پیکربندی DHCP (Dynamic Host Configuration Protocol) در روتر سیسکو به شما این امکان را میدهد که آدرسهای IP به دستگاههای شبکه به صورت خودکار اختصاص داده شوند. در این قسمت، نحوه تنظیم DHCP Pool و استفاده از ACL (Access Control List) برای کنترل دسترسی به DHCP را توضیح میدهیم.
فرض کنیم شما یک شبکه محلی (LAN) با محدوده آدرس IP 192.168.1.0/24 دارید و میخواهید از DHCP برای تخصیص آدرسهای IP به دستگاههای شبکه استفاده کنید.
ابتدا وارد حالت تنظیمات سراسری روتر شوید:
Router> enable
Router# configure terminal
Router(config)#یک DHCP Pool ایجاد کنید و محدوده آدرسهای IP و سایر اطلاعات شبکه را تنظیم کنید:
Router(config)# ip dhcp pool MY_POOL
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# dns-server 8.8.8.8 8.8.4.4
Router(dhcp-config)# domain-name example.com
Router(dhcp-config)# exitبرای اختصاص استاتیک آدرس IP به دستگاههای مشخص، از دستور زیر استفاده کنید:
Router(config)# ip dhcp pool STATIC
Router(dhcp-config)# host 192.168.1.50 255.255.255.0
Router(dhcp-config)# client-identifier 0100.1b63.84d5.29
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# exitدر اینجا، client-identifier همان آدرس MAC دستگاه است.
با استفاده از ACL میتوانید دسترسی به DHCP را کنترل کنید. مثلاً اگر میخواهید فقط دستگاههای خاصی بتوانند از DHCP آدرس IP دریافت کنند، از ACL استفاده کنید:
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10در اینجا، دسترسی به DHCP برای محدوده آدرس 192.168.1.0/24 مجاز شده است و آدرسهای IP از 192.168.1.1 تا 192.168.1.10 از محدوده DHCP خارج شدهاند.
تنظیمات کامل برای پیکربندی DHCP و استفاده از ACL به صورت زیر است:
Router> enable
Router# configure terminal
! ایجاد DHCP Pool
Router(config)# ip dhcp pool MY_POOL
Router(dhcp-config)# network 192.168.1.0 255.255.255.0
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# dns-server 8.8.8.8 8.8.4.4
Router(dhcp-config)# domain-name example.com
Router(dhcp-config)# exit
! اختصاص استاتیک آدرس IP به دستگاهها
Router(config)# ip dhcp pool STATIC
Router(dhcp-config)# host 192.168.1.50 255.255.255.0
Router(dhcp-config)# client-identifier 0100.1b63.84d5.29
Router(dhcp-config)# default-router 192.168.1.1
Router(dhcp-config)# exit
! تنظیم ACL برای کنترل دسترسی به DHCP
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.10
! ذخیره تنظیمات
Router# write memoryاین تنظیمات به شما این امکان را میدهد که DHCP را برای شبکه محلی خود به صورت کامل پیکربندی کنید و با استفاده از ACL، کنترل دقیقی بر دسترسی به DHCP داشته باشید. همچنین با اختصاص آدرسهای استاتیک به دستگاههای خاص، میتوانید مدیریت بهتری بر شبکه خود داشته باشید.
Access Control List (ACL) یا لیست کنترل دسترسی، ابزاری مهم برای کنترل ترافیک شبکه است. در بحث NAT (Network Address Translation) و PAT (Port Address Translation)، ACLها میتوانند برای تعیین ترافیکی که باید ترجمه شود، استفاده شوند.
برای کنترل اینکه کدام ترافیک باید ترجمه شود، ابتدا باید یک ACL تعریف کنید. به عنوان مثال، اگر بخواهیم ترافیک شبکه داخلی 192.168.1.0/24 را ترجمه کنیم:
Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255این ACL مشخص میکند که ترافیک از محدوده 192.168.1.0/24 مجاز است و باید ترجمه شود.
اکنون باید NAT را با استفاده از این ACL تنظیم کنیم. در این مثال، فرض میکنیم که اینترفیس GigabitEthernet0/0 داخلی (inside) و اینترفیس GigabitEthernet0/1 خارجی (outside) است:
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip address 203.0.113.1 255.255.255.0
Router(config-if)# ip nat outside
Router(config-if)# no shutdown
Router(config-if)# exitبرای پیکربندی PAT (که معمولا برای ترجمه چندین آدرس داخلی به یک آدرس خارجی با استفاده از پورتها استفاده میشود):
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overloadاین دستور به روتر میگوید که از ACL شماره 1 استفاده کند تا ترافیک از اینترفیس GigabitEthernet0/1 به صورت Overload (PAT) ترجمه شود.
با استفاده از ACLها، میتوان کنترل دقیقتری بر ترافیک داشت. به عنوان مثال، اگر فقط بخواهیم ترافیک HTTP (پورت 80) و HTTPS (پورت 443) از شبکه داخلی ترجمه شود، میتوانیم یک ACL دقیقتر تعریف کنیم:
Router(config)# access-list 1 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 1 permit tcp 192.168.1.0 0.0.0.255 any eq 443این ACLها مشخص میکنند که تنها ترافیک TCP از محدوده 192.168.1.0/24 که به پورت 80 یا 443 مقصد میرود، مجاز به ترجمه شدن است.
فرض کنیم شما یک شبکه محلی با محدوده آدرس 192.168.1.0/24 دارید و میخواهید ترافیک HTTP و HTTPS را ترجمه کنید. تنظیمات کامل به صورت زیر است:
Router> enable
Router# configure terminal
! تنظیمات اینترفیس داخلی
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# no shutdown
Router(config-if)# exit
! تنظیمات اینترفیس خارجی
Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip address 203.0.113.1 255.255.255.0
Router(config-if)# ip nat outside
Router(config-if)# no shutdown
Router(config-if)# exit
! تعریف لیست دسترسی برای ترافیک HTTP و HTTPS
Router(config)# access-list 1 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 1 permit tcp 192.168.1.0 0.0.0.255 any eq 443
! پیکربندی PAT
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload
! ذخیره تنظیمات
Router# write memoryبرای مشاهده ACLهای تعریف شده، میتوانید از دستور زیر استفاده کنید:
Router# show access-listsبرای مشاهده ترجمههای NAT، از دستور زیر استفاده کنید:
Router# show ip nat translationsبرای بررسی وضعیت اینترفیسها، از دستور زیر استفاده کنید:
Router# show ip interface briefاستفاده از ACL برای کنترل NAT و PAT به شما این امکان را میدهد که ترافیک شبکه خود را به صورت دقیقتری مدیریت کنید. با تنظیم ACLها، میتوانید تعیین کنید که کدام ترافیکها باید ترجمه شوند و کنترل بهتری بر امنیت و عملکرد شبکه خود داشته باشید. این تنظیمات به شما اجازه میدهد تا از منابع آدرس IP به صورت بهینه استفاده کنید و شبکهای پایدار و ایمن داشته باشید.