一、認識DHCP和NAT
說明:NAT的實現方式中Easy IP和地址池NAT類似,配置參考其中一個即可!其中,地址池NAT中有以下兩種選擇方式:
①選擇帶地址池的NAT outbound,要求就是需要有空閑或者多余的公網IP地址來完成對私網IP地址的動態NAT;
②選擇Easy IP不帶地址池,此時只需要一個公網地址即可,因為Easy IP可以借助NAT設備的出接口完成對私網IP地址的動態NAT。
二、組網需求
1、訪問需求
兩個區域內的 PC 和 Client 可以互相訪問并且兩個區域內的 Client 都可以訪問 FTP 服務器和 WWW 服務器。
2、地址轉換需求
兩個區域內的終端內網地址為保密數據,對外發布時都采用公網地址發布,所以互訪時需要采用公網訪問。
3、地址分配需求
兩個區域內的DHCP服務器分配地址時只對辦公接入區域的終端分配地址,Client/Sever 的 IP 地址采用手工配置,并且在 DHCP 地址池中對 Client/Server 的 MAC 地址和手工 IP 地址進行靜態綁定。
三、建立拓撲
四、設備互聯地址規劃
本端設備 | 接口 | IP地址/掩碼 | 對端設備 | 接口 | IP地址/掩碼 |
R1 | GE0/0/0 | 13.1.1.1/24 | R2 | GE0/0/0 | 13.1.1.2/24 |
GE0/0/1 | 12.1.1.1/24 | R3 | GE0/0/1 | 12.1.1.2/24 | |
R2 | GE0/0/0 | 10.1.1.254/24 | 內網終端 | ||
GE0/0/1 | 12.1.1.2/24 | R1 | GE0/0/1 | 12.1.1.2/24 | |
R3 | GE0/0/0 | 13.1.1.2/24 | R1 | GE0/0/0 | 13.1.1.1/24 |
GE0/0/1 | 34.1.1.1/24 | R4 | GE0/0/1 | 34.1.1.2/24 | |
R4 | GE0/0/0 | 20.1.1.254/24 | 內網終端 | ||
GE0/0/1 | 34.1.1.2/24 | R3 | GE0/0/1 | 34.1.1.1/24 | |
PC 1 | Eth0/0/1 | DHCP | GW:10.1.1.254 | ||
PC 2 | Eth0/0/1 | DHCP | GW:20.1.1.254 | ||
Client 1 | Eth0/0/0 | 10.1.1.10/24 | GW:10.1.1.254 | ||
Client 2 | Eth0/0/0 | 20.1.1.20/24 | GW:20.1.1.254 | ||
Server 1 | Eth0/0/0 | 10.1.1.20/24 | GW:10.1.1.254,FTP端口:21,www端口:80 |
五、設備配置
1、基礎配置
R1:
配置接口:
interfaceGigabitEthernet0/0/0
ipaddress13.1.1.1255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress12.1.1.1255.255.255.0
配置路由:
iproute-static10.1.1.0255.255.255.012.1.1.2
iproute-static20.1.1.0255.255.255.013.1.1.2
查看路由表:
R2:
配置接口:
interfaceGigabitEthernet0/0/0
ipaddress10.1.1.254255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress12.1.1.2255.255.255.0
配置路由:
iproute-static0.0.0.00.0.0.012.1.1.1
R3:
配置接口:
interfaceGigabitEthernet0/0/0
ipaddress13.1.1.2255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress34.1.1.1255.255.255.0
配置路由:
iproute-static10.1.1.0255.255.255.013.1.1.1
iproute-static20.1.1.0255.255.255.034.1.1.2
查看路由表:
R4:
接口配置:
interfaceGigabitEthernet0/0/0
ipaddress20.1.1.254255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress34.1.1.2255.255.255.0
配置路由:
iproute-static0.0.0.00.0.0.034.1.1.1
各終端地址配置參考地址互聯表。
2、DHCP配置
R2:
開啟dhcp功能:
dhcpenable
配置dhcp資源池:
ippoolA
gateway-list10.1.1.254//網關地址
network10.1.1.0mask255.255.255.0//可分配地址池
