网络设备配置与调试案例教程 课件 第四章 路由设备配置4.5

主讲人：万鹏第四章

路由设备配置网络设备配置与调试案例教程CONTENTS教学目标路由器是网络的核心，负责在网络间将数据包从初始源位置转发到最终目的地；路由器可以实现路由、网络访问控制、防止广播风暴，提高网络安全等功能；路由器的安装和调试比较复杂，相对其他网络互连设备的价格较高。【知识目标】Ø了解路由器的类型。Ø掌握路由器基本原理。Ø掌握各种路由的常用命令。【技能目标】Ø能够配置静态路由、动态路由，是网络畅通。Ø能够用OSPF路由完成路由配置，使网络畅通。Ø能够配置标准ACL实现网络基本流量控制。Ø能够配置DHCP服务实现内部网络地址动态获取。Ø能够配置静态NAT、动态NAT，实现内网和外网的互访。Ø能够配置三层交换机实现VLAN间的路由转发。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7静态路由动态路由访问控制列表DHCP与NAT广域网链路三层交换机配置4.5DHCP与NAT网络设备配置与调试案例教程4.5.1项目背景1.需求分析

公司的网络由多个私有地址空间的网络互连而成，内网已正确部署了RIPv2路由。现需要将公司内部网络连接到外网让所有员工能访问Internet，同时内网的Web服务器需要能在外网访问。客户端的IP地址要动态获取，由DHCP服务器统一管理。已知公司申请的公有地址块是209.165.200.128/30。

分析上述需求，要想将私有地址空间的公司内网连接到公有网络，必须要进行网络地址转换。可以在连接外网的边界路由器配置静态NAT和动态NAT以满足需求；同时，可以在内网路由器上配置DHCP服务。

2.环境准备

Ø设备：华为路由器4台，PC5台。Ø线缆：标准交叉线3根，直通线3根，串行电缆3组，控制台电缆1根。Ø每组4名学生，各操作一台PC，协同进行实训。4.5DHCP与NAT网络设备配置与调试案例教程3.技能准备

(1)了解DHCP

DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）是为客户端动态分配IP地址的方法，服务器从预先设置的IP地址池里自动给主机分配IP地址，不仅能够保证IP地址不重复分配，也能及时回收IP地址以提高地址利用率。

DHCP服务可以由网络服务器提供，也可以配置一台路由器来提供。本项目中就采用后一种方式为企业网络提供DHCP服务。

（2）理解NATNAT（NetworkAddressTranslation，网络地址翻译）是一种将一个IP地址域（如Intranet）转换到另一个IP地址域（如Internet）的技术。NAT有很多用途，最主要的用途是让网络能使用私有IP地址以节省IP地址，NAT将不可路由的私有内部地址转换成可路由的公有地址；NAT还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部IP地址。

启用NAT的设备通常工作在末节网络边界。

当末节网络内部的主机（如PC1、PC2或PC3）希望传输数据包给外部主机时，数据包先是被转发给R2，即边界网关路由器。R2执行NAT过程，将主机的内部私有地址转换为公有、外部、可路由的地址。4.5DHCP与NAT网络设备配置与调试案例教程（3）NAT类型

NAT有3种类型：静态NAT、动态NAT及NAT过载。

静态NAT使用本地地址与全局地址的一对一映射，这些映射保持不变。静态NAT对于必须具有一致的地址、可从Internet访问的Web服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。

动态NAT使用公有地址池，并以先到先得的原则分配这些地址。当具有私有IP地址的主机请求访问Internet时，动态NAT从地址池中选择一个未被其他主机占用的IP地址。

NAT过载（有时称为端口地址转换或PAT）是一种特殊的动态NAT，它将多个私有IP地址映射到一个或少数几个公有IP地址。大多数家用路由器就是这样工作的，ISP分配一个地址给家用路由器，但是多名家庭成员可以同时上网。

