项目六 DHCP中继代理与访问控制列表一、DHCP中继代理服务由于在大型园区网络中会存在多个物理网络,也就对应着存在多个逻辑网段(子网),
那么园区内的计算机是如何实现IP地址租用的呢?从DHCP的工作原理可以知道,DHCP客户端实际上是通过发送广播消息与DHCP服务器
通信的,DHCP客户端获取IP地址的四个阶段都依赖于广播消息的双向传播。而广播消息是不能跨越子网的,难道DHCP服务器就只能为网卡
直连的广播网络服务吗?如果DHCP客户机和DHCP服务器在不同的子网内,客户机还能不能向服务器申请IP地址呢? DHCP客户端是基
于局域网广播方式寻找DHCP服务器以便租用IP,路由器具有隔离局域网广播功能,因此在默认情况下,DHCP服务只能为自己所在网段提供
IP租用服务。如果要让一个多局域网的网络通过DHCP服务器实现IP自动分配,可以有两种办法。方法1:在每一个局域网都部署一台DHC
P服务器。方法2:路由器可以和DHCP服务器通信,如果路由器可以代为转发客户机的DHCP请求包,那么网络中只需要部署一台DHCP服
务器就可以为多个子网提供IP租用服务。二、访问控制列表(Access Control List)路由器不仅用于实现多个局域网的互联
和DHCP中继,其在数据包的存储转发中还可以通过过滤特定的数据包实现网络安全访问控制、流量控制等功能。对于数据包的过滤可以限制网络
中通信数据的类型,限制网络的使用者或使用的设备。访问控制列表在数据流通过网络设备时对其进行分类过滤,并对从指定端口输入或者输出的数
据流进行检查,根据匹配条件决定是否允许通过还是丢弃。访问控制列表由若干条表项组成,我们称之为接入控制列表,每一个接入控制列表都申明
了满足该表项的匹配条件及行为。访问控制列表可以针对数据包的源地址、目标地址、传输层协议、端口号等条件设置匹配规则。通过建立ACL,
主要用于保证网络资源不被非法访问,其次还可以用于限制网络流量,提高网络性能,对通信流量起到控制的作用,这些都是对网络访问的基本手段
。在路由器的端口上配置ACL后,可以对入站端口和出站端口的数据包进行安全检测。图6-4 入站筛选ACL(默认拒绝)流程图图6-8出
站筛选ACL(默认拒绝)流程图图6-9出站筛选ACL(默认允许)流程图项目描述图6-1 公司网络拓扑某公司有业务部、生产部和网络中
心三个部门,各个部门组成一个局域网,通过一台路由器(windows server 2012)互联。在网络中心部署有DHCP、DNS
、WEB等应用服务器。公司希望利用现有设备完成以下3个目标:(1)网络中心的客户机全部基于DHCP服务自动配置TCP/IP参数,公
司希望能利用网络中心的DHCP服务器让全公司客户机自动获取IP,实现全网计算机间相互通信。(2)限制生产部访问Internet。(
3)限制业务部访问WEB服务器的公司财务网站(http://192.168.1.3/8080)。 公司网络拓扑结构如图6-1所
示。通过搭建DHCP中继代理和建立多个DHCP作用域,能够使一台DHCP服务器为多个子网提供IP租用服务。通过windows se
rver 2012路由和远程访问服务的访问控制列表功能,可以在网络层和传输层限制各子网间的通信。项目分析任务背景某公司有业务部、生
产部和网络中心3个部门,各个部门组成一个局域网,通过一台路由器(windows server 2012)互联,在网络中心部署有DH
CP、DNS、WEB等应用服务器。网络中心的客户机全部基于DHCP服务自动配置TCP/IP参数,公司希望能利用网络中心的DHCP服
务器让全公司客户机自动获取IP,实现全网计算机间相互通信。VLAN2的IP地址分配范围为:192.168.2.10~192.168
.2.200,VLAN3的IP地址分配范围为:192.168.3.10~192.168.3.200,公司网络拓扑如图6-1所示。任
务分析公司在网络中心已经建有DHCP服务器,该DHCP服务器目前仅为VLAN1提供IP租用服务。因此解决VLAN2和VLAN3地址
租用可以通过在这两个局域网中建立DHCP服务器,也可以利用VLAN1的DHCP服务器。要实现DHCP服务器为另外两个部门提供IP租
用服务,首先需要为这两个部门(VLAN2和VLAN3)创建作用域,由于DHCP服务器默认只能为本地局域网提供IP租用服务,根据本章
前序知识可知,还需要配置和部门直接相连的路由器转发DHCP客户端的DHCP请求包(DHCP中继),因此要实现本任务需要完成以下两个
步骤:(1)为VLAN2和VLAN3创建作用域。(2)在路由器启用DHCP中继代理服务。任务6-1实现DHCP中继服务的部署1.
