网络运维中DHCP ACL NAT的配置

配置DHCP服务

1、全局:ip dhcp pool 名字(定义地址池)

2、network 192.168.1.0 255.255.255.0(动态分配IP地址段)

3、default-router 192.168.1.254(动态分配的网关地址)

4、dns-server 202.106.0.20(动态分配的DNS服务器地址)

5、全局:ip dhcp excluded-address 192.168.1.1 192.168.1.10 (预留已静态分配的IP地址)

 

一、访问控制列表概述

1、访问控制列表(ACL):

    读取第三层、第四层包头信息

    根据预先定义好的规则对包进行过滤

2、访问控制列表的处理过程(匹配即停止

    如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许通过或拒绝通过。

    如果不匹配第一条规则,则依次往下检查,直到有任何一条规则匹配。

    如果最后没有任何一条规则匹配,则路由器根据默认的规则将丢弃该数据包。

3、访问控制列表的类型:

    1)标准访问控制列表

    基于源IP地址过滤数据包 

    列表号是1~99 

    2)扩展访问控制列表

    基于源IP地址、目的IP地址、指定协议、端口等来过滤数据包 

    列表号是100~199 

 

二、标准访问控制列表

1、标准访问控制列表的创建

全局:access-list  1  deny  192.168.1.1  0.0.0.0

全局:access-list  1  permit  192.168.1.0  0.0.0.255

通配符掩码:也叫做反码。用二进制数0和1表示,如果某位为1,表明这一位不需要进行匹配操作,如果为0表明需要严格匹配。

 

隐含拒绝语句:

access-list 1 deny 0.0.0.0 255.255.255.255

2、 将ACL应用于接口

接口模式:ip access-group 列表号 in/out

 

注:access-list 1 deny 192.168.1.1 0.0.0.0或写为

      access-list 1 deny host 192.168.1.1

 

      access-list 1 deny 0.0.0.0 255.255.255.255或写为

      access-list 1 deny any

3、 删除已建立的访问控制列表

全局:no  access-list 列表号

4、 接口上取消ACL

接口模式:no ip access-group 列表号in/out

5、 查看访问控制列表

特权:show access-lists

 

三、扩展访问控制列表

1、作用

     可以根据IP地址,目的IP地址,指定协议,端口等过滤数据包。

2、扩展访问控制列表号:100-199

3、eq等于、lt小于、gt大于

4、扩展访问控制列表案例:

例1:全局: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    (允许192.168.1.0网络访问192.168.2.0网络的所有服务)

        全局: access-list 101 deny ip any any

    (拒绝所有)

例2:全局:access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80

    (拒绝192.168.1.0网段访问192.168.2.2的TCP的80端口)

      全局:access-list  101  permit  ip  any  any(允许访问所有)

 

5、删除扩展ACL

全局:no  access-list  列表号

注:扩展与标准ACL不能删除单条ACL语句,只能删除整个ACL。

6、扩展ACL应该应用在离源地址最近的路由器上。

 

一、NAT(网络地址转换)

    1、作用:通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上。

    2、优点:节省公有合法IP地址 / 处理地址重叠 / 安全性

    3、缺点:延迟增大 / 配置和维护的复杂性 / 不支持某些应用,可以通过静态NAT映射来避免

    4、NAT实现方式

    1)静态转换

     IP地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络对内部网络中某些特设定服务器的访问。

     静态NAT配置:

     配置接口IP及路由

     全局:Ip nat inside source static 192.168.1.1 61.159.62.131

     在内外接口上启用NAT:

     进入出口配置:ip nat outside

     进入入口配置:ip nat inside 

     端口映射:ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80 

    2)端口多路复用(PAT

     通过改变外出数据包的源IP地址和源端口并进行端口转换,内部网络的所有主机均可共享一个合法IP地址实现互联网的访问,节约IP。

     PAT的配置:

     全局:ip nat inside source list 1 interface f0/1 overload

    5、NAT两种实现方式的区别:

    静态转换的对应关系一对一且不变,并且没有节约公用IP,只隐藏了主机的真实地址。

    端口多路复用可以使所有内部网络主机共享一个合法的外部IP地址,从而最大限度地节约IP地址资源。

 

二、查看NAT转换条目

    特权:show ip nat translations显示当前存在的转换

三、清除NAT转换条目

    1、特权: clear ip nat translation * 清除NAT转换条目中的所有所条目

    注:静态NAT条目不会被清除

四、显示每个转换的数据包

    特权:debug  ip  nat 

    关闭所有弹错功能:u all

    S表示源地址

    D表示目的地址

    192.168.1.2->61.159.62.130表示将192.168.1.2转换为61.159.62.130

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值