（4）内部网络与外部网络

内部网络（Inside）：指那些由机构或企业所拥有的网络，与NAT路由器上被定义为inside的接口相连接。内部网络中的主机地址通常是私有的，称为内部本地地址，被NAT转换为公有的内部全局地址。

外部网络（Outside）：指除了内部网络之外的所有网络，常为Internet网络，与NAT路由器上被定义为outside的接口相连接。外部网络主机使用的IP地址可能是私有的外部本地地址或公有的外部全局地址。4.5DHCP与NAT网络设备配置与调试案例教程4.5.2项目设计

任务1：在内部网络路由器上配置DHCP服务，为内网普通客户主机提供地址管理服务。

已经连通的情况下，在边界路由器上添加默认路由以访问外网；并在外网路由器上为申请到的公有地址块做路由。

任务2：实现内网的地址动态获取，在连接内网的路由设备上配置DHCP服务。

任务3：在边界路由器上对内网服务器地址配置静态NAT，以使外网能访问内网服务器。

任务4：在边界路由器上配置动态NAT或PAT以使内网用户都能访问外网。1.拓扑设计

本项目的网络拓扑如图所示。4.5DHCP与NAT网络设备配置与调试案例教程2.IP地址设计设备接口IP地址子网掩码R1G0/1192.168.10.1255.255.255.0G0/0/010.1.1.1255.255.255.252G0/0/010.2.2.2255.255.255.252InsideWebServer网卡本地：192.168.20.254255.255.255.252网卡全局：209.165.202.131255.255.255.252PC1网卡动态获取255.255.255.0PC2网卡动态获取255.255.255.0OutsideHost网卡209.165.201.14255.255.255.240PublicWebServer网卡209.265.201.30255.255.255.240设备接口IP地址表4.5DHCP与NAT网络设备配置与调试案例教程4.5.3项目实施1.DHCP

DHCP动态分配IP地址和其他重要的网络配置信息。路由器可以提供全功能的DHCP服务，租用配置的默认期限是24小时。

本项目网络中，路由器RTA是DHCP服务器，负责向PC1和PC2所在网络的主机动态分配IP地址。实施DHCP服务器配置之前，完成以下任务。Ø按照拓扑图连接网络。

经测试，内部网络已经全部连通后，才可以进入以下DHCP服务配置步骤。

任务1：配置RTA的地址池。

定义地址池，DHCP将把该地址池中的地址分配给R1LAN上的DHCP客户端。可用地址为192.168.10.0网络上除在任务1中已排除地址以外的所有地址。4.5DHCP与NAT网络设备配置与调试案例教程

在R1上，将地址池命名为R1_LAN。为请求DHCP服务的客户端设备指定地址池、默认网关和DNS服务器。[Huawei]dhcpenable[Huawei]ippool10Info:It'ssuccessfultocreateanIPaddresspool.[Huawei-ip-pool-10]network192.168.1.0mask24[Huawei-ip-pool-10]gateway-list192.168.1.1[Huawei-ip-pool-10]dns-list114.114.114.114[Huawei-ip-pool-10]excluded-ip-address192.168.1.2[Huawei-ip-pool-10]leaseday1[Huawei-ip-pool-10]quit[Huawei]vlanbatch2[Huawei]intvlan2[Huawei]intg0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typeaccess[Huawei-GigabitEthernet0/0/1]portdefaultvlan2[Huawei]intvlan2[Huawei-Vlanif2]ipadd192.168.1.124[Huawei-Vlanif2]dhcpselectglobal4.5DHCP与NAT网络设备配置与调试案例教程任务4：验证测试。①配置PC1和PC3的TCP/IP属性，将IP地址设置为DHCP（动态获取），IP配置信息应会立即更新。②检查路由器的DHCP运行情况。要检验路由器的DHCP运行情况，使用displayippool命令，结果如下。每台路由器上都绑定了一个IP地址。[Huawei]displayippool--------------------------------------------------------------Pool-name :10Pool-No :0Position :Local Status :UnlockedGateway-0 :192.168.1.1Mask :255.255.255.0VPNinstance :--IPaddressStatisticTotal :253Used :2 Idle :250Expired :0 Confilict :0 Disable :14.5DHCP与NAT网络设备配置与调试案例教程2.静态NAT

