网络运维中DHCP ACL NAT的配置

配置DHCP服务

1、全局：ip dhcp pool 名字（定义地址池）

2、network 192.168.1.0 255.255.255.0（动态分配IP地址段）

3、default-router 192.168.1.254（动态分配的网关地址）

4、dns-server 202.106.0.20（动态分配的DNS服务器地址）

5、全局：ip dhcp excluded-address 192.168.1.1 192.168.1.10 （预留已静态分配的IP地址）

 

一、访问控制列表概述

1、访问控制列表（ACL）：

    读取第三层、第四层包头信息

    根据预先定义好的规则对包进行过滤

2、访问控制列表的处理过程（匹配即停止）

    如果匹配第一条规则，则不再往下检查，路由器将决定该数据包允许通过或拒绝通过。

    如果不匹配第一条规则，则依次往下检查，直到有任何一条规则匹配。

    如果最后没有任何一条规则匹配，则路由器根据默认的规则将丢弃该数据包。

3、访问控制列表的类型：

    1）标准访问控制列表

    基于源IP地址过滤数据包 

    列表号是1～99 

    2）扩展访问控制列表

    基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包 

    列表号是100～199 

 

二、标准访问控制列表

1、标准访问控制列表的创建

全局：access-list  1  deny  192.168.1.1  0.0.0.0

全局：access-list  1  permit  192.168.1.0  0.0.0.255

通配符掩码：也叫做反码。用二进制数0和1表示，如果某位为1，表明这一位不需要进行匹配操作，如果为0表明需要严格匹配。

 

隐含拒绝语句：

access-list 1 deny 0.0.0.0 255.255.255.255

2、 将ACL应用于接口

接口模式：ip access-group 列表号 in/out

 

注：access-list 1 deny 192.168.1.1 0.0.0.0或写为

      access-list 1 deny host 192.168.1.1

 

      access-list 1 deny 0.0.0.0 255.255.255.255或写为

      access-list 1 deny any

3、 删除已建立的访问控制列表

全局：no  access-list 列表号

4、 接口上取消ACL

接口模式：no ip access-group 列表号in/out

5、 查看访问控制列表

特权：show access-lists

 

三、扩展访问控制列表

1、作用

     可以根据源IP地址，目的IP地址，指定协议，端口等过滤数据包。

2、扩展访问控制列表号:100-199

3、eq等于、lt小于、gt大于

4、扩展访问控制列表案例：

例1：全局： access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    （允许192.168.1.0网络访问192.168.2.0网络的所有服务）

        全局： access-list 101 deny ip any any

    （拒绝所有）

例2:全局：access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80

    （拒绝192.168.1.0网段访问192.168.2.2的TCP的80端口）

      全局：access-list  101  permit  ip  any  any（允许访问所有）

 

5、删除扩展ACL

全局：no  access-list  列表号

注：扩展与标准ACL不能删除单条ACL语句，只能删除整个ACL。

6、扩展ACL应该应用在离源地址最近的路由器上。

 

一、NAT（网络地址转换）

    1、作用：通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址，使内部网络可以连接到互联网等外部网络上。

    2、优点：节省公有合法IP地址 / 处理地址重叠 / 安全性

    3、缺点：延迟增大 / 配置和维护的复杂性 / 不支持某些应用，可以通过静态NAT映射来避免

    4、NAT实现方式

    1）静态转换

     IP地址的对应关系是一对一，而且是不变的，借助静态转换，能实现外部网络对内部网络中某些特设定服务器的访问。

     静态NAT配置：

     配置接口IP及路由

     全局：Ip nat inside source static 192.168.1.1 61.159.62.131

     在内外接口上启用NAT：

     进入出口配置：ip nat outside

     进入入口配置：ip nat inside 

     端口映射：ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80 

    2）端口多路复用（PAT）

     通过改变外出数据包的源IP地址和源端口并进行端口转换，内部网络的所有主机均可共享一个合法IP地址实现互联网的访问，节约IP。

     PAT的配置：

     全局：ip nat inside source list 1 interface f0/1 overload

    5、NAT两种实现方式的区别：

    静态转换的对应关系一对一且不变，并且没有节约公用IP，只隐藏了主机的真实地址。

    端口多路复用可以使所有内部网络主机共享一个合法的外部IP地址，从而最大限度地节约IP地址资源。

 

二、查看NAT转换条目

    特权：show ip nat translations显示当前存在的转换

三、清除NAT转换条目

    1、特权： clear ip nat translation * 清除NAT转换条目中的所有所条目

    注：静态NAT条目不会被清除

四、显示每个转换的数据包

    特权：debug  ip  nat 

    关闭所有弹错功能：u all

    S表示源地址

    D表示目的地址

    192.168.1.2->61.159.62.130表示将192.168.1.2转换为61.159.62.130