NETWORK04 - DHCP、标准、扩展访问控制列表、NAT实现方式

本文介绍如何配置DHCP服务及访问控制列表(ACL),包括基本配置步骤、不同类型的ACL及其应用,同时涵盖网络地址转换(NAT)的概念与配置。

一、配置DHCP服务

1、全局ip dhcp pool  名字(定义地址池)

2、network 192.168.1.0 255.255.255.0(动态分配IP地址段)

3、default-router 192.168.1.254(动态分配的网关地址)

4、dns-server 202.106.0.20(动态分配的DNS服务器地址)

5、全局:ip dhcp excluded-address 192.168.1.1(预留已静态分配的IP地址)

附:1.给三层交换机创建vlan n

       2.给vlan配置ip地址,子网掩码

       3.把端口加入到vlan中 

       4.配置DHCP

 

二、 访问控制列表概述

1、访问控制列表(ACL):

读取第三层、第四层包头信息

根据预先定义好的规则对包进行过滤

2、 访问控制列表的处理过程

如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。

如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。

如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。

3、访问控制列表的类型:

1) 标准访问控制列表

基于源IP地址过滤数据包 

列表号是1~99 

2) 扩展访问控制列表

基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包 

列表号是100~199 

    标准访问控制列表

1、标准访问控制列表的创建

全局:access-list  1  deny  192.168.1.1  0.0.0.0

全局:access-list  1  permit  192.168.1.0  0.0.0.255

通配符掩码:也叫做反码。用二进制数0和1表示,如果某位为1,表明这一位不需要进行匹配操作,如果为0表明需要严格匹配。如果所有的规则都没匹配上,思科的设备默认是拒绝的。华为设备默认是允许的。

隐含拒绝语句:

access-list  1  deny  0.0.0.0  255.255.255.255

2、 将ACL应用于接口

接口模式:ip  access-group  列表号 in或out

注:access-list  1  deny  192.168.1.1  0.0.0.0或写为

access-list  1  deny  host  192.168.1.1

access-list  1  deny  0.0.0.0  255.255.255.255或写为

access-list  1  deny  any

3、 删除已建立的访问控制列表

全局:no  access-list 列表号

4、 接口上取消ACL

接口模式:no  ip  access-group  列表号in 或out

5、 查看访问控制列表

特权:show  access-lists


附:192.168.1.1能访问192.168.2.2不能访问192.168.2.3.设置标准访问列表,并将这个列表加入路由的f0/0端口的in方向

 

    扩展访问控制列表

1、作用

可以根据源IP地址,目的IP地址,指定协议,端口等过滤数据包。

2.扩展访问控制列表号:100-199

3、 eq等于、lt小于、gt大于

4、扩展访问控制列表案例:

例1:全局: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

(允许192.168.1.0网络访问192.168.2.0网络的所有服务)

全局: access-list 101 deny ip any any

(拒绝所有)

例2:全局: access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2  eq  80

(拒绝192.168.1.0网段访问192.168.2.2的TCP的80端口)

全局:access-list  101  permit  ip  any  any(允许访问所有)

5、删除扩展ACL

全局:no  access-list  列表号

注:扩展与标准ACL不能删除单条ACL语句,只能删除整个ACL。

6、扩展ACL应该应用在离源地址最近的路由器上。


附:在1.254对应的端口有扩展控制协议,里面有三条数据。

1.允许192.168.1.1访问192.168.3.1的www(80) 的服务。[ftp:21 talent:23]

2.拒绝192.168.1.1访问192.168.3.1的非www服务

2.允许192.168.1.1访问192.168.2.0这台主机




 

三、 NAT(网络地址转换)

1、 作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。

2、 优点:

节省公有合法IP地址

处理地址重叠

安全性

3、NAT的缺点

延迟增大

配置和维护的复杂性

不支持某些应用,可以通过静态NAT映射来避免

4、NAT实现方式

1) 静态转换

IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特设定服务器的访问。

静态NAT配置:

配置接口IP及路由

全局:

Ip nat inside source static 192.168.1.1 61.159.62.131

在内外接口上启用NAT:

进入出口配置:接口模式:ip  nat  outside

进入入口配置:接口模式:ip  nat  inside 

端口映射:

ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80 

2) 端口多路复用(PAT)

