以一个典型的企业网络为例,假设企业内部有两个区域:办公区和生产区。办公区的电脑通过DHCP获取ip地址,生产区的电脑则手动配置IP地址。为了使办公区和生产区的电脑能互相访问,以及能访问外网的FTP服务器和WWW服务器,我们需要配置NAT和DHCP。
首先,我们为两个区域分别配置DHCP服务器。办公区的DHCP服务器将为电脑分配一个网段内的IP地址,如10.1.1.0/24,并设置网关地址为10.1.1.254。同时,我们还需要将一些特定的电脑的MAC地址和IP地址进行静态绑定,这样这些电脑每次启动时都能获取到相同的IP地址。
对于生产区的电脑,由于它们需要与外网进行交互,因此我们不能简单地使用DHCP进行IP地址分配。相反,我们为这些电脑手动配置IP地址,并设置网关地址为与办公区不同的地址,如20.1.1.254。同时,为了防止生产区的电脑地址被泄露,我们需要将这些地址进行NAT转换。
接下来,我们需要配置NAT。NAT有几种配置方式,其中最常用的是Easy IP和地址池NAT。Easy IP只需要一个公网地址即可,而地址池NAT则需要一组公网地址。在这个例子中,我们选择地址池NAT。具体操作是,将内网地址转换为公网地址池中的一个地址,然后通过这个公网地址与外网进行通信。
最后,我们需要验证NAT和DHCP是否配置正确。我们可以通过在PC上查看是否能获取到地址来验证DHCP,通过在抓包工具中查看ICMP数据包的源地址来验证NAT。如果一切正常,那么我们的网络配置就成功了。
总的来说,NAT和DHCP是网络中非常重要的协议,它们帮助我们实现网络的互通,同时保护内网的安全。通过本文的介绍,我们希望您能更好地理解NAT和DHCP的原理和配置。
一、认识DHCP和NAT
说明:NAT的实现方式中Easy IP和地址池NAT类似,配置参考其中一个即可!其中,地址池NAT中有以下两种选择方式:
①选择带地址池的NAT outbound,要求就是需要有空闲或者多余的公网IP地址来完成对私网IP地址的动态NAT;
②选择Easy IP不带地址池,此时只需要一个公网地址即可,因为Easy IP可以借助NAT设备的出接口完成对私网IP地址的动态NAT。
二、组网需求
1、访问需求
两个区域内的 PC 和 Client 可以互相访问并且两个区域内的 CLIent 都可以访问 FTP 服务器和 WWW 服务器。
2、地址转换需求
两个区域内的终端内网地址为保密数据,对外发布时都采用公网地址发布,所以互访时需要采用公网访问。
3、地址分配需求
两个区域内的DHCP服务器分配地址时只对办公接入区域的终端分配地址,Client/Sever 的 IP 地址采用手工配置,并且在 DHCP 地址池中对 Client/Server 的 MAC 地址和手工 IP 地址进行静态绑定。
三、建立拓扑
四、设备互联地址规划
| 本端设备 | 接口 | IP地址/掩码 | 对端设备 | 接口 | IP地址/掩码 |
| R1 | GE0/0/0 | 13.1.1.1/24 | R2 | GE0/0/0 | 13.1.1.2/24 |
| GE0/0/1 | 12.1.1.1/24 | R3 | GE0/0/1 | 12.1.1.2/24 | |
| R2 | GE0/0/0 | 10.1.1.254/24 | 内网终端 | ||
| GE0/0/1 | 12.1.1.2/24 | R1 | GE0/0/1 | 12.1.1.2/24 | |
| R3 | GE0/0/0 | 13.1.1.2/24 | R1 | GE0/0/0 | 13.1.1.1/24 |
| GE0/0/1 | 34.1.1.1/24 | R4 | GE0/0/1 | 34.1.1.2/24 | |
| R4 | GE0/0/0 | 20.1.1.254/24 | 内网终端 | ||
| GE0/0/1 | 34.1.1.2/24 | R3 | GE0/0/1 | 34.1.1.1/24 | |
| PC 1 | Eth0/0/1 | DHCP | GW:10.1.1.254 | ||
| PC 2 | Eth0/0/1 | DHCP | GW:20.1.1.254 | ||
| Client 1 | Eth0/0/0 | 10.1.1.10/24 | GW:10.1.1.254 | ||
| Client 2 | Eth0/0/0 | 20.1.1.20/24 | GW:20.1.1.254 | ||
| Server 1 | Eth0/0/0 | 10.1.1.20/24 | GW:10.1.1.254,FTP端口:21,www端口:80 | ||
五、设备配置
1、基础配置
R1:
配置接口:
interfaceGigabitEthernet0/0/0
ipaddress13.1.1.1255.255.255.0
interfaceGigabitEthernet0/0/1
iPaddress12.1.1.1255.255.255.0
配置路由:
iproute-static10.1.1.0255.255.255.012.1.1.2
iproute-static20.1.1.0255.255.255.013.1.1.2
R2:
配置接口:
interfaceGigabitEthernet0/0/0
ipaDDRess10.1.1.254255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress12.1.1.2255.255.255.0
配置路由:
iproute-static0.0.0.00.0.0.012.1.1.1
R3:
配置接口:
interfaceGigabitEthernet0/0/0
ipaddress13.1.1.2255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress34.1.1.1255.255.255.0
配置路由:
