(1)DHCP的基本概念
IP地址分配有静态分配和动态分匹配两种分配方式。动态分配是使用动态主机配置协议(DHCP),由网络网站提出DHCP请求,从DHCPserver上自己主动获取一个IP地址与缺省网关,域名及域名server的IP地址等相关的TCP/IP属性的信息。
(2)DHCP的原理
1,当DHCP客户机第一次登录网络的时候﹐该客户机没有不论什么IP数据设定。它将向网络发出一个DHCPDISCOVE R封包。因为client还不知道自己属于哪一个网络,所以封包的来源地址会0.0.0.0,其目的地址则为255.255.255.255。向网络进行广播。
2,一般默认DHCPdiscover的等待时间为1秒。当客户机将第一个DHCPDISCOVER封包送出去之后,在1秒之内没有得到响应的话,就会进行第二次DHCPDISCOVER广播。
client最多有四次广播。除了第一次会等待1秒之外,其余三次的等待时间各自是9秒、13秒、16秒。假设都没有得到DHCPserver的响应。client则会显示错误信息,宣告DHCPDISCOVER的失败。之后,系统会继续在5分钟之后再反复一次DHCPDISCOVER的过程。
3,当DHCPserver监听到client发出的DHCPDISCOVER广播后。将会对客户机作出应答。
它会从那些还没有租出的地址中,选择最前面的闲置IP,DHCP客户所需的TCP/IP设定。响应给client一个DHCPOFFER封包。
4。DHCP协议同意网络上配置多台DHCP,客户机将会收到网络上多台DHCPserver的响应。但它仅仅会挑选当中一个DHCPOFFER。通常都是最先抵达的那个,然后客户机向网络发送一个DHCPREQUEST广播封包,告诉全部DHCPserver它将接受哪一台server提供的IP地址。client还会向网络发送一个ARP封包,确认网络上是否有其他机器在使用该IP地址。假设发现该IP已经被占用。客户机则会发出一个DHCPDECLINE封包给DHCPserver﹐拒绝接受其DHCPOFFER并又一次发送DHCPDISCOVER信息。
5。当DHCPserver接收到client的DHCPREQUEST封包之后,向client发出一个DHCPACK响应。确认该IP租约的正式生效。
(3)DHCP的工作原理
DHCP採用C/S工作模式。DHCPserver主要完毕两个功能。一是建管理IP地址池,地址池为DHCPclient攻台分配地址提供有效而连续的一组还有IP地址。还有每一个子网的缺省网关。子网掩码以及域名和域名server的IP地址。
还有一个功能是接收并处理DHCPclient是提出的DHCP请求,当DHCP接收到一个DHCP请求时。首先查询IP地址池为客户分配一个可用的IP地址;然后将分配给客户的IP地址以及子网掩码。缺省网关,域名和域名server的IP地址等信息一并返回给DHCP客户。
DHCPServer/Client工作模式示意图:
DHCP的配置主要IP池的建立与配置以及数据库代理的配置。建立IP池后,进行DHCP配置模式,该配置模式下对DHCP进行配置,主要任务包含:IP池地址的子网地址、子网掩码以及缺省网关、域名、域名serverIP地址、IP地址租用时间等的配置。
DHCP的配置示意图:
a)配置IP地址池的名称并进入DHCP pool配置模式
Router(config)#ip dhcp pool ttt
b)配置IP地址池的子网地址和子网掩码
1。在 DHCP Pool配置模式下:
命令格式:network <betwork-number> [mask|/prefix-length]
Router(dhcp-config)#network 201.23.98.0 255.255.255.0
Router(dhcp-config)#network 201.23.98.0/24
2,配置不用于动态分配的IP地址(除外地址)
格式:ip dhcp excluded-address low-address [high-address]
排除从201.23.98.10的一段地址
Router(config)#ip dhcp excleded-address 201.23.98.2 201.23.98.10
排除单个IP地址201.23.98.193
Router (config)#ip dhcp excluded-address 201.23.98.193
3,配置IP地址池的缺省网关
命令格式:default-router address [address2...address8]
