企业网络架构学习手册10.docx
《企业网络架构学习手册10.docx》由会员分享,可在线阅读,更多相关《企业网络架构学习手册10.docx(13页珍藏版)》请在冰豆网上搜索。
企业网络架构学习手册10
第十章NAT与DHCP
10.1配置NAT——静态的NAT
1.这节实验主要用到的命令
2.命令的定义
•clearipnat:
用来清除所有(或指定的)活动的NAT转换。
•ipnat:
用来为发送报文(从内部)或接收(到外部)的接口应用NAT。
•ipnatinsidedestinationlist:
这条全局命令为内部目的地址应用NAT。
可以配置为动态的或静态的。
•ipnatinsidesource:
这条全局命令为内部源地址应用NAT。
可以配置为动态的或静态的。
•ipnatoutsidesource:
这条全局命令为外部源地址应用NAT。
也可以配置为动态或静态的。
•ipnatpoolname:
这条全局命令定义一个IP地址池用来为网络转换,可以定义为内部全局池、外部本地池或旋转池。
•ipnattranslation:
NAT超时后,这个全局命令用来改变时间长。
•showipnatstatistics:
用来显示关于NAT的统计数据。
•showipnattranslations:
显示所有激活的NAT转换。
3.所需设备
下面列出了本实验所需设备:
1)两台Cisco路由器各带一个以太网端口和一个串行口;
2)Cisco11.2或更高;
3)一台运行终端仿真程序的微机;
4)一台带有以太网NIC的微机或有一以太网接口的路由器;
5)两根以太网电缆和一个以太网集线器;
6)一根CiscoDTE/DCE交叉电缆。
4.实验步骤:
本配置将演示NAT将一没注册的、内部IP地址转换为全局的、唯一的外部地址。
如图所示,路由器A将把内部源地址10.1.1.1转换为全局唯一的地址195.1.1.1。
路由器A和B通过交叉电缆串行连接,A作为DCE为B提供时钟,地址的分配如图中所示。
一台带有一个以太网NIC的微机(或一台路由器)连到与路由器A相连的以太网上。
路由器A配置了NAT,并将源IP地址10.1.1.1转换为195.1.1.1。
1.路由器A
2.路由器B
5.监测配置
从主机Aping主机B(152.1.1.2)。
用debugippacket命令分析到达路由器B的报文。
命令执行结果如下,注意ICMPping报文的源地址是195.1.1.1。
在路由器A上执行debugipnat命令可以看出源IP地址10.1.1.1已转换为195.1.1.1,这是个两部过程。
而返回报文的到195.1.1.1的目标地址也转回到10.1.1.1了。
以前,我们曾讨论了在一内部本地地址和一内部全局地址之间的一对一的映射。
这个方法是低效的且不能推广。
因为一个IP地址只能让一个端主机使用。
静态转换经常在一个固定的外部的IP地址访问一内部主机的情况下使用。
图给出了一个需要静态地址映射的示例。
主机A想访问FTP服务器上的文件,然而FTP服务器属于内部网络,没有一个唯一的全局IP地址,这时就需要定义一个全局地址195.1.1.1到本地地址10.1.1.1的静态映射。
10.2动态内部源地址转换
1.下面列出了本实验所需设备:
1)两台Cisco路由器,各带一个以太网端口和一串行口;
2)CiscoIOS11.2或更高的;
3)一台运行终端仿真程序的微机;
4)一根CiscoDTE/DCE交叉电缆。
2.实验步骤:
本配置将演示内部源地址到外部全局地址之间的动态转换。
路由器A将把在10.1.1.1与10.1.1.3之间的任一源地址转换为在地址池中的三个全局地址之一。
两台Cisco路由器串行连接。
路由器A通过交叉电缆连接到路由器B。
路由器B作为DCE为A提供时钟。
一台运行终端仿真程序的微机连到路由A上的控制台端口上。
IP地址的分配如图所示。
路由器A配置给NAT,将动态转换访问表1指定的范围内的任何内部源地址到一个Internet注册过的唯一的全局地址。
3.路由器配置
下面给出了本例中两台路由器的配置:
1.路由器A
2.路由器B
4监测配置
在路由器A上,用扩展ping命令测试配置。
这条命令可以从路由器中任何现存的IP地址中为ping报文找其源地址。
只需在特权级状态下键入ping即可。
下面的例子都是在路由器A上用扩展ping命令从在配置中定义的二级IP地址为报文源路。
用这个方法代替路由器A的局域网上的多个微机。
1)从路由器A,用源地址10.1.1.2ping152.1.1.1。
2)从路由器A,用源地址10.1.1.1ping152.1.1.1。
3)从路由器A,用源地址10.1.1.3ping152.1.1.1。
从在路由器A上执行debugipnat命令的结果,得知源地址10.1.1.2转换为195.1.1.1(池中的第一个地址)。
池中的全局IP地址按请求的顺序分配。
在路由器A上执行debugipnattranslation命令显示了当第4台端站点想访问外面的网络时,所发生的情况,但是池中的所有地址都用完了。
从上面的各例中得知,虽然动态地址转换比静态转换效率更高,但每一转换仍需要自己的地址。
因此,网络管理者必须正确地掌握离线访问的通信量并相应地定义地址池的大小。
10.3复用内部全局地址
1.所需设备
下面列出了本实验所需设备:
1)两台Cisco路由器,各带一个以太网端口和一个串行口;
2)CiscoIOS11.2或更高的;
3)一台运行终端仿真程序的微机;
4)一根CiscoDTE/DCE交叉电缆
2.实验步骤:
本配置将演示复用一个外部全局地址,路由器A将把在10.1.1.1到10.1.1.3之间的任何源地址转换为全局地址195.1.1.1。
两台路由器串行连接。
路由器A用交叉电缆连到路由器B上,B作为DCE为路由器A提供时钟。
一台远程终端仿真程序的微机连到路由器A的控制台端口。
所有IP地址的分配如图中所示。
路由器A上应用了NAT,将动态地把任一指定的内部源地址转换为唯一的、注册的全局地址195.1.1.1。
3.路由器配置
