網絡運維中DHCP ACL NAT的配置

配置DHCP服務

1、全局：ip dhcp pool 名字（定義地址池）

2、network 192.168.1.0 255.255.255.0（動態分配IP地址段）

3、default-router 192.168.1.254（動態分配的網關地址）

4、dns-server 202.106.0.20（動態分配的DNS服務器地址）

5、全局：ip dhcp excluded-address 192.168.1.1 192.168.1.10 （預留已靜態分配的IP地址）

 

一、訪問控制列表概述

1、訪問控制列表（ACL）：

    讀取第三層、第四層包頭信息

    根據預先定義好的規則對包進行過濾

2、訪問控制列表的處理過程（匹配即停止）

    如果匹配第一條規則，則不再往下檢查，路由器將決定該數據包允許通過或拒絕通過。

    如果不匹配第一條規則，則依次往下檢查，直到有任何一條規則匹配。

    如果最後沒有任何一條規則匹配，則路由器根據默認的規則將丟棄該數據包。

3、訪問控制列表的類型：

    1）標準訪問控制列表

    基於源IP地址過濾數據包 

    列表號是1～99 

    2）擴展訪問控制列表

    基於源IP地址、目的IP地址、指定協議、端口等來過濾數據包 

    列表號是100～199 

 

二、標準訪問控制列表

1、標準訪問控制列表的創建

全局：access-list  1  deny  192.168.1.1  0.0.0.0

全局：access-list  1  permit  192.168.1.0  0.0.0.255

通配符掩碼：也叫做反碼。用二進制數0和1表示，如果某位爲1，表明這一位不需要進行匹配操作，如果爲0表明需要嚴格匹配。

 

隱含拒絕語句：

access-list 1 deny 0.0.0.0 255.255.255.255

2、 將ACL應用於接口

接口模式：ip access-group 列表號 in/out

 

注：access-list 1 deny 192.168.1.1 0.0.0.0或寫爲

      access-list 1 deny host 192.168.1.1

 

      access-list 1 deny 0.0.0.0 255.255.255.255或寫爲

      access-list 1 deny any

3、 刪除已建立的訪問控制列表

全局：no  access-list 列表號

4、 接口上取消ACL

接口模式：no ip access-group 列表號in/out

5、 查看訪問控制列表

特權：show access-lists

 

三、擴展訪問控制列表

1、作用

     可以根據源IP地址，目的IP地址，指定協議，端口等過濾數據包。

2、擴展訪問控制列表號:100-199

3、eq等於、lt小於、gt大於

4、擴展訪問控制列表案例：

例1：全局： access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    （允許192.168.1.0網絡訪問192.168.2.0網絡的所有服務）

        全局： access-list 101 deny ip any any

    （拒絕所有）

例2:全局：access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80

    （拒絕192.168.1.0網段訪問192.168.2.2的TCP的80端口）

      全局：access-list  101  permit  ip  any  any（允許訪問所有）

 

5、刪除擴展ACL

全局：no  access-list  列表號

注：擴展與標準ACL不能刪除單條ACL語句，只能刪除整個ACL。

6、擴展ACL應該應用在離源地址最近的路由器上。

 

一、NAT（網絡地址轉換）

    1、作用：通過將內部網絡的私有IP地址翻譯成全球唯一的公網IP地址，使內部網絡可以連接到互聯網等外部網絡上。

    2、優點：節省公有合法IP地址 / 處理地址重疊 / 安全性

    3、缺點：延遲增大 / 配置和維護的複雜性 / 不支持某些應用，可以通過靜態NAT映射來避免

    4、NAT實現方式

    1）靜態轉換

     IP地址的對應關係是一對一，而且是不變的，藉助靜態轉換，能實現外部網絡對內部網絡中某些特設定服務器的訪問。

     靜態NAT配置：

     配置接口IP及路由

     全局：Ip nat inside source static 192.168.1.1 61.159.62.131

     在內外接口上啓用NAT：

     進入出口配置：ip nat outside

     進入入口配置：ip nat inside 

     端口映射：ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80 

    2）端口多路複用（PAT）

     通過改變外出數據包的源IP地址和源端口並進行端口轉換，內部網絡的所有主機均可共享一個合法IP地址實現互聯網的訪問，節約IP。

     PAT的配置：

     全局：ip nat inside source list 1 interface f0/1 overload

    5、NAT兩種實現方式的區別：

    靜態轉換的對應關係一對一且不變，並且沒有節約公用IP，只隱藏了主機的真實地址。

    端口多路複用可以使所有內部網絡主機共享一個合法的外部IP地址，從而最大限度地節約IP地址資源。

 

二、查看NAT轉換條目

    特權：show ip nat translations顯示當前存在的轉換

三、清除NAT轉換條目

    1、特權： clear ip nat translation * 清除NAT轉換條目中的所有所條目

    注：靜態NAT條目不會被清除

四、顯示每個轉換的數據包

    特權：debug  ip  nat 

    關閉所有彈錯功能：u all

    S表示源地址

    D表示目的地址

    192.168.1.2->61.159.62.130表示將192.168.1.2轉換爲61.159.62.130