Router(dhcp-config)#default-router 201.23.98.1
4,配置IP地址池的域名系统
配置IP地址池的域名
在DHCP Pool配置模式下:
命令格式:domain-name <name>
Router(dhcp-config)#domain-name pku.edu.cn
配置IP地址池的域名server的IP地址
在DHCP Pool配置模式下:
命令格式:dns-server address [address2...address8]
Router(dhcp-config)#ddns-server address 212.105.129.27 212.105.129.26
5,配置IP地址池的地址租约时间
在DHCP Pool配置模式下:
命令格式:lease{days[hours][minutes|infinite]}
比如:设置租约时间为5小时
Router(dhcp-config)#lease 0 5
6,取消冲突地址记录日志
在全局配置模式下:
Router(config)#no ip dhcp conflict logging
DHCP的工作流程图:
no ip dhcp conflict logging
ip dhcp excluded-address 182.105.246.2 185.105.246.10
ip dhcp excluded-address 182.105.247.200 185.105.247.254
ip dhcp pool 246
network 182.105.246.0 255.255.255.0
default-router 182.105.246.1
domain-name pku.edu.cn
dns-server 182.105.129.26 182.105.129.27 222.112.7.13
lease 0 5
ip dhcp pool 247
八。路由器IP訪问控制列表的功能及其配置
路由器提供的訪问控制列表能够为路由器提供0基础的防火墙功能,它能够依据一些准则过滤不安全的数据包,如攻击包。病毒包等。以保障网络的安全性和可靠性。訪问控制列表的核心就是依据制定规则进行数据包的过滤,防止病毒包。扫描包,攻击包通过路由器去攻击网络,另外訪问控制列表还能够限制网络流量,防止不必要的数据包通过路由,提高宽带利用率以及网络性能。
訪问控制列表是一个连续的列表,该控制列表在建立并配置好后。接着其应用于一个接。一个VTYline或被其它命令引用后,列表開始生效。一个port运行哪条訪问控制列表,这须要依照列表中的条件语句运行顺序来推断。通常是从第一条開始顺序运行的。假设一个数据包的报头与表中的某个条件推断语句相匹配,那么后面的语句就将被忽略,不再进行检查。反之,才交给下一条语句进行比較。
(1)IP訪问控制列表的主要功能
通过灵活地添加訪问控制列表,ACL能够当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包
2。过滤源地址或目的地址
该准则不仅能够同意或拒绝来自某源IP地址的数据包进入路由器,还能够同意和拒绝目的地址为某IP地址的数据包通过路由器。
b)过滤port号
该准则能够同意或拒绝某些协议的某些port号的数据包通过路由器。
c)过滤协议(ICMP TCU UDP)
该准则能够同意或拒绝如TCP、UDP、ICMP等协议的数据包通过路由器。
3,訪问控制列表的分类
a)标准訪问控制列表:
标准訪问控制列表基于网络地址的信息流,仅仅能检查数据包的源地址。
表号的范围是:1-99.扩展后的是1300-1999。
b)扩展訪问控制列表:
扩展訪问控制列表通过网络地址和传输中的数据类型进行信息流控制,能够检查数据包的源地址与目的地址。
依据源网络,目的网络。子网掩码,主机的IP地址决定数据包的过滤。该訪问控制列表还能够检查指定的协议以及port号,表号的范围是100-199,扩展后的是2000-2699。
(2)配置IP訪问控制列表
首先在全局配置模式下定义訪问控制列表。然后将其应用到接口中。使通过该接口的数据包须要进行对应的匹配,然后决定被通过还是拒绝。而且訪问控制列表语句按顺序自上向下開始匹配数据包。假设一个数据包头与訪问权限表某一语句不匹配。则继续检測列表中的下一个语句。在运行到訪问列表的最后,还没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。
ACL语句的顺序很重要。若要同意除202.204.4.2以外的全部的源地址谈过路由器。须要先配置“deny 202.204.4.2”,再配置“permit any”.