iproute-static10.1.1.0255.255.255.013.1.1.1
iproute-static20.1.1.0255.255.255.034.1.1.2
查看路由表:
R4:
接口配置:
interfaceGigabitEthernet0/0/0
ipaddress20.1.1.254255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress34.1.1.2255.255.255.0
配置路由:
iproute-static0.0.0.00.0.0.034.1.1.1
各终端地址配置参考地址互联表。
2、DHCP配置
R2:
开启DHCP功能:
dhcpenable
配置dhcp资源池:
ippoolA
gateway-list10.1.1.254//网关地址
network10.1.1.0mask255.255.255.0//可分配地址池
static-bindip-address10.1.1.10mac-address5489-9846-6fd1//静态绑定Client/Server
static-bindip-address10.1.1.20mac-address5489-9845-0193
excluded-ip-address10.1.1.10110.1.1.253//排除分配此地址段ip地址
leaseday6hour23minute59//租期为7天
DNS-list8.8.8.8//配置DNS
接口下使能dhcp:
interfaceGigabitEthernet0/0/0
dhcpselectglobal
查看DHCP分配情况:
R4:
开启dhcp功能:
dhcpenable
创建DHCP地址池:
ippoolB
gateway-list20.1.1.254
network20.1.1.0mask255.255.255.0
static-bindip-address20.1.1.10mac-address5489-98c2-745b
leASEday6hour23minute59
dns-list8.8.8.8
接口下使能dhcp:
interfaceGigabitEthernet0/0/0
dhcpselectglobal
查看DHCP地址池分配情况:
3、nat配置
R1:
使能FTP的NATALG功能:
natalgftpenable
配置NAT:
interfaceGigabitEthernet0/0/0
natserverproTOColTCPglobal13.1.1.208080inside10.1.1.20www//将10.1.1.20的www业务端口转换为8080端口
natstaticglobal13.1.1.100inside10.1.1.100netmask255.255.255.255//将固定终端以公网对外发布
natserverprotocOLTcpglobal13.1.1.108443inside10.1.1.20ftp//将10.1.1.10的FTP业务端口转换为8080端口
查看NAT情况:
R3:
创建ACL:
ACLnumber2000
rule5permitsource20.1.1.00.0.0.255
rule10deny
创建NAT地址池:
nataddress-group113.1.1.3013.1.1.40
接口下调用NAT:
interfaceGigabitEthernet0/0/0
natoutbound2000address-group1no-pat//只转换地址,不转换端口
查看NAT情况:
六、结果验证
1、DHCP验证
通过查看PC是否获取到地址来验证DHCP是否有效:
PC可以获取到地址,表示DHCP正常。
2、NAT验证
①验证静态NAT:在PC1上访问PC2,在PC2上抓取数据分析ICMP数据包源地址是否是PC1的真实地址。
PC1的真实源地址为10.1.1.100,访问其他区域终端时源地址被NAT为13.1.1.100(公网地址) ,说明静态NAT命中。
②验证Easy IP:在PC2上访问PC1,在PC1上抓取数据分析ICMP数据包源地址是否是PC2的真实地址。
由于DHCP的原因,当PC2访问PC1时,源地址会随机被Easy IP地址池里的公网地址替换,表示NAT成功命中。
③NAT Server验证:一般情况下,内网的IP地址不会对外发布,一方面是为了保密,另外一方面是为了防止被攻击,保证内网安全性。但是某些事内网中服务器需要对外发布业务,在保证内网数据机密和安全的情况下,使用NAT Server就可以实现这个需求。验证时只需要使用内网对外提供的IP地址(一般是公网地址)和端口号对内网服务器进行连接,成功访问到服务器即标识NAT Server成功命中。验证步骤如下;
第一步:开启Server上的FTP服务和HTTP服务,如下图:
第二步、在Client2上使用对外发布的IP地址和端口号连接FTP/WWW服务器,如下图:
Client2使用内网服务器对外发布的IP地址和端口号成功连接到服务器,说明NAT Server成功命中。
附:NAT Server对应表
| 设备 | 服务 | 真实IP地址 | 真实端口号 | 转换后IP地址 | 转换后端口号 |
| Server1 | FTP | 10.1.1.20 | 21 | 13.1.1.10 | 8443 |
| WWW | 10.1.1.20 | 80 | 13.1.1.20 | 8080 |
转换后的地址和端口号为对外发布服务时使用,一般用于实现远程办公或者远程配置的功能。
七、总结
NAT和DHCP都是工作中常用的协议,对于小型园区网,这两个协议更是必不可少,通过本实验希望大家可以帮助大家更加充分的理解NAT和DHCP的原理以及配置。
![[RAK多网关局域网组网配置指南]](https://www.datacomit.cn/uploadfile/ueditor/image/2025/04/7576652437242065941.png)
