练习 7.4.1:基本 DHCP 与 NAT 配置
拓扑图
地址表
设备接口IP 地址子网掩码
S0/0/0 10.1.1.1 255.255.255.252
R1
Fa0/0 192.168.10.1 255.255.255.0
Fa0/1 192.168.11.1 255.255.255.0
S0/0/0 10.1.1.2 255.255.255.252
R2
S0/0/1 209.165.200.225 255.255.255.252
Fa0/0 192.168.20.1 255.255.255.0 ISP S0/0/1 209.165.200.226 255.255.255.252
学习目标
完成本实验后,您将能够:
•准备网络
•执行基本路由器配置
•配置 Cisco IOS DHCP 服务器
•配置静态路由和默认路由
•配置静态 NAT
•利用地址池配置动态 NAT
•配置 NAT 过载
场景
本实验中,您将配置 DHCP 与 NAT IP 服务。一台路由器为 DHCP 服务器。另一台路由器将 DHCP 请求转发到 DHCP 服务器。您还将配置静态和动态 NAT 配置,包括 NAT 过载。完成配置后,请检验内部地址与外部地址之间的连通性。
任务 1:执行基本路由器配置
根据以下说明配置 R1、R2 和 ISP 路由器:
•配置设备主机名。
•禁用 DNS 查找。
•配置特权执行模式口令。
•配置当日消息标语。
•为控制台连接配置口令。
•为所有 vty 连接配置口令。
•在所有路由器上配置 IP 地址。本练习中,PC 稍后将从 DHCP 接收 IP 编址信息。
•在 R1 和 R2 上使用进程 ID 1 启用 OSPF。请勿通告 209.165.200.224/27 网络。
任务 2:配置 Cisco IOS DHCP 服务器
步骤 1:排除静态分配的地址。
DHCP 服务器假定 DHCP 地址池子网中的所有 IP 地址均可供分配给 DHCP 客户端。对于 DHCP 服务器不应分配给客户端的 IP 地址,必须特别指定。这些 IP 地址通常是保留给路由器接口、交换机管理 IP 地址、服务器和本地网络打印机使用的静态地址。ip dhcp excluded-address 命令防止路由器分配所配置范围内的 IP 地址。下列命令排除与 R1 相连的各 LAN 地址池中的前 10 个 IP 地址。这些地址不会被分配给任何DHCP 客户端。
R1(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10
R1(config)#ip dhcp excluded-address 192.168.11.1 192.168.11.10
步骤 2:配置地址池。
使用ip dhcp pool命令创建 DHCP 地址池,并将它命名为R1Fa0。
R1(config)#ip dhcp pool R1Fa0
指定分配 IP 地址时使用的子网。DHCP 地址池会根据network语句自动与接口关联。现在路由器相当于DHCP 服务器,分配 192.168.10.0/24 子网中的地址,从 192.168.10.1 开始分配。
R1(dhcp-config)#network 192.168.10.0 255.255.255.0
配置网络的默认路由器和域名服务器。客户端通过 DHCP 接收这些设置以及 IP 地址。
R1(dhcp-config)#dns-rver 192.168.11.5
R1(dhcp-config)#default-router 192.168.10.1
注:地址 192.168.11.5 上并没有 DNS 服务器。配置此地址仅用于练习目的。
R1(config)#ip dhcp pool R1Fa1
R1(dhcp-config)#network 192.168.11.0 255.255.255.0
R1(dhcp-config)#dns-rver 192.168.11.5
R1(dhcp-config)#default-router 192.168.11.1
步骤 3:检验 DHCP 配置。
可以通过几种不同的方式检验 DHCP 服务器配置。最基本的方式是配置子网上的一台主机通过 DHCP
接收 IP 地址。然后在路由器上发出命令,以便获得更多信息。show ip dhcp binding命令提供关于目
前已分配的所有 DHCP 地址的信息。例如,以下输出显示 IP 地址 192.168.10.11 已被分配给 MAC 地址3031.632e.3537.6563。该 IP 租用于 2007 年 9 月 14 日下午 7:33 到期。
R1#show ip dhcp binding
IP address Client-ID/ Lea expiration Type
Hardware address
192.168.10.11 0007.EC66.8752 -- Automatic
192.168.11.11 00E0.F724.8EDA -- Automatic
任务 3:配置静态路由和默认路由
ISP 使用静态路由到达 R2 以外的所有网络。不过,给 ISP 发送流量之前,R2 会将私有地址转换成公有地址。因此,必须以公有地址配置 ISP,这些公有地址是 R2 上 NAT 配置的一部分。在 ISP 上输入以下静态路由:
ISP(config)#ip route 209.165.200.240 255.255.255.240 rial 0/0/1
此静态路由包括所有分配给 R2 的公有地址。
在 R2 上配置默认路由,并在 OSPF 中传播此路由。
R2(config)#ip route 0.0.0.0 0.0.0.0 209.165.200.226
R2(config)#router ospf 1
R2(config-router)#default-information originate
给 R1 几秒钟时间从 R2 学习默认路由,然后检查 R1 的路由表。或者也可以使用clear ip route * 命令清除路由表。R1 路由表中应出现指向 R2 的默认路由。从 R1 ping R2 上的rial 0/0/1 接口(209.165.200.225) 。ping 应当能成功。如果 ping 不成功,请排除故障。
