PT-练习-7.4.1.2-基本-DHCP-与-NAT-配置(教师版)

所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第1页（共13页）练习7.4.1：基本DHCP与NAT配置（教师版）拓扑图地址表设备接口IP地址子网掩码S0/0/010.1.1.1255.255.255.252Fa0/0192.168.10.1255.255.255.0R1Fa0/1192.168.11.1255.255.255.0S0/0/010.1.1.2255.255.255.252S0/0/1209.165.200.225255.255.255.252R2Fa0/0192.168.20.1255.255.255.0ISPS0/0/1209.165.200.226255.255.255.252学习目标完成本实验后，您将能够：•准备网络•执行基本路由器配置•配置CiscoIOSDHCP服务器•配置静态路由和默认路由•配置静态NATCCNAExploration接入WAN：IP编址服务PT练习7.4.1：基本DHCP与NAT配置所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第2页（共13页）•利用地址池配置动态NAT•配置NAT过载场景本实验中，您将配置DHCP与NATIP服务。一台路由器为DHCP服务器。另一台路由器将DHCP请求转发到DHCP服务器。您还将配置静态和动态NAT配置，包括NAT过载。完成配置后，请检验内部地址与外部地址之间的连通性。任务1：执行基本路由器配置根据以下说明配置R1、R2和ISP路由器：•配置设备主机名。•禁用DNS查找。•配置特权执行模式口令。•配置当日消息标语。•为控制台连接配置口令。•为所有vty连接配置口令。•在所有路由器上配置IP地址。本练习中，PC稍后将从DHCP接收IP编址信息。•在R1和R2上使用进程ID1启用OSPF。请勿通告209.165.200.224/27网络。对所有设备：enableconftnoipdomain-lookupenablesecretclassbannermotd$AuthorizedAccessOnly!$!linecon0loggingsynchronouspasswordciscologin!linevty04passwordciscologinendcopyrunstartR1:hostnameR1intfa0/0ipaddress192.168.10.1255.255.255.0noshutintfa0/1ipaddress192.168.11.1255.255.255.0noshutints0/0/0ipaddress10.1.1.1255.255.255.252clockrate125000noshutCCNAExploration接入WAN：IP编址服务PT练习7.4.1：基本DHCP与NAT配置所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第3页（共13页）!routerospf1network192.168.10.00.0.0.255area0network192.168.11.00.0.0.255area0network10.1.1.00.0.0.3area0R2:hostnameR2intfa0/0ipaddress192.168.20.1255.255.255.0noshutints0/0/0ipaddress10.1.1.2255.255.255.252noshutints0/0/1ipaddress209.165.200.225255.255.255.252clockrate125000noshut!routerospf1network10.1.1.00.0.0.3area0ISP:hostnameISPints0/0/1ipaddress209.165.200.226255.255.255.252noshut!任务2：配置CiscoIOSDHCP服务器步骤1：排除静态分配的地址。DHCP服务器假定DHCP地址池子网中的所有IP地址均可供分配给DHCP客户端。对于DHCP服务器不应分配给客户端的IP地址，必须特别指定。这些IP地址通常是保留给路由器接口、交换机管理IP地址、服务器和本地网络打印机使用的静态地址。ipdhcpexcluded-address命令防止路由器分配所配置范围内的IP地址。下列命令排除与R1相连的各LAN地址池中的前10个IP地址。这些地址不会被分配给任何DHCP客户端。R1(config)#ipdhcpexcluded-address192.168.10.1192.168.10.10R1(config)#ipdhcpexcluded-address192.168.11.1192.168.11.10步骤2：配置地址池。使用ipdhcppool命令创建DHCP地址池，并将它命名为R1Fa0。R1(config)#ipdhcppoolR1Fa0指定分配IP地址时使用的子网。DHCP地址池会根据network语句自动与接口关联。现在路由器相当于DHCP服务器，分配192.168.10.0/24子网中的地址，从192.168.10.1开始分配。R1(dhcp-config)#network192.168.10.0255.255.255.0配置网络的默认路由器和域名服务器。客户端通过DHCP接收这些设置以及IP地址。R1(dhcp-config)#dns-server192.168.11.5CCNAExploration接入WAN：IP编址服务PT练习7.4.1：基本DHCP与NAT配置所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第4页（共13页）R1(dhcp-config)#default-router192.168.10.1注：地址192.168.11.5上并没有DNS服务器。