(3)配置訪问控制列表的两个重要參数
1,表号和名字
表号是用来标识或是引用某个訪问控制列表。訪问控制列名的名字用字符串来表示。
訪问控制列表表号范围:
訪问控制列表的通配符掩码是一个32bit的数字字符串,它点分成4个8位,每组包括8bit。在通配符掩码位中。表
示形式与IP地址的子网掩码同样。它实际上即是子网掩码的反码。
(4)配置IP訪问控制列表1,配置标准訪问控制列表
在全局模式下:
access-list access-list-number {permit|deny}source wildcard-mask
应用1 仅仅同意源地址为211.105.130.0 255.255.255.0子网的主机登录到路由器。
Router(config)#access-list 10 permit 211.105.130.0 0.0.0.255
配置应用接口:
Router(config)#line vty 0 5
Router(config)#access-class 10 in
应用2 仅仅同意源地址为182.105.130.111和222.112.7.56的两台主机登录到路由器。
在全局配置模式下:
Router(config)#access-list 20 permit 182.105.130.111
Router(config)#access-list 20 permit 222.112.7.56
Router(config)#access-list 20 deny any (any代表全部主机)
配置应用接口:
Router(config)#line vty 0 5
Router(config)#access-class 20 in
应用3 禁止源地址为非法地址的数据包进入路由器或从路由器输出
在全局配置模式下:
Router(config)#access-list 30 deny 10.0.0.0 0.255.255.255 log
Router(config)#access-list 30 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 30 deny 172.0.0.0 0.255.255.255
Router(config)#access-list 30 deny 172.16.0.0
Router(config)#access-list 30 permit any
配置应用接口:
Router(config)#interface g0/1
Router(config)#ip access-group 30 in
2,配置扩展訪问控制列表
a)使用access-list命令
在全局配置模式下:
命令格式:
access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator][operand]
当中:operator(操作),操作有“lt”(小于)、“gt”(大于)、“eq”(等于)、“neq”(不等于)。
operatand(操作数)。指的是port号。
应用1 拒绝转发全部IP地址进出的,port号为1434的UDP协议数据包
在全局配置模式下:
Router(config)#access-list 130 deny any any eq 1434
Router(config)#access-list 130 permit ip any any
Router(config)#
配置应用port:
Router(config)#interface g0/1
Router(config)#ip access-group 130 in
Router(config)#ip access-group 130 out
应用2 封禁某一台主机。
在全局配置模式下:
Router(config)#access-list 110 deny ip hpst 201.112.60.230
Router(config)#access-list 110 deny ip any host 202.112.60.230 log
Router(config)#access-list 110 permit ip any any
配置应用port:
Router(config)#interface g0/1
Router(config)#ip access-group 110 in
Router(config)#ip access-group 110 out
应用3 封禁ICMP协议。仅仅同意162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通过路由器。
在全局配置模式下:
Router(config)#access-list 198 permit icmp 162.105.141.0 0.0.0.255 any
Router(config)#access-list 198 permit icmp 202.38.97.0 0.0.0.255 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
配置应用port:
Router(config)#interface g0/1
Router(config)#ip access-group 198 in
Router(config)#ip access-group 198 out
b)使用ip access-list命令
在全局配置模式下:
命令格式:
ip access-list extended|standard access-list-number|name
在扩展或标准反訪问控制列表模式下(如:Router(config-ext-nacl)#)
配置过滤规则:
命令格式:
permit|deny protocol source wildcard-mask destination wildcaed-mask [operator][operand]
应用 拒绝转发全部IP进与出方向的。port号为1434的UDP协议数据包
在全局配置模式下:
Router(config)#ip access-list extended 130(进入扩展訪问控制列表配置模式)
Router(config-ext-nacl)#deny udp any any eq 1434
Router(config-ext-nacl)#permit up any any
配置应用port:
Router(config)#interface g0/1
Router(config)#ip access-group 130 in
Router(config)#ip access-group 130 out
c)使用名字标识訪问控制列表的配置方法
在全局配置模式下:
命令格式:
ip access-list extended|standard access-list-number|name
在扩展或标准反訪问控制列表模式下(如:Router(config-ext-nacl)#)
配置过滤规则:
命令格式:
permit|deny protocol source wildcard-mask destination wildcaed-mask [operator][operand]
应用1 禁止源地址为非法地址的数据包进入路由器或从路由器输出。
在全局配置模式下:
Router(config)#ip access-list standard test
Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
Router(config-std-nacl)#deny 172.0.0.0 0.255.255.255
Router(config-std-nacl)#deny 172.16.0.0
Router(config-std-nacl)#permit any
配置应用接口:
Router(config)#interface g0/1
Router(config)#ip access-group test in
Router(config)#ip access-group test out
应用2 禁止port号为1434的UDP数据包和port号为4444的TCP数据包。
在全局配置模式下:
Router(config)#ip access-list standard block1434
Router(config-std-nacl)#deny udp any any eq 1434
Router(config-std-nacl)#deny tcp any any eq 4444
Router(config-std-nacl)#permit ip any any
Router(config-std-nacl)#
配置应用接口:
Router(config)#interface g0/1
Router(config)#ip access-group block1434 in
Router(config)#ip access-group block1434 out
(5)查看訪问控制列表
在特权用户模式下:
Router# show access-lists
Extended IP access list block1434
deny udp any any eq 1434
deny tcp any any eq 4444
pernit ip any any