通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可共享一个合法IP地址实现互联网的访问,节约IP

PAT的配置:

进入入口配置:ip nat inside

进入出口配置:ip nat outside

全局:access-list 1 permit any

全局:ip nat inside source list 1 interface f0/1 overload

附:公司常用架构图

192.168.0.1和192.168.0.2这两台服务器都共享路由器的f0/0端口上的共有IP 100.0.0.1,通过这个端口的共有IP访问到外部网络。

 

5、NAT两种实现方式的区别:

静态转换的对应关系一对一且不变,并且没有节约公用IP,只隐藏了主机的真实地址。

端口多路复用可以使所有内部网络主机共享一个合法的外部IP地址,从而最大限度地节约IP地址资源。


NAT的查看命令

查看NAT转换条目

特权:show  ip  nat  translations   显示当前存在的转换

清除NAT转换条目

1、特权: clear ip nat translation * 清除NAT转换条目中的所有所条目

注:静态NAT条目不会被清除

显示每个转换的数据包

特权:debug  ip  nat 

S表示源地址

D表示目的地址

192.168.1.2->61.159.62.130表示将192.168.1.2转换为61.159.62.130

————————————————————————————————————————

练习1

1,为路由器g0/0接口配置ip192.168.1.254

Router(config)#interfacegigabitEthernet 0/0

Router(config-if)#ipaddress 192.168.1.254 255.255.255.0

Router(config-if)#no shutdown


为路由器g0/1接口配置ip192.168.2.254

Router(config)#interfacegigabitEthernet 0/1

Router(config-if)#ipaddress 192.168.2.254 255.255.255.0

Router(config-if)#no shutdown


2,为每台pc配置ip与网关

3,使用标准acl限制pc2

Router(config)#access-list1 deny 192.168.2.1 0.0.0.0

Router(config)#access-list1 deny host 192.168.2.1

以上两条配置其中一条即可,效果相同。

4,放行其他数据

Router(config)#access-list1 permit any

5,在接口中应用acl

Router(config)#interfacegigabitEthernet 0/1

Router(config-if)#ipaccess-group 1 in



练习2

注:此配置需要在练习1的基础上完成

Router(config)#noaccess-list 1

Router(config)#access-list1 permit192.168.2.1 0.0.0.0

Router(config)#access-list1 permit host 192.168.2.1

以上两条配置其中一条即可,效果相同。


练习3

注:此配置需要在练习2的基础上完成

Router(config)#no access-list 1

Router(config)#access-list 100 deny tcp host 192.168.2.1 host 192.168.1.1 eq 21

Router(config)#access-list 100 deny tcp host 192.168.2.2 host 192.168.1.1 eq 80

Router(config)#access-list 100 permit ip any any 


在接口中应用acl

Router(config)#interfacegigabitEthernet 0/1

Router(config-if)#ipaccess-group 100 in


练习4

1,首先配置路由器的接口地址

Router(config)#interfaceg0/1

Router(config-if)#ipaddress 100.0.0.1 255.0.0.0

Router(config-if)#noshut

Router(config)#interfaceg0/0

Router(config-if)#ipaddress 192.168.1.254 255.255.255.0

Router(config-if)#noshut

2,配置静态nat转换

Router(config)#ipnat inside source static 192.168.1.1 100.0.0.2

Router(config)#ipnat inside source static 192.168.1.2 100.0.0.3

3,在内部和外部端口上启用NAT

Router(config)#interfaceg0/1

Router(config-if)#ipnat outside

Router(config)#interfaceg0/0

Router(config-if)#ipnat inside

4,为pc配置ip地址与网关,pc3无需配置网关



练习5

注:此配置需要在练习4的基础上完成


Router(config)#noip nat inside source static 192.168.1.1 100.0.0.2

Router(config)#noip nat inside source static 192.168.1.2 100.0.0.3


Router(config)#ipnat inside source static tcp 192.168.1.1 80 100.0.0.2 80


练习6

注:此配置需要在练习5的基础上完成

Router(config)#noip nat inside source static tcp 192.168.1.1 80 100.0.0.2 80


使用acl定义内部ip地址

Router(config)#access-list1 permit 192.168.1.00.0.0.255

使用pat复用外网接口地址

Router(config)#ipnat inside source list 1 interface g0/1 overload

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值