标签:0.0 address 192.168 ACL 地址 NAT ip interface DHCP
组网需求
需求:
(1)公司分部PC1通过全局地址池获取固定IP192.168.1.100
(2)PC1通过Easy IP上网
(3)公司总部PC3通过接口地址池获取固定IP192.168.3.100
(4)PC3通过Easy IP上网
理论知识
DHCP
作用:为终端设备动态的分配 IP 地址和参数信息(如 DNS ),简化管理员的工作量,减轻地址冲突的问题,以及可以实现动态的地址回收机制,合理利用地址
工作流程
①客户机:主动发起 discover 报文,寻找广播域中的服务器
②服务器:收到客户机的请求,会从地址池中,提取合适的 IP 地址分配给主机
(如果网络中有多台服务器,那么服务器都会给客户机提供 IP 地址)并通过 offer 报文进行回复
“如果客户机收到多份 offer 报文,也只会使用最先收到的一份”
③客户机:收到 offer 报文后,会主动的发送 request 报文去确认配置(也用于告知其他没被使用地址的服务器将地址回收)
④服务器:服务器收到客户机的 request 报文后,会确认客户信息于分配的地址是否一致,如果一致则回复 ACK,否则回复 NAK
收到 ACK 的主机可以使用该地址
收到 NAK 的主机则需要重新发起 discover 报文去请求 IP 地址
一、DHCP 配置
(接口地址池)
前提条件,在系统视图下,开启 DHCP 服务
dhcp enable
进入到分配地址的接口
interface G0/0/0
配置接口 IP 地址
ip address 192.168.1.254 24 //命令解析
该地址作为服务器的 ID ,以及客户机的网关,24 的掩码也为客户机的掩码
开启接口地址池模式
dhcp select interface //使用该命令代表接口为 DHCP 服务器
dhcp server lease day 0 hour 1 minute 1 //配置使用时间。默认是一天,可以精确到 时/分
dhcp server dns-list 114.114.114.114 //配置 DNS 服务器地址,可以配置多个,作为备份 DNS
如果打印机,服务器,或者一些不能经常改变 IP 地址的设备,可以用以下方式固定 IP 地址
①服务器,打印机等设备手工配置 IP 地址,配置后的地址,在 DHCP 设备中排除即可
dhcp server excluded-ip-address 192.168.1.100 192.168.1.200
例如:192.168.1.100 到 192.168.1.200 的地址不能分配给其他设备使用,则可以排除这些地址,排除后的地址无法被分配给其他设备
②绑定设备 MAC 地址
“54-89-98-F2-71-A7“例如该地址为我的 PC MAC 地址
dhcp server static-bind ip-address 192.168.1.1 mac-address 5489-98F2-71A7
绑定地址后,服务器收到的 discover 报文,必须包含该 MAC 地址才会提供 192.168.1.1 的地址给客户机
全局地址池获取地址方式
(接口地址池)
前提条件,在系统视图下,开启 DHCP 服务
dhcp enable
创建地址池
ip pool +名字(可以是数字和英文,区分大小写)
gateway-list 192.168.1.1 //网关地址
network 192.168.1.0 mask 255.255.255.0 //可分配地址池
static-bind ip-address 192.168.1.100 mac-address 5489-9851-4e04 //绑定地址
excluded-ip-address 192.168.1.201 192.168.1.254 //排除地址
lease day 2 hour 0 minute 0 //控制地址使用时间
dns-list 114.114.114.114 //配置 DNS
(具体解析,参考接口地址池)
最后一步,使能地址池
进入到需要分配 IP 地址的接口
interface G0/0/0 //例如 G0/0/0
ip address 192.168.1.1 255.255.255.0 //配置 IP 地址,该地址最好与地址池的 gateway 一致
dhcp select global //使能全局地址池
访问控制列表 ACL
可以根据用户匹配的条件来对数据包进行方向和过滤(ACL 是抓取工具,执行流量过滤的时候需要结合策略路由使用)
常见的策略路由有( traffic-filter、traffic-policy 等)
常用的 ACL 以编号规则命名
ACL 2000 — 2999 //基本 ACL (能够针对数据包的 “源 IP 地址”来进行匹配)
ACL 3000 — 3999 //高级 ACL(能够针对数据包的“五元组”进行匹配)
(五元组:1、源 IP 地址 2、目的 IP 地址 3、源端口号(TCP或UDP)4、目的端口号(TCP或UDP)5、协议号)
基本 ACL 配置方式
(系统视图下)
一、 acl 2000 //创建基本 ACL (只要范围是 2000 到 2999 都是基本 ACL)
rule +步数+ (deny/permit) source + IP地址 + 通配符 (配置格式)
————————————————————————————————————————————————————————————————————
1、例子:例如需要过滤 192.168.1.0/24 整个网段时,可以使用以下 rule 匹配
rule 1 deny source 192.168.1.0 0.0.0.255 //过滤 192.168.1.0/24 整个网段的任意 IP 地址
————————————————————————————————————————————————————————————————————
2、例子:例如需要过滤 172.16.1.1/32 一个地址,同时还需要过滤 172.16.1.2/32,可以使用以下命令
rule 1 deny source 172.16.1.1 0.0.0.0
rule 2 deny source 172.16.1.2 0.0.0.0 //以下命令代表过滤 172.16.1.1 当没有匹配成功的时候,匹配 rule 2
rule 2 过滤 172.16.1.2
补充:ACL 规则,一旦匹配立即停止,例如匹配 rule 1 立即停止,执行 deny 动作,否则执行 rule 2
如果全部都匹配失败,则直接放行
高级 ACL 配置命令
acl 3000 //创建高级 acl (3000 — 3999)都为高级 ACL
rule+步数+ (permit/deny)+ 协议+ source 源IP地址+通配符+ destination 目的IP地址+通配符
rule 20 permit ip source 10.1.1.2 0 destination 20.1.1.200 0 //例如,允许IP协议 源为 10.1.1.2 /32 目的地址为 20.1.1.200/32 的数据包通过
二、调用 ACL
ACL 只是匹配数据包的工具,过滤数据包需要配合策略路由
在数据包经过的接口调用
例如 G0/0/0 接口
interface G0/0/0
traffic-filter inbound acl 2000 //例如在 G0/0/0 接口,数据包经过的入方向使用 ACL 2000 //出方向 则改成 traffic-filter outbound acl 2000
NAPT(网络地址转换,端口转换)
1、配置NAT转换地址池
nat address-group 1 200.1.1.199 200.1.1.200 //设置转换地址池
