8-ZCNE-006-C1访问控制列表和地址转换
- 格式:pdf
- 大小:375.27 KB
- 文档页数:38


1 HCNE知识点总结
第一章
l 物理层的功能:电压水平,数据传输速率,最大传输距离,物理接口。
l 网络层协议有很多种,最常见的网络层协议主要有IP IPX NETBEUI。NETBEUI是不可路由协议。
l 传输层的基本功能:分段上层数据,建立端到端连接,将数据从一端主机传送到另一端主机,保证数据传输稳定性。
第二章 TCP/IP
l IP数据包如TCP包包含5个元素:协议号,源地址,目的地址,源端口,目的端口。
l TCP/IP环境中端口共有65535个端口号,其中1024个端口号默认提供给系统和一些经典应用层协议使用。
l TCP/IP的网络层包括互联网络控制消息协议ICMP,地址解析协议ARP,反向地址解析协议RARP.
l TCP特点:三次握手,差错检测,面向连接,速度慢,有顺序号和确认号。UDP速度快。
l ICMP中ECHO REQUEST由PING产生,主机可通过它测试网络的可达性,ECHO
REPLY表示该节点可达。
l A类从1――126,1600个地址;B类128――191,65534个地址;C类192――223,254个地.
l IPX特点:地址结构10个字节,接口的MAC地址是逻辑地址的一部分;多种封装格式;路由协议RIP;服务广告SAP;NETWARE客户机通过GNS请求寻求服务器。
l IP报文结构:IP报文头部中包含代表最小时延、最大吞吐量、最高可靠性等信息
l IP报文头部identification字段用来唯一标识每一份数据报文;
通常IP报文头部为20字节长
l 当路由器接到的IP报文的MTU大于该路由器的最大MTU时,会丢弃该分组。
l TTL的主要作用是防止IP报文在网络中循环转发,浪费带宽;在正常情况下,路由器不应从接口收到TTL=0的IP报文。
1 第十章 访问控制列表配置
教学目的:
1.了解访问控制列表的作用
2.了解标准访问控制列表与扩展访问列表的异同
3.掌握访问控制列表的原理
4.掌握访问列表的配置方法
知识点:
1.访问列表
2.包过滤
3.流量控制
4.通配掩码
10.1 访问控制列表(access-list)
一、访问列表的作用
访问控制列表是在使用路由技术的网络中,识别和过滤进入到网络或发出去的符合规定条件的数据流量,以决定是否允许发送或丢弃数据流量。
访问控制是控制流量的一种方法,是实现防火墙的重要手段。
二、访问列表的应用
1. 在物理接口上应用访问控制列表实现流量控制。
2. 在虚拟终端线路接口(vty)应用访问控制列表,实现对登录用户的控制。
3. 还可以应用到队列技术、按需拨号、VPN、NAT等。
三、访问列表的工作流程
1. 进方向上的工作流程: 2
2. 出方向上的工作流程:
四、访问列表的控制条件
根据IP数据包中包含的信息,可以对数据包的源IP地址、目的IP地址、被路由的协议类型、数据要访问的端口等作为判断条件。 3
五、访问列表执行流程
访问控制列表实际上是一些列判断语句,被过滤的数据包会一个个和这些条件语句进行比较,当符合条件则执行操作(permit或deny );否则进行下一条件判断。
六、注意事项
1. 访问控制列表的列表号指出是哪种协议的访问控制列表。
即每种协议(IP、IPX等)定义一个访问控制列表。
2. 一个访问控制列表的配置是每协议、每接口、每方向的。
每种协议可以定义进出两个控制访问控制列表。
3. 访问控制列表的顺序决定了对数据包控制顺序。
4. 在访问控制列表最后,有一条隐含的“全部拒绝”命令,因此在控制列表里至少有一条“允许”语句。
5. 访问控制列表只能过滤穿过路由器的数据流量,不能过滤路由器本身发出的数据包。
10.2 访问控制列表分类
访问控制列表有两种类型:标准访问控制列表、扩展访问控制列表。
