配置DHCP服務
1、全局:ip dhcp pool 名字(定義地址池)
2、network 192.168.1.0 255.255.255.0(動態分配IP地址段)
3、default-router 192.168.1.254(動態分配的網關地址)
4、dns-server 202.106.0.20(動態分配的DNS服務器地址)
5、全局:ip dhcp excluded-address 192.168.1.1 192.168.1.10 (預留已靜態分配的IP地址)
一、訪問控制列表概述
1、訪問控制列表(ACL):
讀取第三層、第四層包頭信息
根據預先定義好的規則對包進行過濾
2、訪問控制列表的處理過程(匹配即停止)
如果匹配第一條規則,則不再往下檢查,路由器將決定該數據包允許通過或拒絕通過。
如果不匹配第一條規則,則依次往下檢查,直到有任何一條規則匹配。
如果最後沒有任何一條規則匹配,則路由器根據默認的規則將丟棄該數據包。
3、訪問控制列表的類型:
1)標準訪問控制列表
基於源IP地址過濾數據包
列表號是1~99
2)擴展訪問控制列表
基於源IP地址、目的IP地址、指定協議、端口等來過濾數據包
列表號是100~199
二、標準訪問控制列表
1、標準訪問控制列表的創建
全局:access-list 1 deny 192.168.1.1 0.0.0.0
全局:access-list 1 permit 192.168.1.0 0.0.0.255
通配符掩碼:也叫做反碼。用二進制數0和1表示,如果某位爲1,表明這一位不需要進行匹配操作,如果爲0表明需要嚴格匹配。
隱含拒絕語句:
access-list 1 deny 0.0.0.0 255.255.255.255
2、 將ACL應用於接口
接口模式:ip access-group 列表號 in/out
注:access-list 1 deny 192.168.1.1 0.0.0.0或寫爲
access-list 1 deny host 192.168.1.1
access-list 1 deny 0.0.0.0 255.255.255.255或寫爲
access-list 1 deny any
3、 刪除已建立的訪問控制列表
全局:no access-list 列表號
4、 接口上取消ACL
接口模式:no ip access-group 列表號in/out
5、 查看訪問控制列表
特權:show access-lists
三、擴展訪問控制列表
1、作用
可以根據源IP地址,目的IP地址,指定協議,端口等過濾數據包。
2、擴展訪問控制列表號:100-199
3、eq等於、lt小於、gt大於
4、擴展訪問控制列表案例:
例1:全局: access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
(允許192.168.1.0網絡訪問192.168.2.0網絡的所有服務)
全局: access-list 101 deny ip any any
(拒絕所有)
例2:全局:access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 eq 80
(拒絕192.168.1.0網段訪問192.168.2.2的TCP的80端口)
全局:access-list 101 permit ip any any(允許訪問所有)
5、刪除擴展ACL
全局:no access-list 列表號
注:擴展與標準ACL不能刪除單條ACL語句,只能刪除整個ACL。
6、擴展ACL應該應用在離源地址最近的路由器上。
一、NAT(網絡地址轉換)
1、作用:通過將內部網絡的私有IP地址翻譯成全球唯一的公網IP地址,使內部網絡可以連接到互聯網等外部網絡上。
2、優點:節省公有合法IP地址 / 處理地址重疊 / 安全性
3、缺點:延遲增大 / 配置和維護的複雜性 / 不支持某些應用,可以通過靜態NAT映射來避免
4、NAT實現方式
1)靜態轉換
IP地址的對應關係是一對一,而且是不變的,藉助靜態轉換,能實現外部網絡對內部網絡中某些特設定服務器的訪問。
靜態NAT配置:
配置接口IP及路由
全局:Ip nat inside source static 192.168.1.1 61.159.62.131
在內外接口上啓用NAT:
進入出口配置:ip nat outside
進入入口配置:ip nat inside
端口映射:ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80
2)端口多路複用(PAT)
通過改變外出數據包的源IP地址和源端口並進行端口轉換,內部網絡的所有主機均可共享一個合法IP地址實現互聯網的訪問,節約IP。
PAT的配置:
全局:ip nat inside source list 1 interface f0/1 overload
5、NAT兩種實現方式的區別:
靜態轉換的對應關係一對一且不變,並且沒有節約公用IP,只隱藏了主機的真實地址。
端口多路複用可以使所有內部網絡主機共享一個合法的外部IP地址,從而最大限度地節約IP地址資源。
二、查看NAT轉換條目
特權:show ip nat translations顯示當前存在的轉換
三、清除NAT轉換條目
1、特權: clear ip nat translation * 清除NAT轉換條目中的所有所條目
注:靜態NAT條目不會被清除
四、顯示每個轉換的數據包
特權:debug ip nat
關閉所有彈錯功能:u all
S表示源地址
D表示目的地址
192.168.1.2->61.159.62.130表示將192.168.1.2轉換爲61.159.62.130