DHCP ------动态主机配置协议
CS架构: 服务端 客户端
工作原理:
发现
提供
请求
确认
DHCP地址池方式
接口方式
dhcp enable
interface GigabitEthernet0/0/1
dhcp select interface
实验配置:
第一步:开启DHCP功能
dhcp enable --------------------DHCP服务功能默认不开启
第二步: 配置DHCP服务器、
interface GigabitEthernet0/0/1
ip address 172.16.1.1 255.255.255.0
dhcp select interface -----------------------DHCP服务器选择接口地址池,必配置
选配:
dhcp server excluded-ip-address 172.16.1.100 172.16.1.254 ---------保留地址
dhcp server lease day 2 hour 0 minute 0 ------------------------------修改租约
dhcp server dns-list 1.2.3.4 --------------------------------------------DNS服务器
dhcp server domain-name qytang.com--------------------------------域名服务器
第三步:客户端配置
客户端如果是路由器
dhcp enable
interface GigabitEthernet0/0/0
ip address dhcp-alloc
全局方式 -------通用
第一步:开启DHCP功能
dhcp enable --------------------DHCP服务功能默认不开启
第二步: 配置DHCP服务器
ip pool DHCP ----------------取地址池名字
network 172.16.1.0 mask 255.255.255.0 -------------先配置分配那段地址
gateway-list 172.16.1.1 --------------------------------指定网关
选配
excluded-ip-address 172.16.1.2 172.16.1.100
excluded-ip-address 172.16.1.130
lease day 3 hour 0 minute 0
dns-list 1.1.2.3
domain-name qytang.com
第三步:客户端配置
客户端如果是路由器
dhcp enable
interface GigabitEthernet0/0/0
ip address dhcp-alloc
第四步:查看
[AR5]display ip pool
-----------------------------------------------------------------------
Pool-name : DHCP
Pool-No : 0
Position : Local Status : Unlocked
Gateway-0 : 172.16.1.1
Mask : 255.255.255.0
VPN instance : --
IP address Statistic
Total :253
Used :2 Idle :151
Expired :0 Conflict :0 Disable :100
[AR5]display dhcp server statistics
DHCP Server Statistics:
Client Request : 16
Dhcp Discover : 6
Dhcp Request : 6
Dhcp Decline : 0
Dhcp Release : 4
Dhcp Inform : 0
Server Reply : 12
Dhcp Offer : 6
Dhcp Ack : 6
Dhcp Nak : 0
Bad Messages : 0
访问控制列表ACL
1.为什么需要ACL?
ACL启到的是监控和管理的作用。
两种监控
1. 流量监控-----IA
2. 路由监控-----IP
ACL分类:
基本ACL : 编号范围 2000-2999
只能检查源地址部分(粗矿)
语法: acl number号(2000-2999)
rule 动作(deny/permit) 源地址 源地址通配符
通配符: 使用二进制表示
0--------------------------匹配
1--------------------------忽略
基本ACL配置:
第一步: 基本通信(前提条件:都要通)
第二步: 实施ACL
acl number 2000
不需要配置默认就有
rule 5 deny source 172.16.2.0 0.0.0.255
规则 默认从5,按5的倍数递增 动作 源地址 源地址通配
第三步:调用ACL
interface GigabitEthernet0/0/1
traffic-filter outbound acl 2000
方向问题
第四步:测试检查
[AR1]display acl all
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 1 rule
Acl's step is 5
rule 5 deny source 172.16.2.0 0.0.0.255 (5 matches)
必须要有匹配项
高级ACL :编号范围 3000-3999
检查源地址 目标地址 源端口 目标端口 协议(五元组)
语法:
acl nmber号 (3000-3999)
rule 动作 (permit\deny) 协议( tcp) 源 源地址 源地址通配 源端口 eq 端口号 目的 目的地址 目的地址通配 目的端口 eq 端口号
配置思路
第一步: 基本通信(前提条件:都要通)
第二步: 实施ACL
acl number 3000
rule 5 deny tcp source 172.16.1.0 0.0.0.255 destination 10.1.1.100 0 destination-port eq ftp
rule 10 deny tcp source 172.16.2.1 0 destination 10.1.1.200 0 destination-port eq www
rule 15 deny icmp
第三步:调用ACL
interface GigabitEthernet0/0/1
traffic-filter outbound acl 3000
方向问题
第四步:测试检查
[AR1]display acl 3000
Advanced ACL 3000, 3 rules
Acl's step is 5
rule 5 deny tcp source 172.16.1.0 0.0.0.255 destination 10.1.1.100 0 destination-port eq ftp (4 matches)
rule 10 deny tcp source 172.16.2.1 0 destination 10.1.1.200 0 destination-port eq www (2 matches)
rule 15 deny icmp (10 matches)
[AR1]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 outbound acl 3000
-----------------------------------------------------------
命名ACL
基本命令ACL
高级命名ACL
二. 网络地址转换(NAT)
1. 为什么需要配置NAT?