即:能够使用的公网地址(200.1.1.199 — 200.1.1.200)共2个地址,也可以根据运营商的分配,配置多个地址,一般只有一个
2、匹配进行 NAT 转换的数据包
acl 2000
rule permit source 192.168.1.0 0.0.0.255 //代表能够转换的源地址为:192.168.1.0 — 192.168.1.255 (其他地址不转换)
例如:如果想匹配所有地址,都能转换
acl 2000
rule permit source any //匹配任何地址
3、接口调用
进入内网设备,连接公网的出接口
例如 AR1 G0/0/0 连接内网设备 G0/0/1 连接外网设备
则进入 G0/0/1 接口
interface G0/0/1
nat outbound 2000 address-group 1 //把 ACL 2000 需要转换的地址,匹配到 NAT 地址池 1 中
“实现 192.168.1.0/24 整个网段的主机都能转换成 200.1.1.199 或者 200.1.1.200 这两个公网地址,实现访问”
AR1 设备需要配置静态路由,用于访问公网设备,公网设备不能使用静态路由和OSPF协议(运营商设备不会和内网设备建立邻居)
ip route static 0.0.0.0 0 + AR2 设备的接口IP地址(即静态路由的下一跳)
二、使用接口 IP 地址作为公网地址 easy ip
1、匹配进行 NAT 转换的数据包
acl 2000
rule permit source 192.168.1.0 0.0.0.255 //代表能够转换的源地址为:192.168.1.0 — 192.168.1.255 (其他地址不转换)
例如:如果想匹配所有地址,都能转换
acl 2000
rule permit source any //匹配任何地址
2、接口调用
进入内网设备,连接公网的出接口
例如 AR1 G0/0/0 连接内网设备 G0/0/1 连接外网设备
则进入 G0/0/1 接口
interface G0/0/1
nat outbound 2000 //只要是 ACL 2000 匹配到的数据,都使用 G0/0/1 接口的 IP 地址访问外网
实验配置
AR1
sysname r1
dhcp enable
#
acl number 2000
rule 5 deny source 192.168.1.1 0
acl number 2001
rule 5 deny source 12.1.1.1 0
rule 10 permit source 192.168.1.0 0.0.0.255
#
acl number 3000
rule 5 deny ip source 192.168.1.1 0 destination 192.168.3.1 0
rule 10 permit ip
#
ip pool vlan10
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
static-bind ip-address 192.168.1.100 mac-address 5489-98bd-7726
excluded-ip-address 192.168.1.200 192.168.1.253
dns-list 8.8.8.8
interface GigabitEthernet0/0/0
ip address 13.1.1.1 255.255.255.0
nat outbound 2001
#
interface GigabitEthernet0/0/1.10
dot1q termination vid 10
ip address 192.168.1.254 255.255.255.0
arp broadcast enable
dhcp select global
#
interface GigabitEthernet0/0/1.20
dot1q termination vid 20
ip address 192.168.2.254 255.255.255.0
arp broadcast enable
#
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 12.1.1.1 0.0.0.0
network 192.168.1.254 0.0.0.0
network 192.168.2.254 0.0.0.0
#
ip route-static 0.0.0.0 0.0.0.0 13.1.1.3
AR3
sysname r3
interface GigabitEthernet0/0/0
ip address 13.1.1.3 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 23.1.1.3 255.255.255.0
#
interface LoopBack0
ip address 3.3.3.3 255.255.255.255
sysname r2
acl number 2000
rule 5 permit source 192.168.3.0 0.0.0.255
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 192.168.5.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 23.1.1.2 255.255.255.0
nat outbound 2000
#
ospf 1 router-id 2.2.2.2
default-route-advertise
area 0.0.0.0
network 192.168.5.2 0.0.0.0
#
ip route-static 0.0.0.0 0.0.0.0 23.1.1.3
LW1
sysname sw1
#
vlan batch 10 20
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
sysname sw2
#
vlan batch 30 40 50
#
interface Vlanif30
ip address 192.168.3.254 255.255.255.0
dhcp select interface
dhcp server static-bind ip-address 192.168.3.100 mac-address 5489-9837-5463
#
interface Vlanif40
ip address 192.168.4.254 255.255.255.0
#
interface Vlanif50
ip address 192.168.5.254 255.255.255.0
interface GigabitEthernet0/0/1
port link-type access
port default vlan 50
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 30
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 40
#
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 192.168.5.254 0.0.0.0
network 192.168.4.254 0.0.0.0
network 192.168.3.254 0.0.0.0
标签:0.0,address,192.168,ACL,地址,NAT,ip,interface,DHCP 来源: https://blog.csdn.net/weixin_43663238/article/details/112920138
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。