網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第四章 路由設(shè)備配置4.5

主講人：萬鵬第四章

路由設(shè)備配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標路由器是網(wǎng)絡(luò)的核心，負責(zé)在網(wǎng)絡(luò)間將數(shù)據(jù)包從初始源位置轉(zhuǎn)發(fā)到最終目的地；路由器可以實現(xiàn)路由、網(wǎng)絡(luò)訪問控制、防止廣播風(fēng)暴，提高網(wǎng)絡(luò)安全等功能；路由器的安裝和調(diào)試比較復(fù)雜，相對其他網(wǎng)絡(luò)互連設(shè)備的價格較高?！局R目標】?了解路由器的類型。?掌握路由器基本原理。?掌握各種路由的常用命令?！炯寄苣繕恕?能夠配置靜態(tài)路由、動態(tài)路由，是網(wǎng)絡(luò)暢通。?能夠用OSPF路由完成路由配置，使網(wǎng)絡(luò)暢通。?能夠配置標準ACL實現(xiàn)網(wǎng)絡(luò)基本流量控制。?能夠配置DHCP服務(wù)實現(xiàn)內(nèi)部網(wǎng)絡(luò)地址動態(tài)獲取。?能夠配置靜態(tài)NAT、動態(tài)NAT，實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)的互訪。?能夠配置三層交換機實現(xiàn)VLAN間的路由轉(zhuǎn)發(fā)。CONTENTS4.1路由器基本配置4.24.34.44.54.64.7靜態(tài)路由動態(tài)路由訪問控制列表DHCP與NAT廣域網(wǎng)鏈路三層交換機配置4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.5.1項目背景1.需求分析

公司的網(wǎng)絡(luò)由多個私有地址空間的網(wǎng)絡(luò)互連而成，內(nèi)網(wǎng)已正確部署了RIPv2路由?，F(xiàn)需要將公司內(nèi)部網(wǎng)絡(luò)連接到外網(wǎng)讓所有員工能訪問Internet，同時內(nèi)網(wǎng)的Web服務(wù)器需要能在外網(wǎng)訪問?？蛻舳说腎P地址要動態(tài)獲取，由DHCP服務(wù)器統(tǒng)一管理。已知公司申請的公有地址塊是209.165.200.128/30。

分析上述需求，要想將私有地址空間的公司內(nèi)網(wǎng)連接到公有網(wǎng)絡(luò)，必須要進行網(wǎng)絡(luò)地址轉(zhuǎn)換?？梢栽谶B接外網(wǎng)的邊界路由器配置靜態(tài)NAT和動態(tài)NAT以滿足需求；同時，可以在內(nèi)網(wǎng)路由器上配置DHCP服務(wù)。

2.環(huán)境準備

?設(shè)備：華為路由器4臺，PC5臺。?線纜：標準交叉線3根，直通線3根，串行電纜3組，控制臺電纜1根。?每組4名學(xué)生，各操作一臺PC，協(xié)同進行實訓(xùn)。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.技能準備

(1)了解DHCP

DHCP（DynamicHostConfigurationProtocol，動態(tài)主機配置協(xié)議）是為客戶端動態(tài)分配IP地址的方法，服務(wù)器從預(yù)先設(shè)置的IP地址池里自動給主機分配IP地址，不僅能夠保證IP地址不重復(fù)分配，也能及時回收IP地址以提高地址利用率。

DHCP服務(wù)可以由網(wǎng)絡(luò)服務(wù)器提供，也可以配置一臺路由器來提供。本項目中就采用后一種方式為企業(yè)網(wǎng)絡(luò)提供DHCP服務(wù)。

（2）理解NATNAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址翻譯）是一種將一個IP地址域（如Intranet）轉(zhuǎn)換到另一個IP地址域（如Internet）的技術(shù)。NAT有很多用途，最主要的用途是讓網(wǎng)絡(luò)能使用私有IP地址以節(jié)省IP地址，NAT將不可路由的私有內(nèi)部地址轉(zhuǎn)換成可路由的公有地址；NAT還能在一定程度上增加網(wǎng)絡(luò)的私密性和安全性，因為它對外部網(wǎng)絡(luò)隱藏了內(nèi)部IP地址。

啟用NAT的設(shè)備通常工作在末節(jié)網(wǎng)絡(luò)邊界。

當末節(jié)網(wǎng)絡(luò)內(nèi)部的主機（如PC1、PC2或PC3）希望傳輸數(shù)據(jù)包給外部主機時，數(shù)據(jù)包先是被轉(zhuǎn)發(fā)給R2，即邊界網(wǎng)關(guān)路由器。R2執(zhí)行NAT過程，將主機的內(nèi)部私有地址轉(zhuǎn)換為公有、外部、可路由的地址。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（3）NAT類型

NAT有3種類型：靜態(tài)NAT、動態(tài)NAT及NAT過載。

靜態(tài)NAT使用本地地址與全局地址的一對一映射，這些映射保持不變。靜態(tài)NAT對于必須具有一致的地址、可從Internet訪問的Web服務(wù)器或主機特別有用。這些內(nèi)部主機可能是企業(yè)服務(wù)器或網(wǎng)絡(luò)設(shè)備。

