周六:网络CCNA+HCIA=线上直播/线下面授——同步上课

周日:网络CCNP+HCIP=线上直播/线下面授——同步上课

周六:系统RHCE=线上直播/线下面授——同步上课

周日:系统RHCA=线上直播/线下面授——同步上课

预约试听

大家好,这里是G-LAB IT实验室。今天我们来学习一下华为DHCP与ACL配置实战。

01、实验拓扑

01、实验拓扑

打开网易新闻 查看精彩图片

02、实验需求

02、实验需求

需求:

1.PC1和PC2都是通过DHCP获取IP地址

2.按照访问控制进行数据的控制

a.允许PC1的网段访问其他

b.允许PC1 ping PC2

c.允许PC1 telnet R2在工作日的9:00-18:00

03、实验步骤

03、实验步骤

A.基础IP地址配置

R1:

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 100.1.1.10 24

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24

R2:

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24

[R2]int g0/0/1

[R2-GigabitEthernet0/0/1]ip add 200.1.1.10 24

B.DHCP配置

R2:

[R2]dhcp enable

[R2]ip pool PC1

(建一个pool名字是PC1,意味着PC1会从这个地址池里获取地址)

[R2-ip-pool-PC1]network 100.1.1.0 mask 24

(配置PC1获取的IP地址网段)

[R2-ip-pool-PC1]gateway-list 100.1.1.10

(配置PC1的网关是100.1.1.10,也就是R1的e0/0接口)

[R2-ip-pool-PC1]excluded-ip-address 100.1.1.200 100.1.1.254

(配置地址排除,也就是PC1不会拿到200-254的地址)

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]dhcp select global

(配置PC1获取地址模式为dhcp的global模式)

[R2]int g0/0/1

[R2-GigabitEthernet0/0/1]dhcp select interface

(配置PC1获取地址模式为dhcp的interface模式,即获取的地址跟g0/0/1在同一网段,获取的网关就是g0/0/1的地址)

[R2-GigabitEthernet0/0/1]dhcp server excluded-ip-address 200.1.1.200 200.1.1.254

(配置地址排除,也就是PC2不会拿到200-254的地址)

此时PC2能够通过DHCP获取地址,因为PC2跟R2(DHCP-sever)之间没有其他路由器,不需要跨网段:

打开网易新闻 查看精彩图片

但是PC1却不能够通过DHCP获取地址,因为PC1跟R2(DHCP-sever)之间还有其他路由器R1,需要跨网段,所以还需给R1配置DHCP中继:

R1:

[R1]dhcp enable

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]dhcp select relay

[R1-GigabitEthernet0/0/0]dhcp relay server-ip 12.1.1.2

(接口下配置DHCP中继,也就是将DHCP请求的广播报文转发给DHCP服务器)

除了配置DHCP中继,还需确保路由可达:

R2:

[R2]ip route-static 100.1.1.0 24 12.1.1.1

(确保有回包路由)

R1:

[R1]ip route-static 200.1.1.0 24 12.1.1.2

(这是为了方便后续测试使用,不影响DHCP)

此时PC1就能够通过DHCP获取地址:

[PC1]dhcp en

[PC1]int g0/0/0

[PC1-GigabitEthernet0/0/0]ip address dhcp-alloc

打开网易新闻 查看精彩图片

C.ACL配置

只允许PC1能够访问其他网段

这个需求其实是指如果PC1和R1之间还有一台交换机,这台交换机上又连了其他设备,比如PC3,地址是其他网段,我只想让PC1这个网段能够访问R1身后的网段,而PC3不行:

R1:

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 100.1.1.199 0

(ACL匹配感兴趣流,限制源地址,千万不要写100.1.1.0)

[R1-acl-basic-2000]rule 10 deny source any

(默认有条permit,所以必须配)

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

(接口下调用ACL在in方向)

此时在PC1上去pingPC2,发现通信没问题,并且在R1上能发现ACL匹配成功:

打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片

只允许PC1pingPC2

这个需求其实是只有PC1能够pingPC2,而其他网段不行,比如12.1.1.0/24网段之类的:

R2:

[R2]acl 3000

[R2-acl-adv-3000]rule 5 permit icmp source 100.1.1.199 0 destination 200.1.1.199 0

(限制源ip和目的ip,并且限制应用是icmp)

[R2-acl-adv-3000]rule 10 deny ip

(默认有条permit,所以必须配)

[R2]int g0/0/1

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

(接口下调用ACL在out方向

此时在PC1上去pingPC2,发现通信没问题,并且在R1上能发现ACL匹配成功,但是R1上带源(12.1.1.1)去pingPC2就不通:

打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片

允许PC1telnetR2在工作日的9:00-18:00

R2:

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):huawei

(配置R2的telnet)

[R2]time-range T 9:00 to 18:00 working-day daily

(创建一个时间策略名称是T,待会调用,配置时间策略为每周的周一到周五的9:00-18:00)

[R2-acl-adv-3010]rule 5 permit tcp source 100.1.1.199 0 destination 200.1.1.10 0 destination-port eq 23 time-range T

(配置策略限制源ip和目标ip,并且限制行为为telnet,时间策略调用T)

[R2-acl-adv-3010]rule 10 deny ip

(默认有条permit,所以必须配)

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3010

(接口下调用ACL在in方向)

打开网易新闻 查看精彩图片

此时在PC1上就可以telnet上R2,并且策略有匹配:

打开网易新闻 查看精彩图片
打开网易新闻 查看精彩图片

若修改R2的时间:

打开网易新闻 查看精彩图片

此时在PC1上telnet R2,策略则匹配是deny:

打开网易新闻 查看精彩图片

G-LAB IT实验室课程