实验八 网络地址转换
8.1 实验目的
1.理解静态内部源地址转换/端口地址转换工作原理
2.掌握静态内部源地址转换/端口地址转换的配置
3.掌握动态内部源地址转换的配置
4.理解静态转换、动态转换和端口转换的区别和使用
8.2 实验原理
目前互联网的一个重要问题是IP地址空间的衰竭,NAT的使用缓解了该问题。NAT特性的使用,使得一个组织的IP网络呈现给外部网络的IP地址,可以与正在使用的IP地址空间完全不同。这样一个组织就可以将本来非全局可路由地址通过NAT之后,变为全局可路由地址,实现了原有网络与互联网的连接,而不需要重新给每台主机分配IP地址。
NAT的一些术语
内部本地地址(Inside Local Address),是指分配给内部网络主机的IP地址,该地址可能是非法的未向相关机构注册的IP地址,也可能是合法的私有网络地址。
内部全局地址(Inside Global Address),合法的全局可路由地址,在外部网络代表着一个或多个内部本地地址。
外部本地地址(Outside Local Address),外部网络的主机在内部网络中表现的IP地址,该地址是内部可路由地址,一般不是注册的全局唯一地址。
外部全局地址(Outside Global Address),外部网络分配给外部主机的IP地址,该地址为全局可路由地址。
NAT地址转换的三种方式:
(1) 静态网络地址转换 static network address translation
(2) 动态转换 dynamic translation
(3) 端口地址转换 port address translation
NAT网络地址转换方法是1994年提出的,现在基本上所有路由器都支持NAT功能。NAT对应的RFC为[RFC3235, 3027,3022,2993,2663]。
NAT技术使得NAT设备维护了一个地址转换表,用来把私有的IP地址映射到合法的IP地址上去。每个数据包的地址在NAT设备中都被翻译成了正确的IP地址,这样,解决了IP地址衰竭的问题。
第十讲 访问控制列表
教学目标
1、 掌握访问控制列表的工作原理
2、 掌握访问控制列表的应用
重点难点
1、 反掩码(通配符)
2、 ACL语句的作用顺序
3、 访问控制列表的隐含语句
4、 标准访问控制列表和扩展访问控制列表的区别
应 知
1、 ACL的作用和基本原理
2、 反掩码(通配符)的使用
3、 标准访问控制列表和扩展访问控制列表的区别
4、 标准访问控制列表和扩展访问控制列表的放置位置
应 会
1、 标准ACL的定义和应用
2、 扩展ACL的定义和应用
教学方法
1、 宏观上采用“实例驱动”,在微观上采用“形象比喻”、“边看边学”,学生通过教师的演示学习ACL的配置方法。
2、 在课堂上注意讲、学、做相结合,注重与学生的互动,充分调动学生的积极性,培养学习兴趣、分析问题和解决问题的能力以及自学能力。
3、 课堂上引入专业词汇,要求学生掌握。
教学过程
1、 问题引入:为什么需要ACL?
2、 课程过程
(1) ACL介绍
基本原理:根据IP数据包的信息过虑数据包,ACL实际上是过滤型防火墙的原理 IP数据包中的信息:协议类型、源IP地址、目的IP地址、源端口、目的端口
以武警边防战士来比喻ACL
(2) 标准ACL的定义和应用
只检查源IP地址
反掩码(通配符)的使用方法:10.0.0.1 0.255.255.254表示以10开头的奇数IP地址
标准ACL的语句定义:access-list 10 permit 10.0.0.1 0.255.255.254
标准ACL中语句的作用顺序:从上而下、只要有一个语句匹配就停止后面语句的匹配。
标准ACL的隐含语句:deny any
标准ACL的应用:
Int f0/0
Ip access-group 1 in