企業(yè)網(wǎng)絡(luò)架構(gòu)學(xué)習(xí)手冊10VIP

1、第十章 NAT與DHCP10.1 配置NAT靜態(tài)的NAT1.這節(jié)實驗主要用到的命令2.命令的定義 clear ip nat：用來清除所有（或指定的）活動的NAT轉(zhuǎn)換。 ip nat ：用來為發(fā)送報文（從內(nèi)部）或接收（到外部）的接口應(yīng)用NAT。 ip nat inside destination list：這條全局命令為內(nèi)部目的地址應(yīng)用NAT?？梢耘渲脼閯討B(tài)的或靜態(tài)的。 ip nat inside source：這條全局命令為內(nèi)部源地址應(yīng)用NAT。可以配置為動態(tài)的或靜態(tài)的。 ip nat outside source：這條全局命令為外部源地址應(yīng)用NAT。也可以配置為動態(tài)或靜態(tài)的。 ip nat

2、pool name：這條全局命令定義一個I P地址池用來為網(wǎng)絡(luò)轉(zhuǎn)換，可以定義為內(nèi)部全局池、外部本地池或旋轉(zhuǎn)池。 ip nat translation：NAT超時后，這個全局命令用來改變時間長。 show ip nat statistics：用來顯示關(guān)于NAT的統(tǒng)計數(shù)據(jù)。 show ip nat translations：顯示所有激活的NAT轉(zhuǎn)換。3.所需設(shè)備下面列出了本實驗所需設(shè)備：1) 兩臺Cisco路由器各帶一個以太網(wǎng)端口和一個串行口；2) Cisco 11.2或更高；3) 一臺運行終端仿真程序的微機；4) 一臺帶有以太網(wǎng)NIC的微機或有一以太網(wǎng)接口的路由器；5) 兩根以太網(wǎng)電纜和一個以太

3、網(wǎng)集線器；6) 一根Cisco DTE/DCE交叉電纜。4.實驗步驟：本配置將演示NAT將一沒注冊的、內(nèi)部IP地址轉(zhuǎn)換為全局的、唯一的外部地址。如圖所示，路由器A將把內(nèi)部源地址.1轉(zhuǎn)換為全局唯一的地址。路由器A和B通過交叉電纜串行連接，A作為DCE為B提供時鐘，地址的分配如圖中所示。一臺帶有一個以太網(wǎng)NIC的微機（或一臺路由器）連到與路由器A相連的以太網(wǎng)上。路由器A配置了NAT，并將源IP地址.1轉(zhuǎn)換為。1. 路由器A2. 路由器B5.監(jiān)測配置從主機A ping主機B（）。用debug ip packet命令分析到達路由器B的報文。命令執(zhí)行

4、結(jié)果如下，注意ICMP ping報文的源地址是。在路由器A上執(zhí)行debug ip nat命令可以看出源IP地址.1已轉(zhuǎn)換為，這是個兩部過程。而返回報文的到的目標地址也轉(zhuǎn)回到.1了。以前，我們曾討論了在一內(nèi)部本地地址和一內(nèi)部全局地址之間的一對一的映射。這個方法是低效的且不能推廣。因為一個IP地址只能讓一個端主機使用。靜態(tài)轉(zhuǎn)換經(jīng)常在一個固定的外部的IP地址訪問一內(nèi)部主機的情況下使用。圖給出了一個需要靜態(tài)地址映射的示例。主機A想訪問FTP服務(wù)器上的文件，然而FTP服務(wù)器屬于內(nèi)部網(wǎng)絡(luò)，沒有一個唯一的全局IP地址，這時就需要定義一個全局地址195.1

5、.1.1到本地地址的靜態(tài)映射。10.2 動態(tài)內(nèi)部源地址轉(zhuǎn)換1.下面列出了本實驗所需設(shè)備：1) 兩臺Cisco路由器，各帶一個以太網(wǎng)端口和一串行口；2) Cisco IOS 11.2或更高的；3) 一臺運行終端仿真程序的微機；4) 一根Cisco DTE/DCE交叉電纜。2.實驗步驟：本配置將演示內(nèi)部源地址到外部全局地址之間的動態(tài)轉(zhuǎn)換。路由器A將把在.1與.3之間的任一源地址轉(zhuǎn)換為在地址池中的三個全局地址之一。兩臺Cisco路由器串行連接。路由器A通過交叉電纜連接到路由器B。路由器B作為DCE為A提供時鐘。一臺運行終端仿真程序的微機連到路由A上的控制臺端口上。IP地址的分配如圖所

6、示。路由器A配置給NAT，將動態(tài)轉(zhuǎn)換訪問表1指定的范圍內(nèi)的任何內(nèi)部源地址到一個Internet注冊過的唯一的全局地址。3.路由器配置下面給出了本例中兩臺路由器的配置：1. 路由器A2. 路由器B4 監(jiān)測配置在路由器A上，用擴展ping命令測試配置。這條命令可以從路由器中任何現(xiàn)存的I P地址中為ping報文找其源地址。只需在特權(quán)級狀態(tài)下鍵入ping即可。下面的例子都是在路由器A上用擴展ping命令從在配置中定義的二級IP地址為報文源路。用這個方法代替路由器A的局域網(wǎng)上的多個微機。1) 從路由器A，用源地址。2) 從路由器A，用源地址。3) 從路由器A，用源地址。從在路由器A上執(zhí)行debug ip

