一、认识DHCP和NAT

说明：NAT的实现方式中Easy IP和地址池NAT类似，配置参考其中一个即可！其中，地址池NAT中有以下两种选择方式：

①选择带地址池的NAT outbound，要求就是需要有空闲或者多余的公网IP地址来完成对私网IP地址的动态NAT；

②选择Easy IP不带地址池，此时只需要一个公网地址即可，因为Easy IP可以借助NAT设备的出接口完成对私网IP地址的动态NAT。

二、组网需求

1、访问需求

两个区域内的 PC 和 Client 可以互相访问并且两个区域内的 Client 都可以访问 FTP 服务器和 WWW 服务器。

2、地址转换需求

两个区域内的终端内网地址为保密数据，对外发布时都采用公网地址发布，所以互访时需要采用公网访问。

3、地址分配需求

两个区域内的DHCP服务器分配地址时只对办公接入区域的终端分配地址，Client/Sever 的 IP 地址采用手工配置，并且在 DHCP 地址池中对 Client/Server 的 MAC 地址和手工 IP 地址进行静态绑定。

三、建立拓扑

四、设备互联地址规划

五、设备配置

1、基础配置

R1：

配置接口：
interfaceGigabitEthernet0/0/0
ipaddress13.1.1.1255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress12.1.1.1255.255.255.0

配置路由：
iproute-static10.1.1.0255.255.255.012.1.1.2
iproute-static20.1.1.0255.255.255.013.1.1.2

查看路由表：

R2：

配置接口：
interfaceGigabitEthernet0/0/0
ipaddress10.1.1.254255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress12.1.1.2255.255.255.0

配置路由：
iproute-static0.0.0.00.0.0.012.1.1.1

R3：

配置接口：
interfaceGigabitEthernet0/0/0
ipaddress13.1.1.2255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress34.1.1.1255.255.255.0

配置路由：
iproute-static10.1.1.0255.255.255.013.1.1.1
iproute-static20.1.1.0255.255.255.034.1.1.2

查看路由表：

R4：

接口配置：
interfaceGigabitEthernet0/0/0
ipaddress20.1.1.254255.255.255.0
interfaceGigabitEthernet0/0/1
ipaddress34.1.1.2255.255.255.0

配置路由：
iproute-static0.0.0.00.0.0.034.1.1.1

各终端地址配置参考地址互联表。

2、DHCP配置

R2:

开启dhcp功能：
dhcpenable

配置dhcp资源池：
ippoolA
gateway-list10.1.1.254//网关地址
network10.1.1.0mask255.255.255.0//可分配地址池
static-bindip-address10.1.1.10mac-address5489-9846-6fd1//静态绑定Client/Server
static-bindip-address10.1.1.20mac-address5489-9845-0193
excluded-ip-address10.1.1.10110.1.1.253//排除分配此地址段ip地址
leaseday6hour23minute59//租期为7天
dns-list8.8.8.8//配置DNS

接口下使能dhcp：
interfaceGigabitEthernet0/0/0
dhcpselectglobal

查看DHCP分配情况：

R4：

开启dhcp功能：
dhcpenable

创建dhcp地址池：
ippoolB
gateway-list20.1.1.254
network20.1.1.0mask255.255.255.0
static-bindip-address20.1.1.10mac-address5489-98c2-745b
leaseday6hour23minute59
dns-list8.8.8.8

接口下使能dhcp：
interfaceGigabitEthernet0/0/0
dhcpselectglobal

查看DHCP地址池分配情况：

3、NAT配置

R1:

使能FTP的NATALG功能：
natalgftpenable

配置NAT：
interfaceGigabitEthernet0/0/0
natserverprotocoltcpglobal13.1.1.208080inside10.1.1.20www//将10.1.1.20的www业务端口转换为8080端口
natstaticglobal13.1.1.100inside10.1.1.100netmask255.255.255.255//将固定终端以公网对外发布
natserverprotocoltcpglobal13.1.1.108443inside10.1.1.20ftp//将10.1.1.10的FTP业务端口转换为8080端口

查看NAT情况：

R3：

创建ACL:
aclnumber2000
rule5permitsource20.1.1.00.0.0.255
rule10deny

创建NAT地址池：
nataddress-group113.1.1.3013.1.1.40

接口下调用NAT：
interfaceGigabitEthernet0/0/0
natoutbound2000address-group1no-pat//只转换地址，不转换端口

查看NAT情况：

六、结果验证

1、DHCP验证

通过查看PC是否获取到地址来验证DHCP是否有效：

PC可以获取到地址，表示DHCP正常。

2、NAT验证

①验证静态NAT：在PC1上访问PC2，在PC2上抓取数据分析ICMP数据包源地址是否是PC1的真实地址。

PC1的真实源地址为10.1.1.100，访问其他区域终端时源地址被NAT为13.1.1.100（公网地址） ，说明静态NAT命中。

②验证Easy IP：在PC2上访问PC1，在PC1上抓取数据分析ICMP数据包源地址是否是PC2的真实地址。

由于DHCP的原因，当PC2访问PC1时，源地址会随机被Easy IP地址池里的公网地址替换，表示NAT成功命中。

③NAT Server验证：一般情况下，内网的IP地址不会对外发布，一方面是为了保密，另外一方面是为了防止被攻击，保证内网安全性。但是某些事内网中服务器需要对外发布业务，在保证内网数据机密和安全的情况下，使用NAT Server就可以实现这个需求。验证时只需要使用内网对外提供的IP地址（一般是公网地址）和端口号对内网服务器进行连接，成功访问到服务器即标识NAT Server成功命中。验证步骤如下;

第一步：开启Server上的FTP服务和HTTP服务，如下图：

第二步、在Client2上使用对外发布的IP地址和端口号连接FTP/WWW服务器，如下图：

Client2使用内网服务器对外发布的IP地址和端口号成功连接到服务器，说明NAT Server成功命中。

附：NAT Server对应表

转换后的地址和端口号为对外发布服务时使用，一般用于实现远程办公或者远程配置的功能。

七、总结

NAT和DHCP都是工作中常用的协议，对于小型园区网，这两个协议更是必不可少，通过本实验希望大家可以帮助大家更加充分的理解NAT和DHCP的原理以及配置。