【实验指南】华为DHCP与ACL配置实战，网络新手也能轻松上手！

周六：网络CCNA+HCIA=线上直播/线下面授——同步上课

周日：网络CCNP+HCIP=线上直播/线下面授——同步上课

周六：系统RHCE=线上直播/线下面授——同步上课

周日：系统RHCA=线上直播/线下面授——同步上课

预约试听

大家好，这里是G-LAB IT实验室。今天我们来学习一下华为DHCP与ACL配置实战。

01、实验拓扑

02、实验需求

需求:

1.PC1和PC2都是通过DHCP获取IP地址

2.按照访问控制进行数据的控制

a.允许PC1的网段访问其他

b.允许PC1 ping PC2

c.允许PC1 telnet R2在工作日的9:00-18:00

03、实验步骤

Ａ．基础IP地址配置

R1：

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 100.1.1.10 24

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 12.1.1.1 24

R2：

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 12.1.1.2 24

[R2]int g0/0/1

[R2-GigabitEthernet0/0/1]ip add 200.1.1.10 24

Ｂ．DHCP配置

R2：

[R2]dhcp enable

[R2]ip pool PC1

（建一个pool名字是PC1，意味着PC1会从这个地址池里获取地址）

[R2-ip-pool-PC1]network 100.1.1.0 mask 24

（配置PC1获取的IP地址网段）

[R2-ip-pool-PC1]gateway-list 100.1.1.10

（配置PC1的网关是100.1.1.10，也就是R1的e0/0接口）

[R2-ip-pool-PC1]excluded-ip-address 100.1.1.200 100.1.1.254

（配置地址排除，也就是PC1不会拿到200-254的地址）

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]dhcp select global

（配置PC1获取地址模式为dhcp的global模式）

[R2]int g0/0/1

[R2-GigabitEthernet0/0/1]dhcp select interface

（配置PC1获取地址模式为dhcp的interface模式，即获取的地址跟g0/0/1在同一网段，获取的网关就是g0/0/1的地址）

[R2-GigabitEthernet0/0/1]dhcp server excluded-ip-address 200.1.1.200 200.1.1.254

（配置地址排除，也就是PC2不会拿到200-254的地址）

此时PC2能够通过DHCP获取地址，因为PC2跟R2（DHCP-sever）之间没有其他路由器，不需要跨网段：

但是PC1却不能够通过DHCP获取地址，因为PC1跟R2（DHCP-sever）之间还有其他路由器R1，需要跨网段，所以还需给R1配置DHCP中继：

R1：

[R1]dhcp enable

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]dhcp select relay

[R1-GigabitEthernet0/0/0]dhcp relay server-ip 12.1.1.2

（接口下配置DHCP中继，也就是将DHCP请求的广播报文转发给DHCP服务器）

除了配置DHCP中继，还需确保路由可达：

R2：

[R2]ip route-static 100.1.1.0 24 12.1.1.1

（确保有回包路由）

R1：

[R1]ip route-static 200.1.1.0 24 12.1.1.2

（这是为了方便后续测试使用，不影响DHCP）

此时PC1就能够通过DHCP获取地址：

[PC1]dhcp en

[PC1]int g0/0/0

[PC1-GigabitEthernet0/0/0]ip address dhcp-alloc

Ｃ．ACL配置

只允许PC1能够访问其他网段

这个需求其实是指如果PC1和R1之间还有一台交换机，这台交换机上又连了其他设备，比如PC3，地址是其他网段，我只想让PC1这个网段能够访问R1身后的网段，而PC3不行：

R1：

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 100.1.1.199 0

（ACL匹配感兴趣流，限制源地址，千万不要写100.1.1.0）

[R1-acl-basic-2000]rule 10 deny source any

（默认有条permit，所以必须配）

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000

（接口下调用ACL在in方向）

此时在PC1上去pingPC2，发现通信没问题，并且在R1上能发现ACL匹配成功：

只允许PC1pingPC2

这个需求其实是只有PC1能够pingPC2，而其他网段不行，比如12.1.1.0/24网段之类的：

R2：

[R2]acl 3000

[R2-acl-adv-3000]rule 5 permit icmp source 100.1.1.199 0 destination 200.1.1.199 0

（限制源ip和目的ip，并且限制应用是icmp）

[R2-acl-adv-3000]rule 10 deny ip

（默认有条permit，所以必须配）

[R2]int g0/0/1

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 3000

（接口下调用ACL在out方向）

此时在PC1上去pingPC2，发现通信没问题，并且在R1上能发现ACL匹配成功，但是R1上带源（12.1.1.1）去pingPC2就不通：

允许PC1telnetR2在工作日的9：00-18：00

R2：

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):huawei

（配置R2的telnet）

[R2]time-range T 9:00 to 18:00 working-day daily

（创建一个时间策略名称是T，待会调用，配置时间策略为每周的周一到周五的9：00-18：00）

[R2-acl-adv-3010]rule 5 permit tcp source 100.1.1.199 0 destination 200.1.1.10 0 destination-port eq 23 time-range T

（配置策略限制源ip和目标ip，并且限制行为为telnet，时间策略调用T）

[R2-acl-adv-3010]rule 10 deny ip

（默认有条permit，所以必须配）

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3010

（接口下调用ACL在in方向）

此时在PC1上就可以telnet上R2，并且策略有匹配：

若修改R2的时间：

此时在PC1上telnet R2，策略则匹配是deny：

G-LAB IT实验室课程