当前位置: 代码迷 >> 交换机/路由器 >> 路由器的原理及其配置(3)
  详细解决方案

路由器的原理及其配置(3)

热度:78   发布时间:2016-04-29 04:29:41.0
路由器的原理及其配置(三)
        七,路由器的DHCP功能及其配置
        (1)DHCP的基本概念
        IP地址分配有静态分配和动态分匹配两种分配方式。动态分配是使用动态主机配置协议(DHCP),由网络站点提出DHCP请求,从DHCP服务器上自动获取一个IP地址与缺省网关,域名及域名服务器的IP地址等相关的TCP/IP属性的信息。  
        (2)DHCP的原理
        1,当DHCP客户机第一次登录网络的时候﹐该客户机没有任何IP数据设定,它将向网络发出一个DHCPDISCOVE R封包。由于客户端还不知道自己属于哪一个网络,所以封包的来源地址会0.0.0.0,其目的地址则为255.255.255.255,向网络进行广播。
        2,一般默认DHCPdiscover的等待时间为1秒,当客户机将第一个DHCPDISCOVER封包送出去之后,在1秒之内没有得到响应的话,就会进行第二次DHCPDISCOVER广播。客户端最多有四次广播,除了第一次会等待1秒之外,其余三次的等待时间分别是9秒、13秒、16秒。如果都没有得到DHCP服务器的响应,客户端则会显示错误信息,宣告DHCPDISCOVER的失败。之后,系统会继续在5分钟之后再重复一次DHCPDISCOVER的过程。
        3,当DHCP服务器监听到客户端发出的DHCPDISCOVER广播后,将会对客户机作出应答。它会从那些还没有租出的地址中,选择最前面的闲置IP,DHCP客户所需的TCP/IP设定,响应给客户端一个DHCPOFFER封包。
        4,DHCP协议允许网络上配置多台DHCP,客户机将会收到网络上多台DHCP服务器的响应,但它只会挑选其中一个DHCPOFFER,通常都是最先抵达的那个,然后客户机向网络发送一个DHCPREQUEST广播封包,告诉所有DHCP服务器它将接受哪一台服务器提供的IP地址。客户端还会向网络发送一个ARP封包,确认网络上是否有其它机器在使用该IP地址;如果发现该IP已经被占用,客户机则会发出一个DHCPDECLINE封包给DHCP服务器﹐拒绝接受其DHCPOFFER并重新发送DHCPDISCOVER信息。
        5,当DHCP服务器接收到客户端的DHCPREQUEST封包之后,向客户端发出一个DHCPACK响应,确认该IP租约的正式生效。
       (3)DHCP的工作原理
       DHCP采用C/S工作模式。DHCP服务器主要完成两个功能,一是建管理IP地址池,地址池为DHCP客户端攻台分配地址提供有效而连续的一组还有IP地址,还有每个子网的缺省网关,子网掩码以及域名和域名服务器的IP地址。
       另一个功能是接收并处理DHCP客户端是提出的DHCP请求,当DHCP接收到一个DHCP请求时,首先查询IP地址池为客户分配一个可用的IP地址;然后将分配给客户的IP地址以及子网掩码,缺省网关,域名和域名服务器的IP地址等信息一并返回给DHCP客户。

       DHCPServer/Client工作模式示意图:
    
           (4)DHCP服务器的配置

       DHCP的配置主要IP池的建立与配置以及数据库代理的配置。建立IP池后,进行DHCP配置模式,该配置模式下对DHCP进行配置,主要任务包括:IP池地址的子网地址、子网掩码以及缺省网关、域名、域名服务器IP地址、IP地址租用时间等的配置。

       DHCP的配置示意图:

      

       DHCP数据库代理是用于存储DHCP绑定信息的一台主机。在一般情况下可以不对其进行配置。若不想配置DHCP数据库代理,则使用命令noipdhcpconflictlogging,该命令取消了地址冲突日志的记录的功能,以实现不配置数据库。
       a)配置IP地址池的名称并进入DHCP pool配置模式
       Router(config)#ip dhcp pool ttt
       b)配置IP地址池的子网地址和子网掩码
       1,在 DHCP Pool配置模式下:
       命令格式:network <betwork-number> [mask|/prefix-length]
       Router(dhcp-config)#network 201.23.98.0 255.255.255.0
       Router(dhcp-config)#network 201.23.98.0/24
       2,配置不用于动态分配的IP地址(除外地址)
       格式:ip dhcp excluded-address low-address [high-address]   
       排除从201.23.98.10的一段地址
       Router(config)#ip dhcp excleded-address 201.23.98.2 201.23.98.10
       排除单个IP地址201.23.98.193
       Router (config)#ip dhcp excluded-address 201.23.98.193
       3,配置IP地址池的缺省网关
       命令格式:default-router address [address2...address8]
       Router(dhcp-config)#default-router 201.23.98.1
       4,配置IP地址池的域名系统
       配置IP地址池的域名
       在DHCP Pool配置模式下:
       命令格式:domain-name <name>
       Router(dhcp-config)#domain-name pku.edu.cn
       配置IP地址池的域名服务器的IP地址
       在DHCP Pool配置模式下:
       命令格式:dns-server address [address2...address8]
       Router(dhcp-config)#ddns-server address 212.105.129.27 212.105.129.26
       5,配置IP地址池的地址租约时间
       在DHCP Pool配置模式下:
       命令格式:lease{days[hours][minutes|infinite]}
       例如:设置租约时间为5小时
       Router(dhcp-config)#lease 0 5
       6,取消冲突地址记录日志
       在全局配置模式下:
       Router(config)#no ip dhcp conflict logging

