通过ACL对DHCP获取的动态地址作限制

拓扑描述：

1. DHCP服务器网段处于VLAN 10
   静态分配地址：192.168.1.100
   分配地址池： 172.16.1.101-172.16.1.120
   交换机划分三个VLAN，并做VLAN间路由
   VLAN 10? IP：192.168.1.254
   VLAN20? IP：172.16.1.254
   VLAN30? IP：192.168.2.254
   交换机做DHCP中继
    
2. PC处于VLAN 20 动态获得172.16.1.X网段地址。
    
3. 网云处于VLAN 30网段 静态设为192.168.2.X网段

这里为方便测试与理解，可将网云用三层交换机或路由器代替，它需要有固定IP和路由，现假定：
IP：192.168.2.1? 路由：ip route 172.16.1.0 255.255.255.0 192.168.2.254

需求：

1. 通过WINDOWS2003的服务器动态分配IP给PC，同时在DHCP服务器上绑定PC的IP与MAC
2. GSM7224属于三层交换机，在GSM7224上面做DHCP中继配置
3. 所有在172.16.1.X网段的21台主机都能获取到动态IP，但其中只有1个IP能上网，其它不能上网（即：不能访问192.168.2.1）。

这里假设：
172.16.1.111 可以上网（能访问192.168.2.1）
172.16.1.112 不能上网（不能访问192.168.2.1）

WINDOWS SERVER2003
添加DHCP服务，

上图将DHCP池设为172.16.1.100-172.16.1.120

保留项将首先测试172.16.1.112。
将172.16.1.112绑定PC的MAC，这样，每次为PC分配的IP就一定是172.16.1.112.

上图作用域选项中设置DHCP的网关与DNS参数

GSM7224

上图为DHCP中继设置

上图给出ACL的配置：
Rule1解释：根据DHCP的原理，需要放行所有PC向DHCP请求IP的路径：

1. DHCP使用UDP协议
2. DHCP的CLIENT端使用68端口号
3. DHCP的SERVER端使用67端口号

Rule2解释：放行动态IP为172.16.1.111去访问任何网段，包括上网。
最后，默认阻止其它已获取动态IP地址的PC，这些PC不能访问任何网段

上图将ACL应用到10、11、12号端口。

以上是当PC接10号端口，DHCP服务器绑定IP为：172.16.1.112，访问192.168.2.1时情况。

以上是当PC接10号端口，DHCP服务器绑定IP为：172.16.1.111，访问192.168.2.1情况。

以上情况是另一台PC接11号端口，IP和MAC没有任何绑定，获取动态IP：172.16.1.100，访问192.168.2.1时情况。

证明ACL正在生效。