为VLAN2和VLAN3创建作用域1)创建VLAN2作用域(业务部)在DHCP服务控制台新建【作用域】,作用域的名称命名为【VL
AN2】,IP地址范围是192.168.2.10/24-192.168.2.200/24,作用域选项应配置默认网关:192.168
.2.254,DNS地址为:192.168.1.2。详细配置过程略(参考项目5),配置结果如图6-10和6-11所示。任务操作图6
-10 作用域VLAN2的地址池配置图6-11 作用域VLAN2的作用域选项配置1、为VLAN2和VLAN3创建作用域2)创建
VLAN3作用域(生产部)在DHCP服务控制台新建【作用域】,作用域的名称命名为【VLAN3】,IP地址范围是192.168.3.
10/24-192.168.3.200/24,作用域选项应配置默认网关:192.168.3.254,DNS地址为:192.168.
1.2。配置结果如图6-12和6-13所示。任务操作图6-12 作用域VLAN3的地址池配置图6-13 作用域VLAN3的作用
域选项配置2、在路由器启用DHCP中继代理服务1)路由器和远程访问的路由功能配置(1)修改路由器的本地连接名称为:VLAN1、VL
AN2、VLAN3和Internet,分别对应网络拓扑图6-1所示路由器的E1、E2、E3和E4接口,结果如图6-14所示。任务操
作图6-14 网络连接界面(2)为VLAN1、VLAN2和VLAN3网卡配置静态IP地址。连接子网VLAN1的网卡配置:IP为19
2.168.1.254;子网掩码为255.255.255.0。连接子网VLAN2的网卡配置:IP为192.168.2.254;子网
掩码为255.255.255.0。连接子网VLAN3的网卡配置:IP为192.168.2.254;子网掩码为255.255.255
.0。详细配置过程略,配置结果如图6-15所示。任务操作图6-15 ipconfig命令执行结果2、在路由器启用DHCP中继代理服
务1)路由器和远程访问的路由功能配置(3)在路由器安装路由和远程访问服务,配置并启用LAN路由功能。详细安装过程略(参考路由和远程
访问一章),配置结果如图6-16所示。任务操作图6-16 路由和远程访问【IPv4】的结果视图2、在路由器启用DHCP中继代理服务
2 )路由器DHCP中继代理服务的安装与配置(1)打开【路由和远程访问】服务管理控制台,展开【IPv4】节点,在【常规】节点的右键
菜单中单击【新增路由协议】命令,打开【新路由协议】对话框,如图6-17所示。任务操作图6-17 新增路由协议2、在路由器启用DH
CP中继代理服务2 )路由器DHCP中继代理服务的安装与配置(2)在【新路由协议】对话框中中选择【DHCP Relay Agent
】,然后单击【确定】按钮,在【IPv4】节点下会增加名为【DHCP中继代理】的子节点,如图6-18所示。任务操作图6-18 路由和
远程访问的【DHCP中继代理】视图2、在路由器启用DHCP中继代理服务2 )路由器DHCP中继代理服务的安装与配置(3)在【DHC
P中继代理】的右键菜单中单击【新增接口】,在弹出的【DHCP中继代理的新接口】对话框中选择添加【VLAN2】接口,如图6-19所示
。在【DHCP中继代理的新接口】对话框中的接口列表中仅需要添加需要路由器转发DHCP请求包的网络对应接口,由于业务部和生产部都需要
通过DHCP中继实现同网络中心的DHCP服务器获取IP,因此需要将VLAN2(E2)和VLAN3(E3)接口添加到DHCP中继代理
接口中。任务操作图6-19 新增DHCP中继代理接口2、在路由器启用DHCP中继代理服务2 )路由器DHCP中继代理服务的安装与
配置2)路由器DHCP中继代理服务的安装与配置(4)在添加接口时会弹出的“DHCP中继站属性-本地连接属性”对话框中,按默认选择,
然后点击【确定】按钮完成添加,如图6-20所示。同样操作添加【VLAN3】接口。任务操作图6-20 【DHCP中继属性(VLAN2
属性)】对话框针对本对话框中3个选项做说明如下:? 中继DHCP数据包:如果被选择,则在此接口上实施DHCP中继代理功能。? 跃点
