企业网络架构学习手册10

第十章第十章 NATNAT 与与 DHCPDHCP 10 110 1 配置配置NATNAT 静态的静态的NATNAT 1 1 这节实验主要用到的命令这节实验主要用到的命令 2 2 命令的定义命令的定义 clear ip nat 用来清除所有 或指定的 活动的NAT转换 ip nat 用来为发送报文 从内部 或接收 到外部 的接口应用NAT ip nat inside destination list 这条全局命令为内部目的地址应用NAT 可以配置为 动态的或静态的 ip nat inside source 这条全局命令为内部源地址应用NAT 可以配置为动态的或静态 的 ip nat outside source 这条全局命令为外部源地址应用NAT 也可以配置为动态或静 态的 ip nat pool name 这条全局命令定义一个I P地址池用来为网络转换 可以定义为内部 全局池 外部本地池或旋转池 ip nat translation NAT超时后 这个全局命令用来改变时间长 show ip nat statistics 用来显示关于NAT的统计数据 show ip nat translations 显示所有激活的NAT转换 3 3 所需设备所需设备 下面列出了本实验所需设备 1 两台Cisco路由器各带一个以太网端口和一个串行口 2 Cisco 11 2或更高 3 一台运行终端仿真程序的微机 4 一台带有以太网NIC的微机或有一以太网接口的路由器 5 两根以太网电缆和一个以太网集线器 6 一根Cisco DTE DCE交叉电缆 4 4 实验步骤 实验步骤 本配置将演示NAT将一没注册的 内部IP地址转换为全局的 唯一的外部地址 如图所 示 路由器A将把内部源地址10 1 1 1转换为全局唯一的地址195 1 1 1 路由器A和B通过交叉电缆串行连接 A作为DCE为B提供时钟 地址的分配如图中所示 一台带有一个以太网NIC的微机 或一台路由器 连到与路由器A相连的以太网上 路 由器A配置了NAT 并将源IP地址10 1 1 1转换为195 1 1 1 1 路由器A 2 路由器 B 5 5 监测配置监测配置 从主机A ping主机B 152 1 1 2 用debug ip packet命令分析到达路由器B的报文 命令执行结果如下 注意ICMP ping报文的源地址是195 1 1 1 在路由器A上执行debug ip nat命令可以看出源IP地址10 1 1 1已转换为195 1 1 1 这是个两部过程 而返回报文的到195 1 1 1的目标地址也转回到10 1 1 1了 以前 我们曾讨论了在一内部本地地址和一内部全局地址之间的一对一的映射 这个 方法是低效的且不能推广 因为一个IP地址只能让一个端主机使用 静态转换经常在一个 固定的外部的IP地址访问一内部主机的情况下使用 图给出了一个需要静态地址映射的示 例 主机A想访问FTP服务器上的文件 然而FTP服务器属于内部网络 没有一个唯一的全局 IP地址 这时就需要定义一个全局地址195 1 1 1到本地地址10 1 1 1的静态映射 10 210 2 动态内部源地址转换动态内部源地址转换 1 1 下面列出了本实验所需设备 下面列出了本实验所需设备 1 两台Cisco路由器 各带一个以太网端口和一串行口 2 Cisco IOS 11 2或更高的 3 一台运行终端仿真程序的微机 4 一根Cisco DTE DCE交叉电缆 2 2 实验步骤 实验步骤 本配置将演示内部源地址到外部全局地址之间的动态转换 路由器A将把在10 1 1 1与 10 1 1 3之间的任一源地址转换为在地址池中的三个全局地址之一 两台Cisco路由器串行连接 路由器A通过交叉电缆连接到路由器B 路由器B作为DCE为 A提供时钟 一台运行终端仿真程序的微机连到路由A上的控制台端口上 IP地址的分配如 图所示 路由器A配置给NAT 将动态转换访问表1指定的范围内的任何内部源地址到一个 Internet注册过的唯一的全局地址 3 3 路由器配置路由器配置 下面给出了本例中两台路由器的配置 1 路由器A 2 路由器B 4 4 监测配置监测配置 在路由器A上 用扩展ping命令测试配置 这条命令可以从路由器中任何现存的I P地 址中为ping报文找其源地址 只需在特权级状态下键入ping即可 下面的例子都是在路由器A上用扩展ping命令从在配置中定义的二级IP地址为报文源路 用这个方法代替路由器A的局域网上的多个微机 1 从路由器A 用源地址10 1 1 2 ping 152 1 1 1 2 从路由器A 用源地址10 1 1 1 ping 152 1 1 1 3 从路由器A 用源地址10 1 1 3 ping 152 1 1 1 从在路由器A上执行debug ip nat 命令的结果 得知源地址10 1 1 2转换为 195 1 1 1 池中的第一个地址 池中的全局IP地址按请求的顺序分配 在路由器A上执行debug ip nat translation命令显示了当第4台端站点想访问外面的 网络时 所发生的情况 但是池中的所有地址都用完了 从上面的各例中得知 虽然动态地址转换比静态转换效率更高 但每一转换仍需要自 己的地址 因此 网络管理者必须正确地掌握离线访问的通信量并相应地定义地址池的大 小 10 310 3 复用内部全局地址复用内部全局地址 1 1 所需设备所需设备 下面列出了本实验所需设备 1 两台Cisco路由器 各带一个以太网端口和一个串行口 2 Cisco IOS 11 2或更高的 3 一台运行终端仿真程序的微机 4 一根Cisco DTE DCE交叉电缆 2 2 实验步骤 实验步骤 本配置将演示复用一个外部全局地址 路由器A将把在10 1 1 1到10 1 1 3之间的任何 源地址转换为全局地址195 1 1 1 两台路由器串行连接 路由器A用交叉电缆连到路由器B上 B作为DCE为路由器A提供时 钟 一台远程终端仿真程序的微机连到路由器A的控制台端口 