       DHCP的工作流程图:

            一个完整的DHCP配置信息:
        no ip dhcp conflict logging
        ip dhcp excluded-address 182.105.246.2 185.105.246.10
        ip dhcp excluded-address 182.105.247.200 185.105.247.254
        ip dhcp pool 246
        network 182.105.246.0 255.255.255.0
        default-router 182.105.246.1
        domain-name pku.edu.cn
        dns-server 182.105.129.26 182.105.129.27 222.112.7.13
        lease 0 5
        ip dhcp pool 247

         八,路由器IP访问控制列表的功能及其配置
       路由器提供的访问控制列表能够为路由器提供初级的防火墙功能,它可以根据一些准则过滤不安全的数据包,如攻击包,病毒包等,以保障网络的安全性和可靠性。访问控制列表的核心就是根据制定规则进行数据包的过滤,防止病毒包,扫描包,攻击包通过路由器去攻击网络,另外访问控制列表还可以限制网络流量,防止不必要的数据包通过路由,提高宽带利用率以及网络性能。
       访问控制列表是一个连续的列表,该控制列表在建立并配置好后,接着其应用于一个接,一个VTYline或被其他命令引用后,列表开始生效。一个端口执行哪条访问控制列表,这需要按照列表中的条件语句执行顺序来判断。一般是从第一条开始顺序执行的,如果一个数据包的报头与表中的某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查,反之,才交给下一条语句进行比较。
        (1)IP访问控制列表的主要功能
       通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包
        2,过滤源地址或目的地址
        该准则不仅可以允许或拒绝来自某源IP地址的数据包进入路由器,还可以允许和拒绝目的地址为某IP地址的数据包通过路由器。
        b)过滤端口号
        该准则可以允许或拒绝某些协议的某些端口号的数据包通过路由器。
        c)过滤协议(ICMP TCU UDP)
        该准则可以允许或拒绝如TCP、UDP、ICMP等协议的数据包通过路由器。
        3,访问控制列表的分类

            a)标准访问控制列表:
        标准访问控制列表基于网络地址的信息流,只能检查数据包的源地址。表号的范围是:1-99.扩展后的是1300-1999。
        b)扩展访问控制列表:
        扩展访问控制列表通过网络地址和传输中的数据类型进行信息流控制,可以检查数据包的源地址与目的地址。根据源网络,目的网络,子网掩码,主机的IP地址决定数据包的过滤。该访问控制列表还可以检查指定的协议以及端口号,表号的范围是100-199,扩展后的是2000-2699。

       (2)配置IP访问控制列表

       首先在全局配置模式下定义访问控制列表,然后将其应用到接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。并且访问控制列表语句按顺序自上向下开始匹配数据包。如果一个数据包头与访问权限表某一语句不匹配,则继续检测列表中的下一个语句。在执行到访问列表的最后,还没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。
        ACL语句的顺序非常重要。若要允许除202.204.4.2以外的所有的源地址谈过路由器,需要先配置“deny 202.204.4.2”,再配置“permit any”.
        (3)配置访问控制列表的两个重要参数
       1,表号和名字
       表号是用来标识或是引用某个访问控制列表。访问控制列名的名字用字符串来表示。
       访问控制列表表号范围:
   
             2,通配符掩码

       访问控制列表的通配符掩码是一个32bit的数字字符串,它点分成4个8位,每组包含8bit。在通配符掩码位中,表

示形式与IP地址的子网掩码相同。它实际上即是子网掩码的反码。

     (4)配置IP访问控制列表
       1,配置标准访问控制列表
       在全局模式下:
       access-list access-list-number {permit|deny}source wildcard-mask