计数阈值:DHCP中继代理到DHCP服务器可经过的路由器的数量。默认值是4,最大值是16。? 启动阈值(秒):用于指定DHCP中继
代理将DHCP客户端发出的DHCP消息转发到远程的DHCP服务器之前,等待本地DHCP服务器响应的时间(单位为秒)。DHCP中继代
理在收到DHCP客户端发出的DHCP消息后,将会尝试等待本子网的DHCP服务器对DHCP客户端做出响应(因为DHCP中继代理不知道
本子网中是否存在DHCP服务器)。如果在启动阈值所配置的时间内没有收到DHCP服务器对DHCP客户端的响应消息,中继代理才会将DH
CP消息转发给远程的DHCP服务器。默认值是4秒。建议不要将“启动阈值”的值设置过大,否则DHCP客户端会等待很久才能获得IP地址
。任务操作2、在路由器启用DHCP中继代理服务2 )路由器DHCP中继代理服务的安装与配置(5)添加完DHCP中继代理工作接口后,
就需要指定DHCP中继代理的目标DHCP服务器,点击【DHCP中继代理】,在右键菜单中点击【属性】,在弹出的【DHCP中继代理属性
】对话框中输入DHCP服务器的IP:192.168.1.1,点击【添加】按钮,最后点击【确定】按钮完成DHCP服务器的指定,如图6
-21所示。如果园区内部署有多台DHCP服务器,在DHCP中继代理中也应添加多台DHCP服务器的IP地址。在园区内部署多台DHCP
群集服务器可以实现DHCP服务的可靠性,如果一台服务器失效,客户端任然可以通过其它DHCP服务器获得IP。任务操作图6-21 DH
CP中继代理属性-添加DHCP服务器IP1、DHCP客户端的配置与验证在业务部VLAN2的DHCP客户端上,将网卡配置为自动获取I
P地址。然后在命令行界面输入ipconfig/all命令查看IP租用结果,如图6-22所示。任务验证图6-22 DHCP业务部客
户端ipconfig/all命令执行结果1、DHCP客户端的配置与验证在生产部VLAN3的DHCP客户端上,将网卡配置为自动获取I
P地址。然后在命令行界面输入ipconfig/all命令查看IP租用结果,如图6-23所示。通过图6-22和6-23可以看出业务部
和生产部的客户端都正确获得IP地址,子网掩码、DNS、网关等配置信息。任务验证图6-23 DHCP生产部客户端ipconfig/
all命令执行结果2、在DHCP服务端查看DHCP租用结果(1)在路由器上查看DHCP中继结果客户端在配置为DHCP客户端,在自动
获取P地址的通信的过程中,DHCP中继服务器(路由和远程访问服务)可以看到该子网接收的请求、接收的回复等信息,结果如图6-24所示
。任务验证图6-24 DHCP中继视图从图6-24可以看到VLAN2和VLAN3的中继模式都已经启用,其中VLAN2接收到20个
DHCP客户端请求,并接收到4个DHCP服务器的回复,丢弃了8个DHCP客户端请求包等信息。丢弃的请求是因为我们先配置DHCP中继
接口,然后才配置DHCP中继服务器的IP,在这两个配置的时间段内来自客户端的DHCP请求都会被路由器接收并统计,由于DHCP服务器
的IP未配置,所以所有的请求都将被丢弃。而正确配置好DHCP中继服务器IP后,路由器开始转发客户端的请求包,然后将DHCP服务器的
回复转发给客户端,完成DHCP租用。任务验证2、在DHCP服务端查看DHCP租用结果(2)在DHCP服务器查看IP租用结果展开【D
HCP服务管理器】的【192.168.2.0作用域】,单击【地址租约】,可以查看客户端IP地址的租约,如图6-25所示。任务验证图
6-25 DHCP服务器地址租约结果任务6-2访问控制列表的配置任务背景某公司有业务部、生产部和网络中心三个部门,各个部门组成一个
局域网,通过一台路由器(windows server 2012)互联。1、限制生产部访问Internet。2、限制业务部访问公司W
EB服务器的公司财务网站(http://192.168.1.3/8080)。任务分析通过windows server 2012路由