所有IP地址的分配如图中所 示 路由器A上应用了N AT 将动态地把任一指定的内部源地址转换为唯一的 注册的全局 地址195 1 1 1 3 3 路由器配置路由器配置 本例中的两台路由器的配置如下所示 1 路由器A 2 路由器B 4 4 监测配置监测配置 在路由器A上用扩展ping命令ping主机B 195 1 1 3 从10 1 1 1和10 1 1 2为报文 源路 用debug ip nat 监视转换 下面给出命令的输出 注意内部源地址10 1 1 1和10 1 1 2都已转换为195 1 1 1 现在 用show ip nat translations命令显示NAT表 其执行结果如下 注意每一地址 后所带的端口号 这些端口号及地址将作为关键字把返回的报文映射到正确的内部本地IP 地址 10 410 4 DHCPDHCP配置配置 1 1 这节实验主要用到的命令这节实验主要用到的命令 ip dhcp pool test name network default router dns server ip dhcp excluded address ip helper address 2 2 命令的定义命令的定义 ip dhcp pool test name 定义一个DHCP动态的地址池的名字 network 定义一个DHCP动态的地址池的范围 default router 动态分配地址的DHCP服务器的IP地址 dns server DNS的服务器地址 ip dhcp excluded address 在分配的地址中不包括的地址 ip helper address DHCP动态分配中继设备的地址 3 3 所需设备所需设备 下面列出了本实验所需设备 1 两台Cisco路由器 各带一个以太网端口和一串行端口 2 Cisco IOS 11 2或更高的 4 两台带有以太网卡的微机 本实验的目的是让学员掌握在路由器上配置 DHCP 服务器的方法 并通过配置帮助地 址将客户向 DHCP 服务器发出的广播转发成定点广播 以通过路由器到达服务器 如图 4 4 路由器配置路由器配置 a 配置路由器端口的 IP 地址 1 CiscoR1 的配置 Cisco 1600 config t Cisco 1600 config h R1 Cisco R1 config int e0 Cisco R1 config if ip address 192 168 1 1 255 255 255 0 Cisco R1 config if no shut Cisco R1 config if int s0 Cisco R1 config if ip address 192 168 3 1 255 255 255 0 Cisco R1 config if clock rate 56000 Cisco R1 config if no shut 2 Cisco R2 的配置 Cisco 1700 config t Cisco1700 config h R2 Cisco R2 config int e0 Cisco R2 config if ip address 192 168 2 1 255 255 255 0 Cisco R2 config if no shut Cisco R2 config if int s0 Cisco R2 config if ip address 192 168 3 2 255 255 255 0 Cisco R2 config if no shut b 使用 RIP 协议作为该网络的路由协议 实现网络的动态路由配置 完成配置后使 用 show ip route show interface show running configuration 查看路由配置的正确性或 者使用 ping 命令验证网络之间是否完全互连 1 Cisco R1 的配置 Cisco R1 config t Cisco R1 config router rip Cisco R1 config router network 192 168 1 0 Cisco R1 config router network 192 168 3 0 2 Cisco R2 的配置 Cisco R2 config t Cisco R2 config router rip Cisco R2 config router network 192 168 2 0 Cisco R2 config router network 192 168 3 0 c 在 Cisco R2 路由器上配置 DHCP 服务 1 配置 192 168 1 0 网段的 DHCP 服务 Cisco R2 config t Cisco R2 config ip dhcp pool Host1 Cisco R2 dhcp config network 192 168 1 0 255 255 255 0 Cisco R2 dhcp config default router 192 168 1 1 Cisco R2 dhcp config dns server 202 116 64 1 Cisco R2 config ip dhcp excluded address 192 168 1 1 2 配置 192 168 2 0 网段的 DHCP 服务 Cisco R2 config t Cisco R2 config ip dhcp pool Host2 Cisco R2 dhcp config network 192 168 2 0 255 255 255 0 Cisco R2 dhcp config default router 192 168 2 1 Cisco R2 dhcp config dns server 202 116 64 1 Cisco R2 config ip dhcp excluded address 192 168 2 1 d 在 Cisco R1 路由器上配置 IP helper address Cisc