周六:网络CCNA+HCIA=线上直播/线下面授——同步上课
周日:网络CCNP+HCIP=线上直播/线下面授——同步上课
周六:系统 RHCE=线上直播/线下面授——同步上课
周日:系统 RHCA=线上直播/线下面授——同步上课
点击👇
免费预约试听
大家好,这里是G-LAB IT实验室。今天我们来学习一下华为DHCP与ACL配置实战。
01、实验拓扑
02、实验需求
需求:
1.PC1和PC2都是通过DHCP获取IP地址
2.按照访问控制进行数据的控制
a.允许PC1的网段访问其他
b.允许PC1 ping PC2
c.允许PC1 telnet R2在工作日的9:00-18:00
03、实验步骤
A.基础IP地址配置
R1:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 100.1.1.10 24
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
R2:
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 200.1.1.10 24
B.DHCP配置
R2:
[R2]dhcp enable
[R2]ip pool PC1
(建一个pool名字是PC1,意味着PC1会从这个地址池里获取地址)
[R2-ip-pool-PC1]network 100.1.1.0 mask 24
(配置PC1获取的IP地址网段)
[R2-ip-pool-PC1]gateway-list 100.1.1.10
(配置PC1的网关是100.1.1.10,也就是R1的e0/0接口)
[R2-ip-pool-PC1]excluded-ip-address 100.1.1.200 100.1.1.254
(配置地址排除,也就是PC1不会拿到200-254的地址)
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]dhcp select global
(配置PC1获取地址模式为dhcp的global模式)
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]dhcp select interface
(配置PC1获取地址模式为dhcp的interface模式,即获取的地址跟g0/0/1在同一网段,获取的网关就是g0/0/1的地址)
[R2-GigabitEthernet0/0/1]dhcp server excluded-ip-address 200.1.1.200 200.1.1.254
(配置地址排除,也就是PC2不会拿到200-254的地址)
此时PC2能够通过DHCP获取地址,因为PC2跟R2(DHCP-sever)之间没有其他路由器,不需要跨网段:
但是PC1却不能够通过DHCP获取地址,因为PC1跟R2(DHCP-sever)之间还有其他路由器R1,需要跨网段,所以还需给R1配置DHCP中继:
R1:
[R1]dhcp enable
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]dhcp select relay
[R1-GigabitEthernet0/0/0]dhcp relay server-ip 12.1.1.2
(接口下配置DHCP中继,也就是将DHCP请求的广播报文转发给DHCP服务器)
除了配置DHCP中继,还需确保路由可达:
R2:
[R2]ip route-static 100.1.1.0 24 12.1.1.1
(确保有回包路由)
R1:
[R1]ip route-static 200.1.1.0 24 12.1.1.2
(这是为了方便后续测试使用,不影响DHCP)
此时PC1就能够通过DHCP获取地址:
[PC1]dhcp en
[PC1]int g0/0/0
[PC1-GigabitEthernet0/0/0]ip address dhcp-alloc
C.ACL配置
只允许PC1能够访问其他网段
这个需求其实是指如果PC1和R1之间还有一台交换机,这台交换机上又连了其他设备,比如PC3,地址是其他网段,我只想让PC1这个网段能够访问R1身后的网段,而PC3不行:
R1:
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 100.1.1.199 0
(ACL匹配感兴趣流,限制源地址,千万不要写100.1.1.0)
[R1-acl-basic-2000]rule 10 deny source any
(默认有条permit,所以必须配)
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
(接口下调用ACL在in方向)
此时在PC1上去pingPC2,发现通信没问题,并且在R1上能发现ACL匹配成功:
只允许PC1pingPC2
这个需求其实是只有PC1能够pingPC2,而其他网段不行,比如12.1.1.0/24网段之类的:
R2:
[R2]acl 3000
[R2-acl-adv-3000]rule 5 permit icmp source 100.1.1.199 0 destination 200.1.1.199 0
(限制源ip和目的ip,并且限制应用是icmp)
[R2-acl-adv-3000]rule 10 deny ip
(默认有条permit,所以必须配)
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000
(接口下调用ACL在out方向)
此时在PC1上去pingPC2,发现通信没问题,并且在R1上能发现ACL匹配成功,但是R1上带源(12.1.1.1)去pingPC2就不通:
允许PC1telnetR2在工作日的9:00-18:00
R2:
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):huawei
(配置R2的telnet)
[R2]time-range T 9:00 to 18:00 working-day daily
(创建一个时间策略名称是T,待会调用,配置时间策略为每周的周一到周五的9:00-18:00)
[R2-acl-adv-3010]rule 5 permit tcp source 100.1.1.199 0 destination 200.1.1.10 0 destination-port eq 23 time-range T
(配置策略限制源ip和目标ip,并且限制行为为telnet,时间策略调用T)
[R2-acl-adv-3010]rule 10 deny ip
(默认有条permit,所以必须配)
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3010
(接口下调用ACL在in方向)
此时在PC1上就可以telnet上R2,并且策略有匹配:
若修改R2的时间:
此时在PC1上telnet R2,策略则匹配是deny:
G-LAB IT实验室课程