static-bindip-address10.1.1.10mac-address5489-9846-6fd1//靜態綁定Client/Server
static-bindip-address10.1.1.20mac-address5489-9845-0193
excluded-ip-address10.1.1.10110.1.1.253//排除分配此地址段ip地址
leaseday6hour23minute59//租期為7天
dns-list8.8.8.8//配置DNS
接口下使能dhcp:
interfaceGigabitEthernet0/0/0
dhcpselectglobal
查看DHCP分配情況:
R4:
開啟dhcp功能:
dhcpenable
創建dhcp地址池:
ippoolB
gateway-list20.1.1.254
network20.1.1.0mask255.255.255.0
static-bindip-address20.1.1.10mac-address5489-98c2-745b
leaseday6hour23minute59
dns-list8.8.8.8
接口下使能dhcp:
interfaceGigabitEthernet0/0/0
dhcpselectglobal
查看DHCP地址池分配情況:
3、NAT配置
R1:
使能FTP的NATALG功能:
natalgftpenable
配置NAT:
interfaceGigabitEthernet0/0/0
natserverprotocoltcpglobal13.1.1.208080inside10.1.1.20www//將10.1.1.20的www業務端口轉換為8080端口
natstaticglobal13.1.1.100inside10.1.1.100netmask255.255.255.255//將固定終端以公網對外發布
natserverprotocoltcpglobal13.1.1.108443inside10.1.1.20ftp//將10.1.1.10的FTP業務端口轉換為8080端口
查看NAT情況:
R3:
創建ACL:
aclnumber2000
rule5permitsource20.1.1.00.0.0.255
rule10deny
創建NAT地址池:
nataddress-group113.1.1.3013.1.1.40
接口下調用NAT:
interfaceGigabitEthernet0/0/0
natoutbound2000address-group1no-pat//只轉換地址,不轉換端口
查看NAT情況:
六、結果驗證
1、DHCP驗證
通過查看PC是否獲取到地址來驗證DHCP是否有效:
PC可以獲取到地址,表示DHCP正常。
2、NAT驗證
①驗證靜態NAT:在PC1上訪問PC2,在PC2上抓取數據分析ICMP數據包源地址是否是PC1的真實地址。
PC1的真實源地址為10.1.1.100,訪問其他區域終端時源地址被NAT為13.1.1.100(公網地址) ,說明靜態NAT命中。
②驗證Easy IP:在PC2上訪問PC1,在PC1上抓取數據分析ICMP數據包源地址是否是PC2的真實地址。
由于DHCP的原因,當PC2訪問PC1時,源地址會隨機被Easy IP地址池里的公網地址替換,表示NAT成功命中。
③NAT Server驗證:一般情況下,內網的IP地址不會對外發布,一方面是為了保密,另外一方面是為了防止被攻擊,保證內網安全性。但是某些事內網中服務器需要對外發布業務,在保證內網數據機密和安全的情況下,使用NAT Server就可以實現這個需求。驗證時只需要使用內網對外提供的IP地址(一般是公網地址)和端口號對內網服務器進行連接,成功訪問到服務器即標識NAT Server成功命中。驗證步驟如下;
第一步:開啟Server上的FTP服務和HTTP服務,如下圖:
第二步、在Client2上使用對外發布的IP地址和端口號連接FTP/WWW服務器,如下圖:
Client2使用內網服務器對外發布的IP地址和端口號成功連接到服務器,說明NAT Server成功命中。
附:NAT Server對應表
設備 | 服務 | 真實IP地址 | 真實端口號 | 轉換后IP地址 | 轉換后端口號 |
Server1 | FTP | 10.1.1.20 | 21 | 13.1.1.10 | 8443 |
WWW | 10.1.1.20 | 80 | 13.1.1.20 | 8080 |
轉換后的地址和端口號為對外發布服務時使用,一般用于實現遠程辦公或者遠程配置的功能。
七、總結
NAT和DHCP都是工作中常用的協議,對于小型園區網,這兩個協議更是必不可少,通過本實驗希望大家可以幫助大家更加充分的理解NAT和DHCP的原理以及配置。
-
華為
+關注
關注
216文章
34411瀏覽量
251513 -
DHCP
+關注
關注
0文章
104瀏覽量
19703 -
組網
+關注
關注
1文章
353瀏覽量
22330
原文標題:華為DHCP和NAT組網
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論