配置此地址仅用于练习目的。R1(config)#ipdhcppoolR1Fa1R1(dhcp-config)#network192.168.11.0255.255.255.0R1(dhcp-config)#dns-server192.168.11.5R1(dhcp-config)#default-router192.168.11.1步骤3：检验DHCP配置。可以通过几种不同的方式检验DHCP服务器配置。最基本的方式是配置子网上的一台主机通过DHCP接收IP地址。然后在路由器上发出命令，以便获得更多信息。showipdhcpbinding命令提供关于目前已分配的所有DHCP地址的信息。例如，以下输出显示IP地址192.168.10.11已被分配给MAC地址3031.632e.3537.6563。该IP租用于2007年9月14日下午7:33到期。R1#showipdhcpbindingIPaddressClient-ID/LeaseexpirationTypeHardwareaddress192.168.10.110007.EC66.8752--Automatic192.168.11.1100E0.F724.8EDA--Automatic任务3：配置静态路由和默认路由ISP使用静态路由到达R2以外的所有网络。不过，给ISP发送流量之前，R2会将私有地址转换成公有地址。因此，必须以公有地址配置ISP，这些公有地址是R2上NAT配置的一部分。在ISP上输入以下静态路由：ISP(config)#iproute209.165.200.240255.255.255.240serial0/0/1此静态路由包括所有分配给R2以供公开使用的地址。在R2上配置默认路由，并在OSPF中传播此路由。R2(config)#iproute0.0.0.00.0.0.0209.165.200.226R2(config)#routerospf1R2(config-router)#default-informationoriginate给R1几秒钟时间从R2学习默认路由，然后检查R1的路由表。或者也可以使用cleariproute*命令清除路由表。R1路由表中应出现指向R2的默认路由。从R1pingR2上的serial0/0/1接口(209.165.200.225)。ping应当能成功。如果ping不成功，请排除故障。任务4：配置静态NAT步骤1：静态映射公有IP地址到私有IP地址。ISP以外的外部主机可以访问与R2相连的内部服务器。将公有IP地址209.165.200.254静态指定为NAT用来映射数据包到内部服务器私有IP地址192.168.20.254的地址。R2(config)#ipnatinsidesourcestatic192.168.20.254209.165.200.254步骤2：指定内部和外部NAT接口。NAT工作之前，必须指定哪些接口是内部接口，哪些接口是外部接口。R2(config)#interfaceserial0/0/1R2(config-if)#ipnatoutsideCCNAExploration接入WAN：IP编址服务PT练习7.4.1：基本DHCP与NAT配置所有内容版权所有©1992–2007CiscoSystems,Inc.保留所有权利。本文档为Cisco公开信息。第5页（共13页）R2(config-if)#interfacefa0/0R2(config-if)#ipnatinside步骤3：检验静态NAT配置。从ISPping公有IP地址209.165.200.254。任务5：利用地址池配置动态NAT静态NAT建立了内部地址与特定公有地址之间的永久性映射。而动态NAT则是将私有IP地址临时映射到公有地址，这些公有IP地址源自NAT地址池。步骤1：定义全局地址池。创建一个地址池，以便将符合条件的源地址转换为其中的地址。以下命令创建名为MY-NAT-POOL的地址池，符合条件的源地址将被转换为209.165.200.241-209.165.200.246范围内的可用IP地址。R2(config)#ipnatpoolMY-NAT-POOL209.165.200.241209.165.200.246netmask255.255.255.248步骤2：创建标准访问控制列表，以便确定需要的转换内部地址。R2(config)#ipaccess-listextendedNATR2(config-std-nacl)#permitip192.168.10.00.0.0.255anyR2(config-std-nacl)#permitip192.168.11.00.0.0.255any步骤3：将地址池与访问控制列表绑定，建立动态源地址转换。一台路由器可以具有一个以上的NAT池和一个以上的ACL。以下命令告知路由器使用哪个地址池来转换ACL允许的主机。R2(config)#ipnatinsidesourcelistNATpoolMY-NAT-POOL步骤4：指定内部和外部NAT接口。您已经指定静态NAT配置的内部接口和外部接口。现在将链接到R1的串行接口添加为内部接口。R2(config)#interfaceserial0/0/0R2(config-if)#ipnatinside步骤5：检验配置。从PC1和PC2pingISP。然后在R2上使用showipnattranslations命令检验NAT。R2#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---209.165.200.241192.168.10.11---------209.165.200.242192.168.11.11---------209.165.200.254192.168.20.254------任务6：配