内部网络服务器InsideWebServer需要一个不会改变的公有IP地址，以便能从网络外部访问它。静态NAT地址允许Web服务器配置私有内部地址，然后，NAT将把使用该服务器公有地址的数据包映射到私有地址。配置静态NAT使外网能访问内部服务器。

任务2：配置静态NAT使内网服务器可访问。

①在RTA上配置静态NAT。[Huawei]intg0/0/0[Huawei-GigabitEthernet0/0/0]ipadd192.168.1.25424[Huawei-GigabitEthernet0/0/0]intg0/0/1[Huawei-GigabitEthernet0/0/1]ipadd200.10.10.224[Huawei-GigabitEthernet0/0/1]natstaticglobal202.10.10.1inside192.168.1.1[Huawei-GigabitEthernet0/0/1]natstaticglobal202.10.10.2inside192.168.1.2

全局命令undonatstatic可删除静态源地址转换。4.5DHCP与NAT网络设备配置与调试案例教程②验证测试。l命令displaynatstatic用于查看静态NAT的配置。lGlobalIP/Port表示公网地址和服务端口号。lInsideIP/Port表示私有地址和服务端口号。[Huawei]disnatstatic StaticNatInformation:Interface : GigabitEthernet0/0/1Global IP/Port :202.10.10.1/----InsideIP/Port :192.168.1.1/----Protocol:----VPNinstance-name :----Aclnumber :----Netmask :255.255.255.255Descripton:----GlobalIP/Port :202.10.10.2/----InsideIP/Port :192.168.1.12----VPNinstance-name :----Aclnumber :----Netmask :255.255.255.255Descripton:----Total： 24.5DHCP与NAT网络设备配置与调试案例教程3.动态NAT

除分配给InsideWebServer的公有IP地址外，ISP还分配了3个公有地址供公司网络使用。这些地址被映射到所有其他访问Internet的内部主机。要使公司所有内部主机都有机会使用这3个地址访问Internet，需要配置动态NAT。配置动态NAT使内网主机能访问外网。

下面进行动态NAT配置。

（1）配置ACL以规定可以进行NAT的地址

natoutbound命令用来将一个访问控制列表ACL和一个地址池关联起来，表示ACL中规定的地址可以使用地址池进行地址转换。ACL用于指定一个规则，用来过滤特定流量。后续将会介绍有关ACL的详细信息。

nataddress-group命令用来配置NAT地址池。4.5DHCP与NAT网络设备配置与调试案例教程

本示例中使用natoutbound命令将ACL2000与待转换的192.168.1.0/24网段的流量关联起来，并使用地址池1（address-group1）中的地址进行地址转换。no-pat表示只转换数据报文的地址而不转换端口信息。[Huawei]nataddress-group1200.10.10.1200.10.10.200[Huawei]acl2000[Huawei-acl-basic-2000]rule5permitsource192.168.1.00.0.0.255[Huawei-acl-basic-2000]quit[Huawei]intg0/0/1[Huawei-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat（2）验证测试l命令displaynatoutbound用来查看动态NAT配置信息。l可以用这两条命令验证动态NAT的详细配置。在本示例中，指定接口Serial1/0/0与ACL关联在一起，并定义了用于地址转换的地址池1。参数no-pat说明没有进行端口地址转换。4.5DHCP与NAT网络设备配置与调试案例教程displaynataddress-group[Huawei]disnataddress-group1NAT Address-Group Information:---------------------------------------Index Start-address End-address---------------------------------------1200.10.10.1200.10.10.200---------------------------------------Total:1[Huawei]displaynatoutboundNATOutboundInformation:-