一、認識DHCP和NAT

說明：NAT的實現方式中Easy IP和地址池NAT類似，配置參考其中一個即可！其中，地址池NAT中有以下兩種選擇方式：

①選擇帶地址池的NAT outbound，要求就是需要有空閑或者多余的公網IP地址來完成對私網IP地址的動態NAT；

(相關資料圖)

②選擇Easy IP不帶地址池，此時只需要一個公網地址即可，因為Easy IP可以借助NAT設備的出接口完成對私網IP地址的動態NAT。

二、組網需求

1、訪問需求

兩個區域內的 PC 和 Client 可以互相訪問并且兩個區域內的 Client 都可以訪問 FTP 服務器和 WWW 服務器。

2、地址轉換需求

兩個區域內的終端內網地址為保密數據，對外發布時都采用公網地址發布，所以互訪時需要采用公網訪問。

3、地址分配需求

兩個區域內的DHCP服務器分配地址時只對辦公接入區域的終端分配地址，Client/Sever 的 IP 地址采用手工配置，并且在 DHCP 地址池中對 Client/Server 的 MAC 地址和手工 IP 地址進行靜態綁定。

三、建立拓撲

四、設備互聯地址規劃

五、設備配置

1、基礎配置

R1：

配置接口：interfaceGigabitEthernet0/0/0ipaddress13.1.1.1255.255.255.0interfaceGigabitEthernet0/0/1ipaddress12.1.1.1255.255.255.0配置路由：iproute-static10.1.1.0255.255.255.012.1.1.2iproute-static20.1.1.0255.255.255.013.1.1.2

查看路由表：

R2：

配置接口：interfaceGigabitEthernet0/0/0ipaddress10.1.1.254255.255.255.0interfaceGigabitEthernet0/0/1ipaddress12.1.1.2255.255.255.0配置路由：iproute-static0.0.0.00.0.0.012.1.1.1

R3：

配置接口：interfaceGigabitEthernet0/0/0ipaddress13.1.1.2255.255.255.0interfaceGigabitEthernet0/0/1ipaddress34.1.1.1255.255.255.0配置路由：iproute-static10.1.1.0255.255.255.013.1.1.1iproute-static20.1.1.0255.255.255.034.1.1.2

查看路由表：

R4：

接口配置：interfaceGigabitEthernet0/0/0ipaddress20.1.1.254255.255.255.0interfaceGigabitEthernet0/0/1ipaddress34.1.1.2255.255.255.0配置路由：iproute-static0.0.0.00.0.0.034.1.1.1

各終端地址配置參考地址互聯表。

2、DHCP配置

R2:

開啟dhcp功能：dhcpenable配置dhcp資源池：ippoolAgateway-list10.1.1.254//網關地址network10.1.1.0mask255.255.255.0//可分配地址池static-bindip-address10.1.1.10mac-address5489-9846-6fd1//靜態綁定Client/Serverstatic-bindip-address10.1.1.20mac-address5489-9845-0193excluded-ip-address10.1.1.10110.1.1.253//排除分配此地址段ip地址leaseday6hour23minute59//租期為7天dns-list8.8.8.8//配置DNS接口下使能dhcp：interfaceGigabitEthernet0/0/0dhcpselectglobal

查看DHCP分配情況：

R4：

開啟dhcp功能：dhcpenable創建dhcp地址池：ippoolBgateway-list20.1.1.254network20.1.1.0mask255.255.255.0static-bindip-address20.1.1.10mac-address5489-98c2-745bleaseday6hour23minute59dns-list8.8.8.8接口下使能dhcp：interfaceGigabitEthernet0/0/0dhcpselectglobal

查看DHCP地址池分配情況：

3、NAT配置

R1:

使能FTP的NATALG功能：natalgftpenable配置NAT：interfaceGigabitEthernet0/0/0natserverprotocoltcpglobal13.1.1.208080inside10.1.1.20www//將10.1.1.20的www業務端口轉換為8080端口natstaticglobal13.1.1.100inside10.1.1.100netmask255.255.255.255//將固定終端以公網對外發布natserverprotocoltcpglobal13.1.1.108443inside10.1.1.20ftp//將10.1.1.10的FTP業務端口轉換為8080端口

查看NAT情況：

R3：

創建ACL:aclnumber2000rule5permitsource20.1.1.00.0.0.255rule10deny創建NAT地址池：nataddress-group113.1.1.3013.1.1.40接口下調用NAT：interfaceGigabitEthernet0/0/0natoutbound2000address-group1no-pat//只轉換地址，不轉換端口

查看NAT情況：

六、結果驗證

1、DHCP驗證

通過查看PC是否獲取到地址來驗證DHCP是否有效：

PC可以獲取到地址，表示DHCP正常。

2、NAT驗證

①驗證靜態NAT：在PC1上訪問PC2，在PC2上抓取數據分析ICMP數據包源地址是否是PC1的真實地址。

PC1的真實源地址為10.1.1.100，訪問其他區域終端時源地址被NAT為13.1.1.100（公網地址） ，說明靜態NAT命中。

②驗證Easy IP：在PC2上訪問PC1，在PC1上抓取數據分析ICMP數據包源地址是否是PC2的真實地址。

由于DHCP的原因，當PC2訪問PC1時，源地址會隨機被Easy IP地址池里的公網地址替換，表示NAT成功命中。

③NAT Server驗證：一般情況下，內網的IP地址不會對外發布，一方面是為了保密，另外一方面是為了防止被攻擊，保證內網安全性。但是某些事內網中服務器需要對外發布業務，在保證內網數據機密和安全的情況下，使用NAT Server就可以實現這個需求。驗證時只需要使用內網對外提供的IP地址（一般是公網地址）和端口號對內網服務器進行連接，成功訪問到服務器即標識NAT Server成功命中。驗證步驟如下;

第一步：開啟Server上的FTP服務和HTTP服務，如下圖：

第二步、在Client2上使用對外發布的IP地址和端口號連接FTP/WWW服務器，如下圖：

Client2使用內網服務器對外發布的IP地址和端口號成功連接到服務器，說明NAT Server成功命中。

附：NAT Server對應表

轉換后的地址和端口號為對外發布服務時使用，一般用于實現遠程辦公或者遠程配置的功能。

七、總結

NAT和DHCP都是工作中常用的協議，對于小型園區網，這兩個協議更是必不可少，通過本實驗希望大家可以幫助大家更加充分的理解NAT和DHCP的原理以及配置。

編輯：黃飛