网络控制&地址转换&管理技术
- 一、网络控制技术ACL
- 1.1、ACL应用场景
- 1.2、ACL分类
- 1.3、ACL规则
- 1.4、基本ACL配置
- 1.5、高级ACL配置
- 1.6、总结
- 二、网络地址转换NAT
- 2.1、NAT应用场景
- 2.2、静态NAT
- 2.3、静态NAT配置
- 2.4、动态NAT
- 2.5、动态NAT配置1
- 2.6、动态NAT配置2
- 2.7、NAPT
- 2.8、Easy IP
- 2.9、Easy IP配置
- 2.10、NAT服务器
- 2.11、NAT服务器配置
- 2.12、总结
- 三、DHCP原理&配置
- 3.1、DHCP应用场景
- 3.2、DHCP报文类型
- 3.3、DHCP首次获取地址工作原理
- 3.4、DHCP租期更新
- 3.5、DHCP重绑定
- 3.6、IP地址释放
- 3.7、地址池
- 3.8、DHCP接口地址池配置
- 3.9、DHCP全局地址池配置
- 3.10、总结
一、网络控制技术ACL
1、企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。
2、访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。
1.1、ACL应用场景
- ACL可以通过定义规则来允许或拒绝流量的通过。
- ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。
1.2、ACL分类
1.3、ACL规则
1、
0.0.0.255(00000000.00000000.000000000000.11111111)反掩码,通用配置匹配符号。
2、1表示任意,0表示匹配。
3、192.168.1.0 0.0.0.255表示匹配范围是192.168.1.0~192.168.1.255。
- 每个ACL可以包含多个规则,RTA根据规则来对数据流量进行过滤。
- ACL只匹配前缀长度,不匹配掩码。
1.4、基本ACL配置
如果没有写规则号,只写了
rule,那么规则号会默认从5、10、15…这样间隔5的顺序下去。
[RTA-GigabitEthernet 0/0/0]traffic-filter outbound acl 2000
#1、在GigabitEthernet 0/0/0端口开启流量过滤器
#2、outbound 在端口出来的流量应用
#3、应用acl 2000的规则
配置确认:
1.5、高级ACL配置
配置验证:
1.6、总结
1、高级ACL可以基于哪些条件来定义规则?五元组(SIP、DIP、SP、DP、protocol)
二、网络地址转换NAT
1、随着Interne的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管Pv6可以从根本上解决Pv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于Pv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。
2、网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
2.1、NAT应用场景
- 企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由。
- NAT一般部署在连接内网和外网的网关设备上。
2.2、静态NAT
- 静态NAT实现了私有地址和公有地址的一对一映射。
- 一个公网IP只会分配给唯一且固定的内网主机。
- 需要手动的绑定哪个公有地址对应哪个私有地址。
2.3、静态NAT配置
配置验证:
2.4、动态NAT
- 动态NAT基于地址池来实现私有地址和公有地址的转换。
- 需要定义地址池。
2.5、动态NAT配置1
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
#1、outbound 出流量
#2、在出接口(s/1/0/0)上调用acl 2000的规则
#3、address-group 1 绑定地址池 1 acl匹配的私网地址都可以根据地址池进行nat转换
#4、no-pat NAPT也称为PAT,no-pat表示不进行端口转换,是单纯的动态NAT
配置验证:
2.6、动态NAT配置2
- 本例要求通过ACL来实现主机A和主机B分别使用不同的公网地址池来进行NAT转换。
配置验证:
2.7、NAPT
- 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。
- 需要定义地址池。
2.8、Easy IP
- Easy IP:允许将多个内部地址映射到网关出接口地址上的不同端口。
- 不需要定义地址池。
2.9、Easy IP配置
配置验证:
2.10、NAT服务器
- 通过配置NAT服务器,可以使外网用户访问内网服务器。
2.11、NAT服务器配置
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 80
#1、公网地址202.10.10.1映射成私网地址192.168.1.1
#2、要访问的协议是HTTP协议,公网地址才会映射成私网地址
#3、访问私网地址的80端口
配置验证:
2.12、总结
- 哪种NAT转换允许服务器既能被内部访问又能被外部访问?
- 通过NAT内部服务器配置,将公网地址与一个私网服务器地址绑定,在地址转换后,外网主机便可以通过公有地址访问内网服务器。同时,私网地址用户可以通过服务器的私网地址访问内网服务器。
- NAPT有什么功能和特点?
- NAPT是基于端口的转换,而不是基于IP地址的转换。NAPT允许多个内部地址映射到同一个公有地址的不同端口。
三、DHCP原理&配置
在大型企业网络中,会有大量的主机或设备需要获取IP地址等网络参数。如果采用手工配置,工作量大且不好管理,如果有用户擅自修改网络参数,还有可能会造成IP地址冲突等问题。使用动态主机配置协议DHCP(Dynamic Host Configuration Protocol)来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数时造成的地址冲突。
3.1、DHCP应用场景
- DHCP服务器能够为大量主机分配IP地址,并能够集中管理。
3.2、DHCP报文类型
3.3、DHCP首次获取地址工作原理
3.4、DHCP租期更新
- IP租约期限到达50%时,DHCP客户端会请求更新IP地址租约。
3.5、DHCP重绑定
- DHCP客户端在租约期限到达87.5%时,还没收到服务器响应,会申请重绑定IP。
3.6、IP地址释放
- 如果IP租约到期前都没有收到服务器响应,客户端停止使用此P地址。
- 如果DHCP客户端不再使用分配的IP地址,也可以主动向DHCP服务器发送DHCP RELEASE报文,释放该IP地址。
ipconfig /release释放地址ipconfig /renew重新获取地址
3.7、地址池
- ARG3系列路由器支持两种地址池:全局地址池和接口地址池。
3.8、DHCP接口地址池配置
[Huawei]dhcp enable #开启DHCP服务功能
[Huawei]interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0]dhcp select interface #使用接口地址池
[Huawei-GigabitEthernet0/0/0]dhcp server dns-list 10.1.1.2 #告诉DHCP服务器,将分配给客户端的DNS服务器设置为10.1.1.2
[Huawei-GigabitEthernet0/0/0]dhcp server excluded-ip-address 10.1.1.2 #地址池中排除10.1.1.2,不去下发,因为已经使用
[Huawei-GigabitEthernet0/0/0]dhcp server lease day 3 #设置租期3天,默认1天
配置验证:
3.9、DHCP全局地址池配置
[Huawei]dhcp enable
[Huawei]ip pool pool2
Info:It's successful to create an IP addresss poo1.
[Huawei-ip-pool-poo12]network 1.1.1.0 mask 24 #设置地址池的IP地址空间为 1.1.1.0/24
[Huawei-ip-pool-poo12]gateway-list 1.1.1.1 #设置网关地址
[Huawei-ip-pool-pool2]lease day 10
[Huawei-ip-pool-poo12]quit
[Huawei]interface GigabitEthernet0/0/1
[Huawei-GigabitEthernet0/0/1]dhcp select global
配置验证:
3.10、总结
1、地址池中的哪些IP地址一般会被排除?分配给网关的IP地址,分配给DNS服务器的IP地址2、DHCP服务器的IP地址租期默认是多久?1天