本例中的两台路由器的配置如下所示:
1.路由器A
2.路由器B
4.监测配置
在路由器A上用扩展ping命令ping主机B(195.1.1.3)。
从10.1.1.1和10.1.1.2为报文源路。
用debugipnat监视转换。
下面给出命令的输出,注意内部源地址10.1.1.1和10.1.1.2都已转换为195.1.1.1。
现在,用showipnattranslations命令显示NAT表。
其执行结果如下:
注意每一地址后所带的端口号,这些端口号及地址将作为关键字把返回的报文映射到正确的内部本地IP地址。
10.4DHCP配置
1.这节实验主要用到的命令
ipdhcppooltest(name)
network****
default-router****
dns-server*****
ipdhcpexcluded-address*****
iphelper-address******
2.命令的定义
•ipdhcppooltest(name):
定义一个DHCP动态的地址池的名字。
•network:
定义一个DHCP动态的地址池的范围。
•default-router:
动态分配地址的DHCP服务器的IP地址
•dns-server:
DNS的服务器地址
•ipdhcpexcluded-address:
在分配的地址中不包括的地址
•iphelper-address:
DHCP动态分配中继设备的地址
3.所需设备
下面列出了本实验所需设备:
1)两台Cisco路由器,各带一个以太网端口和一串行端口;
2)CiscoIOS11.2或更高的;
4)两台带有以太网卡的微机
本实验的目的是让学员掌握在路由器上配置DHCP服务器的方法,并通过配置帮助地址将客户向DHCP服务器发出的广播转发成定点广播,以通过路由器到达服务器。
如图
4.路由器配置
a)配置路由器端口的IP地址:
1)CiscoR1的配置:
Cisco1600#configt
Cisco1600(config)#hR1
CiscoR1(config)#inte0
CiscoR1(config-if)#ipaddress192.168.1.1255.255.255.0
CiscoR1(config-if)#noshut
CiscoR1(config-if)#ints0
CiscoR1(config-if)#ipaddress192.168.3.1255.255.255.0
CiscoR1(config-if)#clockrate56000
CiscoR1(config-if)#noshut
2)CiscoR2的配置:
Cisco1700#configt
Cisco1700(config)#hR2
CiscoR2(config)#inte0
CiscoR2(config-if)#ipaddress192.168.2.1255.255.255.0
CiscoR2(config-if)#noshut
CiscoR2(config-if)#ints0
CiscoR2(config-if)#ipaddress192.168.3.2255.255.255.0
CiscoR2(config-if)#noshut
b)使用RIP协议作为该网络的路由协议,实现网络的动态路由配置。
完成配置后使用showiproute,showinterface,showrunning-configuration查看路由配置的正确性或者使用ping命令验证网络之间是否完全互连。
1)CiscoR1的配置:
CiscoR1#configt
CiscoR1(config)#routerrip
CiscoR1(config-router)#network192.168.1.0
CiscoR1(config-router)#network192.168.3.0
2)CiscoR2的配置:
CiscoR2#configt
CiscoR2(config)#routerrip
CiscoR2(config-router)#network192.168.2.0
CiscoR2(config-router)#network192.168.3.0
c)在CiscoR2路由器上配置DHCP服务:
1)配置192.168.1.0网段的DHCP服务:
CiscoR2#configt
CiscoR2(config)#ipdhcppoolHost1
CiscoR2(dhcp-config)#network192.168.1.0255.255.255.0
CiscoR2(dhcp-config)#default-router192.168.1.1
CiscoR2(dhcp-config)#dns-server202.116.64.1
CiscoR2(config)#ipdhcpexcluded-address192.168.1.1
2)配置192.168.2.0网段的DHCP服务:
CiscoR2#configt
CiscoR2(config)#ipdhcppoolHost2
CiscoR2(dhcp-config)#network192.168.2.0255.255.255.0
CiscoR2(dhcp-config)#default-router192.168.2.1
CiscoR2(dhcp-config)#dns-server202.116.64.1
CiscoR2(config)#ipdhcpexcluded-address192.168.2.1
d)在CiscoR1路由器上配置IPhelperaddress:
CiscoR1#configt
CiscoR1(config)#inte0
CisocR1(config-if)iphelper-address192.168.3.2
5.监测配置
验证DHCP和IPhelperaddress:
在Host1和Host2两台主机的网络IP/TCP属性上分别设置为自动获取IP地址然后在主机的MS-DOS下执行ipconfig/all命令,可以查看到Host1和Host2自动获取到的IP地址,DHCP服务器地址,DNS服务器地址等信息。
升级会员 