7、 nat 命令的結(jié)果，得知源地址.2轉(zhuǎn)換為（池中的第一個地址）。池中的全局IP地址按請求的順序分配。在路由器A上執(zhí)行debug ip nat translation命令顯示了當?shù)?臺端站點想訪問外面的網(wǎng)絡(luò)時，所發(fā)生的情況，但是池中的所有地址都用完了。從上面的各例中得知，雖然動態(tài)地址轉(zhuǎn)換比靜態(tài)轉(zhuǎn)換效率更高，但每一轉(zhuǎn)換仍需要自己的地址。因此，網(wǎng)絡(luò)管理者必須正確地掌握離線訪問的通信量并相應(yīng)地定義地址池的大小。10.3 復(fù)用內(nèi)部全局地址1. 所需設(shè)備下面列出了本實驗所需設(shè)備：1) 兩臺Cisco路由器，各帶一個以太網(wǎng)端口和一個串行口；2) Cisco IOS 11.2或更高的；3)

8、一臺運行終端仿真程序的微機；4) 一根Cisco DTE/DCE交叉電纜2. 實驗步驟：本配置將演示復(fù)用一個外部全局地址，路由器A將把在到之間的任何源地址轉(zhuǎn)換為全局地址。兩臺路由器串行連接。路由器A用交叉電纜連到路由器B上，B作為DCE為路由器A提供時鐘。一臺遠程終端仿真程序的微機連到路由器A的控制臺端口。所有IP地址的分配如圖中所示。路由器A上應(yīng)用了N AT，將動態(tài)地把任一指定的內(nèi)部源地址轉(zhuǎn)換為唯一的、注冊的全局地址。3. 路由器配置本例中的兩臺路由器的配置如下所示：1. 路由器A2. 路由器B4. 監(jiān)測配置在路由器A上用擴

9、展ping命令ping主機B（）。從和為報文源路。用debug ip nat 監(jiān)視轉(zhuǎn)換。下面給出命令的輸出，注意內(nèi)部源地址和都已轉(zhuǎn)換為?，F(xiàn)在，用show ip nat translations命令顯示NAT表。其執(zhí)行結(jié)果如下：注意每一地址后所帶的端口號，這些端口號及地址將作為關(guān)鍵字把返回的報文映射到正確的內(nèi)部本地IP地址。10.4 DHCP配置1. 這節(jié)實驗主要用到的命令ip dhcp pool test(name) network * default-router * dns-server *

10、ip dhcp excluded-address*ip helper-address *2. 命令的定義 ip dhcp pool test(name)：定義一個DHCP動態(tài)的地址池的名字。 network：定義一個DHCP動態(tài)的地址池的范圍。 default-router：動態(tài)分配地址的DHCP服務(wù)器的IP地址 dns-server：DNS的服務(wù)器地址 ip dhcp excluded-address：在分配的地址中不包括的地址 ip helper-address：DHCP動態(tài)分配中繼設(shè)備的地址3. 所需設(shè)備下面列出了本實驗所需設(shè)備：1) 兩臺Cisco路由器，各帶一個以太網(wǎng)端口和一串行端口

11、；2) Cisco IOS 11.2或更高的；4) 兩臺帶有以太網(wǎng)卡的微機 本實驗的目的是讓學(xué)員掌握在路由器上配置DHCP服務(wù)器的方法，并通過配置幫助地址將客戶向DHCP服務(wù)器發(fā)出的廣播轉(zhuǎn)發(fā)成定點廣播，以通過路由器到達服務(wù)器。如圖4. 路由器配置a) 配置路由器端口的IP地址：1）CiscoR1的配置： Cisco 1600#config tCisco 1600 (config)#h R1 Cisco R1 (config)#int e0 Cisco R1 Cisco R1 (config-if)#no shut Cisco R1 (config-if)#int s0 Cisco R1 Cis

12、co R1 (config-if)#clock rate 56000 Cisco R1 (config-if)#no shut2）Cisco R2的配置： Cisco 1700#config tCisco1700 (config)#h R2 Cisco R2 (config)#int e0 Cisco R2 Cisco R2 (config-if)#no shut Cisco R2 (config-if)#int s0 Cisco R2 Cisco R2 (config-if)#no shutb) 使用RIP協(xié)議作為該網(wǎng)絡(luò)的路由協(xié)議，實現(xiàn)網(wǎng)絡(luò)的動態(tài)路由配置。完成配置后使用show ip rou

13、te,show interface,show running-configuration查看路由配置的正確性或者使用ping命令驗證網(wǎng)絡(luò)之間是否完全互連。1）Cisco R1的配置：Cisco R1#config tCisco R1 (config)#router ripCisco R1 Cisco R1 2）Cisco R2的配置：Cisco R2#config tCisco R2 (config)#router ripCisco R2 (config-router)#network Cisco R2 c) 在Cisco R2路由器上配置DHCP服務(wù)： 1）配置網(wǎng)段的DHCP服務(wù)：Cisco R2#config tCisco R2 (config)#ip dhcp pool Host1Cisco R2 (dhcp-Cisco R2 (dhcp-Cisco R2 (dhcp-Cisco R2 2）配置網(wǎng)段的DHCP服務(wù)：Cisco R2#config tCisco R2 (config)#ip dhcp pool Host2Cisco R2 (dhcp-Cisco R2 (dhcp-Cisco R2 (dhcp-Cisco R2 d) 在Cisco R1路由器上配置IP h