因为私网路由到公网不能被路由(RFC1918)
2. NAT分类:
源NAT-------------源地址(源端口)转换的NAT
静态NAT
动态NAT
NAPT
Easy_ip
目的NAT-----------目的地址(目的端口)转换的NAT
NAT-Server
NAT配置
源地址转换NAT
静态NAT ------------- 一对一的源IP地址转换,不转换端口(一般不常用)
配置:
interface GigabitEthernet0/0/1
nat static global 202.100.1.2 inside 172.16.10.1 netmask 255.255.255.255
nat static global 202.100.1.3 inside 172.16.20.1 netmask 255.255.255.255
动态NAT 一对一的源IP地址转换,不转换端口(一般不常用)
注意:配置地址池
配置思路:
第一步:配置地址池
nat address-group 1 202.100.1.2 202.100.1.3
第二步:使用ACL来匹配那些需要被转换的地址
acl number 2000
rule 5 permit source 172.16.10.0 0.0.0.255
rule 10 permit source 172.16.20.0 0.0.0.255
第三步: 配置映射关系
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 1 no-pat
NAPT---------------既转换源地址,也转源端口(常用NAT)
配置思路:
第一步:配置地址池
nat address-group 1 202.100.1.2 202.100.1.3
第二步:使用ACL来匹配那些需要被转换的地址
acl number 2000
rule 5 permit source 172.16.10.0 0.0.0.255
rule 10 permit source 172.16.20.0 0.0.0.255
第三步: 配置映射关系
interface GigabitEthernet0/0/1
nat outbound 2000 address-group 1
Easy_ip --------既转换源地址(出接口的IP地址),也转源端口 (常用NAT)
配置思路
第一步:使用ACL来匹配那些需要被转换的地址
acl number 2000
rule 5 permit source 172.16.10.0 0.0.0.255
rule 10 permit source 172.16.20.0 0.0.0.255
第二步: 配置映射关系
interface GigabitEthernet0/0/1
nat outbound 2000
第三步:检查
[AR1]display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 172.16.10.1
DestAddr Vpn : 203.100.1.200
Type Code IcmpId : 0 8 27181
NAT-Info
New SrcAddr : 202.100.1.1
New DestAddr : ----
New IcmpId : 10241
Protocol : ICMP(1)
SrcAddr Vpn : 172.16.10.1
DestAddr Vpn : 203.100.1.200
Type Code IcmpId : 0 8 27182
NAT-Info
New SrcAddr : 202.100.1.1
New DestAddr : ----
New IcmpId : 10242
Protocol : ICMP(1)
SrcAddr Vpn : 172.16.20.1
DestAddr Vpn : 203.100.1.100
Type Code IcmpId : 0 8 27182
NAT-Info
New SrcAddr : 202.100.1.1
New DestAddr : ----
New IcmpId : 10243
目的地址转换NAT
服务器映射(NAT-Server) ---------------转换目标地址和目标端口
interface GigabitEthernet0/0/1
nat server protocol tcp global 202.100.1.10 80 inside 172.16.10.100 80