任务 4:配置静态 NAT
步骤 1:静态映射公有 IP 地址到私有 IP 地址。
ISP 以外的外部主机可以访问与 R2 相连的内部服务器。将公有 IP 地址 209.165.200.254 静态指定为
NAT 用来映射数据包到内部服务器私有 IP 地址 192.168.20.254 的地址。
R2(config)#ip nat inside source static 192.168.20.254 209.165.200.254
步骤 2:指定内部和外部 NAT 接口。
NAT 工作之前,必须指定哪些接口是内部接口,哪些接口是外部接口。
R2(config)#interface rial 0/0/1
R2(config-if)#ip nat outside
R2(config-if)#interface fa0/0
R2(config-if)#ip nat inside
步骤 3:检验静态 NAT 配置。
从 ISP ping 公有 IP 地址 209.165.200.254。
任务 5:利用地址池配置动态 NAT
静态 NAT 建立了内部地址与特定公有地址之间的永久性映射。而动态 NAT 则是将私有 IP 地址临时映射到公有地址,这些公有 IP 地址源自 NAT 地址池。
步骤 1:定义全局地址池。
创建一个地址池,以便将符合条件的源地址转换为其中的地址。以下命令创建名为MY-NAT-POOL的地址池,符合条件的源地址将被转换为 209.165.200.241 - 209.165.200.246 范围内的可用 IP 地址。
R2(config)#ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248
步骤 2:创建标准访问控制列表,以便确定需要的转换内部地址。
R2(config)#ip access-list extended NAT
R2(config-std-nacl)#permit ip 192.168.10.0 0.0.0.255 any
R2(config-std-nacl)#permit ip 192.168.11.0 0.0.0.255 any
步骤 3:将地址池与访问控制列表绑定,建立动态源地址转换。
一台路由器可以具有一个以上的 NAT 池和一个以上的 ACL。以下命令告知路由器使用哪个地址池来
转换ACL 允许的主机。
R2(config)#ip nat inside source list NAT pool MY-NAT-POOL
步骤 4:指定内部和外部 NAT 接口。
您已经指定静态 NAT 配置的内部接口和外部接口。现在将链接到 R1 的串行接口添加为内部接口。
R2(config)#interface rial 0/0/0
R2(config-if)#ip nat inside
步骤 5:检验配置。
从 PC1 和 PC2 ping ISP。然后在 R2 上使用show ip nat translations命令检验 NAT。
R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 209.165.200.241 192.168.10.11 --- ---
-
-- 209.165.200.242 192.168.11.11 --- ---
--- 209.165.200.254 192.168.20.254 --- ---
任务 6:配置 NAT 过载
上例中,如果您需要六个以上公有 IP 地址,多于地址池允许的地址,将会发生什么情况?
通过跟踪端口号,NAT 过载允许多位内部用户重用公有 IP 地址。
本任务中,您将删除前一任务中配置的地址池和映射语句。然后在 R2 上配置 NAT 过载,以便连接任何外部设备时,所有内部 IP 地址能被转换为 R2 S0/0/1 地址。
步骤 1:删除 NAT 地址池和映射语句。
使用以下命令删除 NAT 地址池和到 NAT ACL 的映射。
R2(config)#no ip nat pool MY-NAT-POOL 209.165.200.241 209.165.200.246 netmask 255.255.255.248
R2(config)#no ip nat inside source list NAT pool MY-NAT-POOL
如果接收到以下消息,请清除 NAT 转换。
%Pool MY-NAT-POOL in u, cannot destroy
R2#clear ip nat translation *
步骤 2:使用 rial 0/0/1 接口公有 IP 地址在 R2 上配置 PAT。
配置与动态 NAT 相似,不同之处在于不是使用地址池,而是使用interface关键字来识别外部 IP 地址。因此没有定义 NAT 池。利用overload关键字可以将端口号添加到转换中。
因为已经配置 ACL 来确定转换哪些内部 IP 地址,并且已经指定哪些接口是内部接口和外部接口,所以只需配置以下命令:
R2(config)#ip nat inside source list NAT interface S0/0/1 overload
步骤 3:检验配置。
从 PC1 和 PC2 ping ISP。然后在 R2 上使用show ip nat translations命令检验 NAT。
R2#show ip nat translations
Pro Inside global Inside local Outside local Outside global icmp 209.165.200.225:3 192.168.10.11:3 209.165.200.226:3
209.165.200.226:3
icmp 209.165.200.225:1024192.168.11.11:3 209.165.200.226:3
209.165.200.226:1024
--- 209.165.200.254 192.168.20.254 --- ---
注:前一任务中,您可以将关键字overload添加到ip nat inside source list NAT pool MY-NAT-POOL 命令中,以允许六位以上的用户同时访问外部。
任务 7:记录网络
在每台路由器上发出show run命令捕获配置信息。