和远程访问服务的访问控制列表功能,可以在网络层和传输层限制各子网间的通信。(1)如果要限制生产部访问Internet,根据就近原则
,可以在与生产部直接相连的路由接口E3上设置仅允许生产部VLAN3与VLAN1和VLAN2的通信,拒绝其它所有通信。由于访问的双方
都是在第三层,因此这里采用基于网络层的访问控制。(2)如果要限制业务部访问WEB服务器,同样根据就近原则,可以在与业务部直接相连的
路由接口E2上设置拒绝业务部VLAN2与WEB服务器的公司财务网站的通信。由于被限制的访问对象是网站(TCP协议、8080端口),
因此这里采用基于传输层的访问控制。1、限制生产部访问Internet(1)在【服务器管理器】主窗口中,单击【工具(T)】按钮,再单
击【路由和远程访问】,打开【路由和远程访问】主窗口,展开【IPv4】再展开【常规】找到【VLAN3】右键选择【属性】命令,再点击【
入站筛选器(O)…】按钮,如图6-26所示。任务操作图6-26 VLAN3属性1、限制生产部访问Internet(2) 在弹出的【
入站筛选器】对话框中单击【新建】按钮,在弹出的【添加IP筛选器】对话框中取消选中【源网络】复选框,而在【目标网络】中配置【IP地址
】为【192.168.1.0】,【子网掩码】为【255.255.255.0】,【协议】选择【任何】,点击【确定】按钮完成添加,如图
6-27所示。任务操作图6-27 添加IP筛选器1、限制生产部访问Internet(3) 用同样的方法,添加目标为【192.168
.2.0】网段的IP筛选器,如图6-28所示。任务操作图6-28 添加192.168.2.0网段的IP筛选器1、限制生产部访问I
nternet(4) 在【入站筛选器】勾选【丢弃所有的数据包,满足下面条件的除外】这个规则,完成限制生产部(192.168.3.0
)访问Internet,如图6-29所示。任务操作图6-29 选择入站筛选器操作规则2、限制业务部访问公司WEB服务器的公司财务
网站(http://192.168.1.3/8080)(1)在【服务器管理器】主窗口中,单击【工具(T)】按钮,再单击【路由和远程
访问】,打开【路由和远程访问】主窗口,展开【IPv4】再展开【常规】,找到【VLAN2】,右键选择【属性】命令,再单击【入站筛选器
(O)…】,如图6-30所示。任务操作图6-30 VLAN2属性2、限制业务部访问公司WEB服务器的公司财务网站(http://
192.168.1.3/8080)(2) 在弹出的【入站筛选器】选项框中选择【新建】按钮,在弹出的【添加IP筛选器】取消选中【源网
络】复选框,而在【目标网络】中配置【IP地址】为192.168.1.3,【子网掩码】为255.255.255.255,【协议】选择
【TCP】,【目标端口】输入8080,单击【确定】按钮完成添加,如图6-31所示。任务操作图6-31 添加IP筛选器2、限制业务
部访问公司WEB服务器的公司财务网站(http://192.168.1.3/8080) (3)在【入站筛选器】对话框中选择【接收所
有的数据包,满足下面条件的除外】规则,完成限制业务部(192.168.2.0)访问公司WEB服务器的公司财务网站(http://192.168.1.3/8080),如图6-32所示。任务操作图6-32 选择入站筛选器操作规则(1)验证生产部用户不能够访问Internet。一开始可能ping的通192.168.2.254和8.8.8.8,如图6-33所示。做了ACL之后,就不能ping通外网的8.8.8.8了,如图6-34所示。任务验证图6-33 可以ping通外网图6-34 无法ping通外网(2)验证限制业务部(192.168.2.0)不能够访问公司WEB服务器的公司财务网站(http://192.168.1.3/8080)。一开始业务部可以访问http://192.168.1.3:8080,如图6-35所示。做了ACL之后,业务部就不能访问http://192.168.1.3:8080,如图6-36所示。任务验证图6-35 可以访问财务网站图6-36 无法访问财务网站 |
|
