全国计算机等级考试四级网络工程师课件7课件.pptVIP

7.6 DHCP的功能及配置 7.6.1 DHCP的原理 （1）当 DHCP 客户机第一次登录网络的时候﹐该客户机没有任何 IP 数据设定，它将向网络发出一个 DHCPDISCOVER封包。由于客户端还不知道自己属于哪一个网络，所以封包的来源地址会，其目的地址则为55，向网络进行广播。 （2）一般默认DHCP discover 的等待时间为 1 秒，当客户机将第一个DHCPDISCOVER封包送出去之后，在 1 秒之内没有得到响应的话，就会进行第二次DHCPDISCOVER广播。客户端最多有四次广播，除了第一次会等待 1 秒之外，其余三次的等待时间分别是 9秒、13秒、16 秒。如果都没有得到 DHCP 服务器的响应，客户端则会显示错误信息，宣告 DHCPDISCOVER的失败。之后，系统会继续在 5 分钟之后再重复一次DHCPDISCOVER的过程。 （3） 当 DHCP 服务器监听到客户端发出的DHCPDISCOVER广播后，将会对客户机作出应答。它会从那些还没有租出的地址中，选择最前面的闲置 IP，DHCP客户所需的 TCP/IP 设定，响应给客户端一个DHCPOFFER封包。 （4）DHCP协议允许网络上配置多台DHCP，客户机将会收到网络上多台 DHCP 服务器的响应，但它只会挑选其中一个DHCPOFFER，通常都是最先抵达的那个，然后客户机向网络发送一个DHCPREQUEST广播封包，告诉所有 DHCP 服务器它将接受哪一台服务器提供的IP地址。同时﹐客户端还会向网络发送一个ARP封包，确认网络上是否有其它机器在使用该IP地址；如果发现该IP已经被占用，客户机则会发出一个DHCPDECLINE封包给 DHCP 服务器﹐拒绝接受其DHCPOFFER并重新发送 DHCPDISCOVER信息。 （5）当DHCP服务器接收到客户端的DHCPREQUEST封包之后，向客户端发出一个 DHCPACK响应，确认该IP租约的正式生效。 图7-11 DHCP Server/Client工作模式 图7-12 DHCP的工作流程 7.6.2 DHCP的配置 DHCP的配置主要IP池的建立与配置以及数据库代理的配置。建立IP池后，进行DHCP配置模式，该配置模式下对DHCP进行配置，主要任务包括：IP池地址的子网地址、子网掩码以及缺省网关、域名、域名服务器IP地址、IP地址租用时间等的配置。 1．IP池的建立与配置 （1）IP池的建立 （2）IP池子网地址与子网掩码的配置 （3）排除不用于动态分配的IP地址 （4）配置缺省网关 （5）配置IP地址池的域名系统 （6）IP地址租用时间 2．数据库代理的配置 DHCP数据库代理是用于存储DHCP绑定信息的一台主机。在一般情况下可以不对其进行配置。若不想配置DHCP数据库代理，则使用命令no ip dhcp conflict logging，该命令取消了地址冲突日志的记录的功能，以实现不配置数据库。 7.7 IP访问控制列表的功能及配置 7.7.1 访问控制列表的作用 （1）限制网络流量 （2）限制通信流量 （3）网络安全访问 （4）限制通信类型 图7-13 访问控制列表对数据包进行过滤 7.7.2 访问控制列表的执行过程 访问控制列表是一个连续的列表，该控制列表在建立并配置好后，接着其应用于一个接，一个VTY line或被其他命令引用后，列表开始生效。一个端口执行哪条访问控制列表，这需要按照列表中的条件语句执行顺序来判断。一般是从第一条开始顺序执行的，如果一个数据包的报头与表中的某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查，反之，才交给下一条语句进行比较。 7.7.3 访问控制列表的过滤准则 （1）过滤源地址或目的地址 该准则不仅可以允许或拒绝来自某源IP地址的数据包进入路由器，还可以允许和拒绝目的地址为某IP地址的数据包通过路由器。 （2）过滤端口号 该准则可以允许或拒绝某些协议的某些端口号的数据包通过路由器。 （3）过滤协议 该准则可以允许或拒绝如TCP、UDP、ICMP等协议的数据包通过路由器。 图7-14 访问控制列表的过滤准则 7.7.4 访问控制列表的分类 （1）标准访问控制列表 标准访问控制列表基于网络地址的信息流，且只允许过滤源地址。标准IP访问表的表号标识是从1~99后来又扩展了范围1300~1999。 （2）扩展访问控制列表 扩展访问控制列表通过网络地址和传输中的数据类型进行信息流控制，允许过滤源地址、目的地址和上层应用数据，它既检查数据包的源地址，也检查数据包的目的地址，还检查数据包的