配置DHCP服务
1、全局:ip dhcp pool 名字(定义地址池)
2、network 192.168.1.0 255.255.255.0(动态分配IP地址段)
3、default-router 192.168.1.254(动态分配的网关地址)
4、dns-server 202.106.0.20(动态分配的DNS服务器地址)
5、全局:ip dhcp excluded-address 192.168.1.1 192.168.1.10 (预留已静态分配的IP地址)
一、访问控制列表概述
1、访问控制列表(ACL):
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤
2、访问控制列表的处理过程(匹配即停止)
如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。
如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。
如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。
3、访问控制列表的类型:
1)标准访问控制列表
基于源IP地址过滤数据包
列表号是1~99
2)扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包
列表号是100~199
二、标准访问控制列表
1、标准访问控制列表的创建
全局:access-list 1 deny 192.168.1.1 0.0.0.0
全局:access-list 1 permit 192.168.1.0 0.0.0.255
通配符掩码:也叫做反码。用二进制数0和1表示,如果某位为1,表明这一位不需要进行匹配操作,如果为0表明需要严格匹配。
隐含拒绝语句:
access-list 1 deny 0.0.0.0 255.255.255.255
2、 将ACL应用于接口
接口模式:ip access-group 列表号 in/out
注:access-list 1 deny 192.168.1.1 0.0.0.0或写为
access-list 1 deny host 192.168.1.1
access-list 1 deny 0.0.0.0 255.255.255.255或写为
access-list 1 deny any
3、 删除已建立的访问控制列表
全局:no access-list 列表号
4、 接口上取消ACL
接口模式:no ip access-group 列表号in/out
5、 查看访问控制列表
特权:show access-lists
三、扩展访问控制列表
1、作用
可以根据源IP地址,目的IP地址,指定协议,端口等过滤数据包。
2、扩展访问控制列表号:100-199
3、eq等于、lt小于、gt大于
4、扩展访问控制列表案例:
例1:全局: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(允许192.168.1.0网络访问192.168.2.0网络的所有服务)
全局: access-list 101 deny ip any any
(拒绝所有)
例2:全局:access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80
(拒绝192.168.1.0网段访问192.168.2.2的TCP的80端口)
全局:access-list 101 permit ip any any(允许访问所有)
5、删除扩展ACL
全局:no access-list 列表号
注:扩展与标准ACL不能删除单条ACL语句,只能删除整个ACL。
6、扩展ACL应该应用在离源地址最近的路由器上。
一、NAT(网络地址转换)
1、作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。
2、优点:节省公有合法IP地址 / 处理地址重叠 / 安全性
3、缺点:延迟增大 / 配置和维护的复杂性 / 不支持某些应用,可以通过静态NAT映射来避免
4、NAT实现方式
1)静态转换
IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特设定服务器的访问。
静态NAT配置:
配置接口IP及路由
全局:Ip nat inside source static 192.168.1.1 61.159.62.131
在内外接口上启用NAT:
进入出口配置:ip nat outside
进入入口配置:ip nat inside
端口映射:ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80
2)端口多路复用(PAT)
通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可共享一个合法IP地址实现互联网的访问,节约IP。
PAT的配置:
全局:ip nat inside source list 1 interface f0/1 overload
5、NAT两种实现方式的区别:
静态转换的对应关系一对一且不变,并且没有节约公用IP,只隐藏了主机的真实地址。
端口多路复用可以使所有内部网络主机共享一个合法的外部IP地址,从而最大限度地节约IP地址资源。
二、查看NAT转换条目
特权:show ip nat translations显示当前存在的转换
三、清除NAT转换条目
1、特权: clear ip nat translation * 清除NAT转换条目中的所有所条目
注:静态NAT条目不会被清除
四、显示每个转换的数据包
特权:debug ip nat
关闭所有弹错功能:u all
S表示源地址
D表示目的地址
192.168.1.2->61.159.62.130表示将192.168.1.2转换为61.159.62.130