防火墙基础之路由器与防火墙单臂路由和DHCP接口地址池的配置
路由器 防火墻單臂路由和DHCP接口地址池的配置
原理概述:
DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議。指的是由服務(wù)器控制一段IP地址范圍,客戶機(jī)登錄服務(wù)器時(shí)就可以自動(dòng)獲得服務(wù)器分配的IP地址和子網(wǎng)掩碼。
DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)通常被應(yīng)用在大型的局域網(wǎng)絡(luò)環(huán)境中,主要作用是集中地管理、分配IP地址,使網(wǎng)絡(luò)環(huán)境中的主機(jī)動(dòng)態(tài)的獲得IP地址、Gateway地址、DNS服務(wù)器地址等信息,并能夠提升地址的使用率。
DHCP協(xié)議采用客戶端/服務(wù)器模型,主機(jī)地址的動(dòng)態(tài)分配任務(wù)由網(wǎng)絡(luò)主機(jī)驅(qū)動(dòng)。當(dāng)DHCP服務(wù)器接收到來自網(wǎng)絡(luò)主機(jī)申請地址的信息時(shí),才會(huì)向網(wǎng)絡(luò)主機(jī)發(fā)送相關(guān)的地址配置等信息,以實(shí)現(xiàn)網(wǎng)絡(luò)主機(jī)地址信息的動(dòng)態(tài)配置。DHCP具有以下功能:?
1. 保證任何IP地址在同一時(shí)刻只能由一臺(tái)DHCP客戶機(jī)所使用。
2. DHCP應(yīng)當(dāng)可以給用戶分配永久固定的IP地址。?
3. DHCP應(yīng)當(dāng)可以同用其他方法獲得IP地址的主機(jī)共存(如手工配置IP地址的主機(jī))。
4. DHCP服務(wù)器應(yīng)當(dāng)向現(xiàn)有的BOOTP客戶端提供服務(wù)。
DHCP有三種機(jī)制分配IP地址:
1) 自動(dòng)分配方式(Automatic Allocation),DHCP服務(wù)器為主機(jī)指定一個(gè)永久性的IP地址,一旦DHCP客戶端第一次成功從DHCP服務(wù)器端租用到IP地址后,就可以永久性的使用該地址。?
2) 動(dòng)態(tài)分配方式(Dynamic Allocation),DHCP服務(wù)器給主機(jī)指定一個(gè)具有時(shí)間限制的IP地址,時(shí)間到期或主機(jī)明確表示放棄該地址時(shí),該地址可以被其他主機(jī)使用。?
3) 手工分配方式(Manual Allocation),客戶端的IP地址是由網(wǎng)絡(luò)管理員指定的,DHCP服務(wù)器只是將指定的IP地址告訴客戶端主機(jī)。?
三種地址分配方式中,只有動(dòng)態(tài)分配可以重復(fù)使用客戶端不再需要的地址
單臂路由(router-on-a-stick)是指在路由器的一個(gè)接口上通過配置子接口(或“邏輯接口”,并不存在真正物理接口)的方式,實(shí)現(xiàn)原來相互隔離的不同VLAN(虛擬局域網(wǎng))之間的互聯(lián)互通
路由器的物理接口可以被劃分成多個(gè)邏輯接口,這些被劃分后的邏輯接口被形象的稱為子接口。值得注意的是這些邏輯子接口不能被單獨(dú)的開啟或關(guān)閉,也就是說,當(dāng)物理接口被開啟或關(guān)閉時(shí),所有的該接口的子接口也隨之被開啟或關(guān)閉。
優(yōu)點(diǎn):實(shí)現(xiàn)不同vlan之間的通信,有助理解、學(xué)習(xí)VLAN原理和子接口概念。
缺點(diǎn):容易成為網(wǎng)絡(luò)單點(diǎn)故障,配置稍有復(fù)雜,現(xiàn)實(shí)意義不大。
實(shí)驗(yàn)拓?fù)?#xff1a;
?
首先配置二層交換機(jī):
配置VLAN 10 20
vlan batch 10 20配置接口:
[SW1-Ethernet0/0/1]port link-type access[SW1-Ethernet0/0/2]port link-type access[SW1]int e0/0/1[SW1-Ethernet0/0/1]port default vlan 10[SW1-Ethernet0/0/1]int e0/0/2[SW1-Ethernet0/0/2]port default vlan 20[SW1-Ethernet0/0/2]int e0/0/3[SW1-Ethernet0/0/3]port link-type trunk[SW1-Ethernet0/0/3]port trunk allow-pass vlan 10 20SW2同理
配置路由器:
配置是需要在子接口視圖下,給接收到的數(shù)據(jù)打上是那個(gè)指定VLAN的標(biāo)簽
配置單臂路由:
#interface GigabitEthernet0/0/0.1dot1q termination vid 10ip address 10.1.1.2 255.255.255.0arp broadcast enabledhcp select interface#interface GigabitEthernet0/0/0.2dot1q termination vid 20ip address 20.1.1.2 255.255.255.0arp broadcast enabledhcp select interface配置DHCP 地址池:
[R1]ip pool vlan10Info: It's successful to create an IP address pool.[R1-ip-pool-vlan20]network 10.1.1.0 mask 24[R1-ip-pool-vlan20]gateway-list 10.1.1.2 [R1]ip pool vlan20Info: It's successful to create an IP address pool.[R1-ip-pool-vlan20]network 20.1.1.0 mask 24[R1-ip-pool-vlan20]gateway-list 20.1.1.2記得在全局模式下開啟DHCP 功能
命令:
dhcp enable防火墻的配置:
首先先將接口劃分安全區(qū)域
將子接口劃分到trust區(qū)域
#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet0/0/0.1add interface GigabitEthernet0/0/0.2配置接口:
原理和路由器同理:
也需要在子接口視圖下,給接收到的數(shù)據(jù)打上是那個(gè)指定VLAN的標(biāo)簽
#interface GigabitEthernet0/0/0.1vlan-type dot1q 10ip address 10.1.1.2 255.255.255.0dhcp select interface#interface GigabitEthernet0/0/0.2vlan-type dot1q 20ip address 20.1.1.2 255.255.255.0dhcp select interface配置安全策略:
#security-policydefault action permit配置DHCP 地址池:
#ip pool vlan10gateway-list 10.1.1.2#ip pool vlan20gateway-list 20.1.1.2路由器:
可以看到,PC獲得了IP地址和相關(guān)信息
連通性正常
防火墻:
可以看到,PC獲得了IP地址和相關(guān)信息
實(shí)驗(yàn)結(jié)束;
備注:如有錯(cuò)誤,請諒解!
此文章為本人學(xué)習(xí)筆記,僅供參考!如有重復(fù)!!!請聯(lián)系本人
總結(jié)
以上是生活随笔為你收集整理的防火墙基础之路由器与防火墙单臂路由和DHCP接口地址池的配置的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: HDU多校第六场——HDU6638 Sn
- 下一篇: 51单片机可以用来练手的60个小设计