【网工】华为配置基础篇②_为什么dhcp客户端收到offer之后不直接使用该ip地址-CSDN博客

当客户机的租约期到50%，会向DHCP服务器发送DHCP REQUEST消息包。如果客户机接收到该服务器回应的DHCP ACK消息包，客户机就根据包中所提供的新的租期以及其它已经更新的TCP/IP参数，更新自己的配置，IP租用更新完成。如果没有收到该服务器的回复，则客户机继续使用现有的IP地址，因为租期还剩50%。如果在租期过去50%的时候没有更新，则客户机将在租期过去87.5%的时候再次向为其提供IP的DHCP服务器联系。如果还不成功，到租约的100%时候，客户机必须放弃这个IP地址，发送DHCP DISCOVER重新申请地址。如果此时无DHCP可用，客户机会使用169.254.0.0/16中随机的一个地址，并且每隔5分钟再进行尝试。

▲基于接口地址池的DHCP配置

1开启DHCP功能

[Huawei] dhcp enable

2开启接口采用接口地址池的DHCP服务器端功能

基于接口的方式

[Huawei-Gigabittherneto/0/O]dhcp select interface

3指定接口地址池下的DNS服务器地址

[Huawei-Gigabitthernet0/0/0]dhcp server dns-list ip-address

4配置接口地址池中不参与自动分配的IP地址范围

[Huawei-Gigabitthernet0/0/0]dhcp server excluded-ip-address start-ip-address [ end-ip-address ]

5配置DHCP服务器接口地址池中IP地址的租用有效期限功能

[Huawei-Gigabitthernet0/0/0]dhcp server lease {day day [hour hour [minute minute ] ] | unlimited }

缺省情况下，IP地址的租期为1天。

6创建全局地址池

[Huawei]ip pool ip-pool-name

7配置全局地址池可动态分配的IP地址范围

[Huawei-ip-pool-2]network ip-address [ mask {mask | mask-length}]

8配置DHCP客户端的网关地址

[Huawei-ip-pool-2]gateway-list ip-address

9配置DHCP客户端使用的DNS服务器的IP地址

[Huawei-ip-pool-2]dns-list ip-address

10配置IP地址租期

[Huawei-ip-pool-2] lease {day day [hour hour [minute minute ] ] | unlimited }

11使能接口的DHCP服务器功能

基于global的方式

[Huawei-Gigabittherneto/0/O]dhcp select global

12 DHCP Snooping（DHCP 监听） 是一种用于增强网络安全的交换机功能，旨在防御非法 DHCP 服务器（如“流氓 DHCP 服务器”）并确保 DHCP 协议交互的合法性。

信任端口与非信任端口：

信任端口（Trusted Ports）：连接合法 DHCP 服务器（如企业内网服务器或运营商设备）。允许所有 DHCP 消息（如 DHCP Offer、ACK）。

非信任端口（Untrusted Ports）：默认所有端口为非信任状态。拦截来自这些端口的 DHCP 服务器响应（如 Offer、ACK），防止非法服务器分配 IP。

dhcp snooping

■ ACL

▲ACL概述

ACL是由一系列permit或deny语句组成的、有序规则的列表。每条语句就是该ACL的一条规则，每条语句中的permit或deny就是与这条规则相对应的处理动作。

ACL是一个匹配工具，能够对报文进行匹配和区分。

▲ACL应用

匹配IP流量

在Traffic-filter中被调用

在NAT(Network Address Translation)中被调用

在路由策略中被调用

在防火墙的策略部署中被调用

在QoS中被调用

▲ACL的组成

规则编号(Rule ID):

一个ACL中的每一条规则都有一个相应的编号。

步长(Step):

步长是系统自动为ACL规则分配编号时，每个相邻规则编号之间的差值，缺省值为5。步长的作用是为了方便后续在旧规则之间，插入新的规则。

Rule ID分配规则：

系统为ACL中首条未手工指定编号的规则分配编号时，使用步长值（例如步长=5，首条规则编号为5）作为该规则的起始编号；为后续规则分配编号时，则使用大于当前ACL内最大规则编号且是步长整数倍的最小整数作为规则编号。

通配符：

通配符是一个32比特长度的数值，用于指示IP地址中哪些比特位需要严格匹配，哪些比特位无需匹配。

通配符通常采用类似网络掩码的点分十进制形式表示，但是含义却与网络掩码完全不同。

匹配规则：“0”表示“匹配”；“1”表示“随机分配”。

匹配192.168.1.0/24这个子网中的奇数IP地址。例如192.168.1.1、192.168.1.3等。-> 192.168.1.1 0.0.0.254

通配符中的1或者0可以不连续。

特殊的通配符

精确匹配192.168.1.1这个IP地址

192.168.1.1 0.0.0.0 = 192.168.1.1 0

匹配所有IP地址

0.0.0.0 255.255.255 = any

▲ACL分类

基于ACL规则定义方式的分类

主要关注基本ACL和高级ACL

基于ACL标识方法的分类

▲ACL的匹配顺序及匹配结果

配置顺序（config模式）

系统按照ACL规则编号从小到大的顺序进行报文匹配，规则编号越小越容易被匹配。

▲ACL的应用位置

▲ACL配置命令

基础配置命令

1创建基本ACL

[Huawei] acl [number] acl-number [match-order config]

使用编号（2000～2999）创建一个数字型的基本ACL，并进入基本ACL视图。

[Huawei] acl name acl-name {basic | acl-number} [match-order config]

使用名称创建一个命名型的基本ACL，并进入基本ACL视图。

2配置基本ACL的规则

[Huawei-acl-basic-2000] rule [rule-id] {deny | permit} [source {source-address source-wildcard | any} | time-range time-name]

在基本ACL视图下，通过此命令来配置基本ACL的规则。

基础案例：使用基本ACL过滤数据流量

高级ACL命令

1 创建高级ACL

[Huawei] acl [number] acl-number [match-order config]

使用编号（3000～3999）创建一个数字型的高级ACL，并进入高级ACL视图。

[Huawei] acl name acl-name {advance | acl-number} [match-order config]

使用名称创建一个命名型的高级ACL，进入高级ACL视图。

2 配置基本ACL的规则

根据IP承载的协议类型不同，在设备上配置不同的高级ACL规则。对于不同的协议类型，有不同的参数组合。

当参数protocol为IP时，高级ACL的命令格式为

rule [rule-id] {deny | permit} ip [destination {destination-address destination-wildcard | any} | source {source-address source-wildcard | any} | time-range time-name | [dscp dscp | tos tos | precedence precedence ]]]

在高级ACL视图下，通过此命令来配置高级ACL的规则。

当参数protocol为TCP时，高级ACL的命令格式为:

在高级ACL视图下，通过此命令来配置高级ACL的规则。

进阶案例：使用高级ACL限制不同网段的用户互访

▲章节总结

ACL是一种应用非常广泛的网络技术。它的基本原理是：配置了ACL的网络设备根据设定好的报文四配规则对经过该设备的报文进行匹配，然后对匹配上的报文执行事先设定好的处理动作。这些匹配规则及相应的处理动作是根据具体的网络需求而设定的。处理动作的不同以及匹配规则的多样性，使得ACL可以发挥出各种各样的功效。

ACL技术总是与防火墙、路由策略、QoS、流量过滤等其他技术结合使用。

在本章节中，主要介绍了ACL的相关技术知识，包括：ACL的作用，ACL的组成、匹配和分类、通配符的使用方法，以及ACL的基本配置及应用。

至此，本文分享的内容就结束了。