思科设备的DHCP、NAT、ACL技术的概述以及配置的详解！！！！

*DHCP概述：

• -DHCP:动态主机配置协议
• -用于实现企业用户IP地址的动态分配和集中管理
• -避免繁琐的手工配置，快速适应网络的变化

*NAT概述：

• -NAT：网络地址转换

• -通常是配置在公网和私有网络的边界设备上， 具体是配置在连接公网的接口上；

• -NAT的工作过程，完全是依靠 NAT 表，里面包含的是私有地址和公有地址的转换条目。

• -NAT分为静态NAT和动态NAT

• -静态NAT：

  -优点：简单方便，容易理解
  -缺点：一个私有地址，就必须占用/对应一个公网地址，不节省公网IP

• -动态NAT：
  -优点：可以让多个私有地址循环使用少量的公网IP地址，都是自动形成对应关系
  -缺点：当内部网络主机数量很多的时候，依然无法满足大量主机上网，

*ACL概述：

• -ACL：访问控制列表
• -ACL的主要作用是用于控制设备之间的数据包的互通的；
• -主要是通过检查数据包的3层IP头部和4层传输层协议的头部信息进行抓取数据包；
• -针对于3层IP头部，ACL可以抓取数据包中的源IP地址、目标IP地址、协议号等字段；
• -针对于4层传输层协议头部, ACL可以抓取数据包的源端口号、目标端口号；

*实验需求：

• -服务器和PC机通过DHCP获取地址
• -vlan20的主机不可以访问公司服务器的web服务，可以访问其他服务
• -公司所有服务器和主机可以访问外部网络
• -服务器部署的web服务允许外部主机访问
• -所有的VLAN都互联互通

配置：

*基础配置 ：基础配置是VLAN 、接口、IP地址、路由的配置，就不做过多介绍了！！

交换机0：

Switch(config)#vlan 10
Switch(config)#interface range f0/1 - f0/2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10

Switch(config)#int f0/3
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all

交换机1：

Switch(config)#vlan 20
Switch(config-vlan)#vlan 30
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

Switch(config-if)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30

Switch(config-if)#int f0/3
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all

交换机2：

Switch(config)#vlan 40
Switch(config)#interface range f0/1 - f0/2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 40

Switch(config)#int f0/3
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan all

多层交换机0：

Switch(config)#vlan 10
Switch(config-vlan)#vlan 20
Switch(config-vlan)#vlan 30
Switch(config-vlan)#vlan 40
Switch(config)#ip routing ----------------------------------------------------------------------开启路由

Switch(config)#int vlan 10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0

Switch(config-if)#int vlan 20
Switch(config-if)# ip address 192.168.20.254 255.255.255.0

Switch(config-if)#int vlan 30
Switch(config-if)#ip address 192.168.30.254 255.255.255.0

Switch(config-if)#int vlan 40
Switch(config-if)#ip address 192.168.40.254 255.255.255.0

Switch(config)#int f0/4
Switch(config-if)#no switchport ---------------------------------------------------此接口默认是交换接口，需要关闭交换口才可以配IP地址
Switch(config-if)#ip address 10.1.1.1 255.255.255.0
Switch(config-if)#no shutdown

Switch(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2 --------------------添加一条默认路由，下一跳指向边界路由器（边界路由器使用ospf宣告默认路由也可以）

路由器0：

Router(config)#int g0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.0
Router(config-if)#no shutdown

Router(config)#int g0/1
Router(config-if)#ip address 100.1.1.1 255.255.255.0
Router(config-if)#no shutdown

Router(config)#ip route 192.168.0.0 255.255.0.0 10.1.1.1 ----------------------写一条内部的静态路由（内部网络使用OSPF也可以）
Router(config)#ip route 0.0.0.0 0.0.0.0 100.1.1.2 ------------------------------------------------去往外网的默认路由

路由器1：

Router(config)#int g0/0
Router(config-if)#ip address 100.1.1.2 255.255.255.0
Router(config-if)#no shutdown

Router(config)#int g0/1
Router(config-if)#ip address 200.1.1.1 255.255.255.0
Router(config-if)#no shutdown

*DHCP配置：

多层交换机0：

Switch(config)#ip dhcp pool 1 ---------------------------创建地址池，配置地址段、网关、dns
Switch(dhcp-config)#network 192.168.10.0 255.255.255.0
Switch(dhcp-config)#default-router 192.168.10.254
Switch(dhcp-config)#dns-server 8.8.8.8

Switch(config)#ip dhcp pool 2
Switch(dhcp-config)#network 192.168.20.0 255.255.255.0
Switch(dhcp-config)#default-router 192.168.20.254
Switch(dhcp-config)#dns-server 8.8.8.8

Switch(config)#ip dhcp pool 3
Switch(dhcp-config)#network 192.168.30.0 255.255.255.0
Switch(dhcp-config)#default-router 192.168.30.254
Switch(dhcp-config)#dns-server 8.8.8.8

Switch(config)#ip dhcp pool 4
Switch(dhcp-config)#network 192.168.40.0 255.255.255.0
Switch(dhcp-config)#default-router 192.168.40.254
Switch(dhcp-config)#dns-server 8.8.8.8

*ACL配置：

多层交换机0：

Switch(config)#access-list 100 deny tcp 192.168.20.1 0.0.0.0 192.168.10.1 0.0.0.0 eq www ---------------------------------禁止192.168.20.1访问192.168.10.1的web服务
Switch(config)#access-list 100 deny tcp 192.168.20.1 0.0.0.0 192.168.10.2 0.0.0.0 eq www ---------------------------------禁止192.168.20.1访问192.168.10.2的web服务
Switch(config)#access-list 100 permit ip any any ------------------------------允许所有地址访问所有服务
Switch(config)#int vlan 20 ----------------------------------进入vlanif20接口调用ACL
Switch(config-if)#ip access-group 100 in

*NAT配置：

边界路由器0：

Router(config)#access-list 10 permit any ---------------------配置一条标准ACL，允许访问所有
Router(config)#ip nat inside source list 10 interface gigabitEthernet 0/1 overload ------------------------------------------------------配置地址转换，指向路由器的出接口
Router(config)#int g0/1 ---------------------------------------------------------------进入路由器出接口，引用NAT
Router(config-if)#ip nat outside
Router(config-if)#int g0/0 --------------------------------------------------------------进入如接口，引用NAT
Router(config-if)#ip nat inside

Router(config)#ip nat inside source static tcp 192.168.10.1 80 100.1.1.10 80 ----------------------------------------------------配置私有地址和公有地址的映射
Router(config)#ip nat inside source static tcp 192.168.10.2 80 100.1.1.20 80