的类型 访问控制列表（一） TCP协议 标准访问控制列表的配置 TCP和UDP协议 创建ACL 标准ACL的配置实例 将ACL应用于接口 UDP协议 TCP/IP协议族的传输层协议主要有两个： TCP（Transmission Control Protocol ） 传输控制协议 UDP（User Datagram Protocol ） 用户数据报协议 TCP和UDP协议 数据链路层 网络层 传输层 应用层 物理层 TCP UDP TCP/IP TCP是面向连接的、可靠的进程到进程通信的协议 TCP提供全双工服务，即数据可在同一时间双向传输 TCP报文段 TCP将若干个字节构成一个分组，叫报文段（Segment） TCP报文段封装在IP数据报中 TCP协议 IP数据报 IP首部 TCP报文段 SYN：同步序号位，TCP需要建立连接时将该值设为1 ACK：确认序号位，当该位为1时，用于确认发送方的数据 FIN：当TCP断开连接时将该位置为1 TCP报文段 源端口号（16） 目标端口号（16） 序号（32） 确认号（32） 首部长