       应用1 只允许源地址为211.105.130.0 255.255.255.0子网的主机登录到路由器。
       Router(config)#access-list 10 permit 211.105.130.0 0.0.0.255
       配置应用接口:
       Router(config)#line vty 0 5
       Router(config)#access-class 10 in
       应用2 只允许源地址为182.105.130.111和222.112.7.56的两台主机登录到路由器。
       在全局配置模式下:
       Router(config)#access-list 20 permit 182.105.130.111
       Router(config)#access-list 20 permit 222.112.7.56
       Router(config)#access-list 20 deny any (any代表所有主机)
       配置应用接口:
       Router(config)#line vty 0 5
       Router(config)#access-class 20 in
       应用3 禁止源地址为非法地址的数据包进入路由器或从路由器输出
       在全局配置模式下:
       Router(config)#access-list 30 deny 10.0.0.0 0.255.255.255 log
       Router(config)#access-list 30 deny 192.168.0.0 0.0.255.255
       Router(config)#access-list 30 deny 172.0.0.0 0.255.255.255
       Router(config)#access-list 30 deny 172.16.0.0 
       Router(config)#access-list 30 permit any 
       配置应用接口:
       Router(config)#interface g0/1
       Router(config)#ip access-group 30 in
       2,配置扩展访问控制列表
       a)使用access-list命令
       在全局配置模式下:
       命令格式:
       access-list access-list-number {permit|deny} protocol source wildcard-mask destination wildcard-mask [operator][operand]
       其中:operator(操作),操作有“lt”(小于)、“gt”(大于)、“eq”(等于)、“neq”(不等于)。
       operatand(操作数),指的是端口号。

       应用1 拒绝转发所有IP地址进出的,端口号为1434的UDP协议数据包
       在全局配置模式下:
       Router(config)#access-list 130 deny any any eq 1434
       Router(config)#access-list 130 permit ip any any
       Router(config)#
       配置应用端口:
       Router(config)#interface g0/1
       Router(config)#ip access-group 130 in
       Router(config)#ip access-group 130 out
       应用2 封禁某一台主机。
       在全局配置模式下:
       Router(config)#access-list 110 deny ip hpst 201.112.60.230 
       Router(config)#access-list 110 deny ip any host 202.112.60.230 log
       Router(config)#access-list 110 permit ip any any
       配置应用端口:
       Router(config)#interface g0/1
       Router(config)#ip access-group 110 in
       Router(config)#ip access-group 110 out
       应用3 封禁ICMP协议,只允许162.105.141.0/24和202.38.97.0/24子网的ICMP数据包通过路由器。
       在全局配置模式下:
       Router(config)#access-list 198 permit icmp 162.105.141.0 0.0.0.255 any
       Router(config)#access-list 198 permit icmp 202.38.97.0 0.0.0.255 any
       Router(config)#access-list 198 deny icmp any any
       Router(config)#access-list 198 permit ip any any
       配置应用端口:
       Router(config)#interface g0/1
       Router(config)#ip access-group 198 in
       Router(config)#ip access-group 198 out
       b)使用ip access-list命令
       在全局配置模式下:
       命令格式:
       ip access-list extended|standard access-list-number|name
       在扩展或标准反访问控制列表模式下(如:Router(config-ext-nacl)#)
       配置过滤规则:
       命令格式:
       permit|deny protocol source wildcard-mask destination wildcaed-mask [operator][operand]

       应用 拒绝转发所有IP进与出方向的,端口号为1434的UDP协议数据包
       在全局配置模式下:
       Router(config)#ip access-list extended 130(进入扩展访问控制列表配置模式) 
       Router(config-ext-nacl)#deny udp any any eq 1434
       Router(config-ext-nacl)#permit up any any
       配置应用端口:
       Router(config)#interface g0/1
       Router(config)#ip access-group 130 in
       Router(config)#ip access-group 130 out
       c)使用名字标识访问控制列表的配置方法  
       在全局配置模式下:
       命令格式:
       ip access-list extended|standard access-list-number|name
       在扩展或标准反访问控制列表模式下(如:Router(config-ext-nacl)#)
       配置过滤规则:
       命令格式:
       permit|deny protocol source wildcard-mask destination wildcaed-mask [operator][operand]

       应用1 禁止源地址为非法地址的数据包进入路由器或从路由器输出。
       在全局配置模式下:
       Router(config)#ip access-list standard test
       Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
       Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
       Router(config-std-nacl)#deny 172.0.0.0 0.255.255.255
       Router(config-std-nacl)#deny 172.16.0.0 
       Router(config-std-nacl)#permit any 
       配置应用接口:
       Router(config)#interface g0/1
       Router(config)#ip access-group test in
       Router(config)#ip access-group test out
       应用2 禁止端口号为1434的UDP数据包和端口号为4444的TCP数据包。
       在全局配置模式下:
       Router(config)#ip access-list standard block1434
       Router(config-std-nacl)#deny udp any any eq 1434
       Router(config-std-nacl)#deny tcp any any eq 4444
       Router(config-std-nacl)#permit ip any any
       Router(config-std-nacl)#
       配置应用接口:
       Router(config)#interface g0/1
       Router(config)#ip access-group block1434 in
       Router(config)#ip access-group block1434 out
       (5)查看访问控制列表
       在特权用户模式下:
       Router# show access-lists
       Extended IP access list block1434
       deny udp any any eq 1434
       deny tcp any any eq 4444
       pernit ip any any 


版权声明:本文为博主原创文章,未经博主允许不得转载。

  相关解决方案