動態(tài)NAT使用公有地址池，并以先到先得的原則分配這些地址。當具有私有IP地址的主機請求訪問Internet時，動態(tài)NAT從地址池中選擇一個未被其他主機占用的IP地址。

NAT過載（有時稱為端口地址轉(zhuǎn)換或PAT）是一種特殊的動態(tài)NAT，它將多個私有IP地址映射到一個或少數(shù)幾個公有IP地址。大多數(shù)家用路由器就是這樣工作的，ISP分配一個地址給家用路由器，但是多名家庭成員可以同時上網(wǎng)。

（4）內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)

內(nèi)部網(wǎng)絡(luò)（Inside）：指那些由機構(gòu)或企業(yè)所擁有的網(wǎng)絡(luò)，與NAT路由器上被定義為inside的接口相連接。內(nèi)部網(wǎng)絡(luò)中的主機地址通常是私有的，稱為內(nèi)部本地地址，被NAT轉(zhuǎn)換為公有的內(nèi)部全局地址。

外部網(wǎng)絡(luò)（Outside）：指除了內(nèi)部網(wǎng)絡(luò)之外的所有網(wǎng)絡(luò)，常為Internet網(wǎng)絡(luò)，與NAT路由器上被定義為outside的接口相連接。外部網(wǎng)絡(luò)主機使用的IP地址可能是私有的外部本地地址或公有的外部全局地址。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.5.2項目設(shè)計

任務(wù)1：在內(nèi)部網(wǎng)絡(luò)路由器上配置DHCP服務(wù)，為內(nèi)網(wǎng)普通客戶主機提供地址管理服務(wù)。

已經(jīng)連通的情況下，在邊界路由器上添加默認路由以訪問外網(wǎng)；并在外網(wǎng)路由器上為申請到的公有地址塊做路由。

任務(wù)2：實現(xiàn)內(nèi)網(wǎng)的地址動態(tài)獲取，在連接內(nèi)網(wǎng)的路由設(shè)備上配置DHCP服務(wù)。

任務(wù)3：在邊界路由器上對內(nèi)網(wǎng)服務(wù)器地址配置靜態(tài)NAT，以使外網(wǎng)能訪問內(nèi)網(wǎng)服務(wù)器。

任務(wù)4：在邊界路由器上配置動態(tài)NAT或PAT以使內(nèi)網(wǎng)用戶都能訪問外網(wǎng)。1.拓撲設(shè)計

本項目的網(wǎng)絡(luò)拓撲如圖所示。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.IP地址設(shè)計設(shè)備接口IP地址子網(wǎng)掩碼R1G0/1192.168.10.1255.255.255.0G0/0/010.1.1.1255.255.255.252G0/0/010.2.2.2255.255.255.252InsideWebServer網(wǎng)卡本地：192.168.20.254255.255.255.252網(wǎng)卡全局：209.165.202.131255.255.255.252PC1網(wǎng)卡動態(tài)獲取255.255.255.0PC2網(wǎng)卡動態(tài)獲取255.255.255.0OutsideHost網(wǎng)卡209.165.201.14255.255.255.240PublicWebServer網(wǎng)卡209.265.201.30255.255.255.240設(shè)備接口IP地址表4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程4.5.3項目實施1.DHCP

DHCP動態(tài)分配IP地址和其他重要的網(wǎng)絡(luò)配置信息。路由器可以提供全功能的DHCP服務(wù)，租用配置的默認期限是24小時。

本項目網(wǎng)絡(luò)中，路由器RTA是DHCP服務(wù)器，負責(zé)向PC1和PC2所在網(wǎng)絡(luò)的主機動態(tài)分配IP地址。實施DHCP服務(wù)器配置之前，完成以下任務(wù)。?按照拓撲圖連接網(wǎng)絡(luò)。

經(jīng)測試，內(nèi)部網(wǎng)絡(luò)已經(jīng)全部連通后，才可以進入以下DHCP服務(wù)配置步驟。

任務(wù)1：配置RTA的地址池。

定義地址池，DHCP將把該地址池中的地址分配給R1LAN上的DHCP客戶端?？捎玫刂窞?92.168.10.0網(wǎng)絡(luò)上除在任務(wù)1中已排除地址以外的所有地址。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

在R1上，將地址池命名為R1_LAN。為請求DHCP服務(wù)的客戶端設(shè)備指定地址池、默認網(wǎng)關(guān)和DNS服務(wù)器。[Huawei]dhcpenable[Huawei]ippool10Info:It'ssuccessfultocreateanIPaddresspool.[Huawei-ip-pool-10]network192.168.1.0mask24[Huawei-ip-pool-10]gateway-list192.168.1.1[Huawei-ip-pool-10]dns-list114.114.114.114[Huawei-ip-pool-10]excluded-ip-address192.168.1.2[Huawei-ip-pool-10]leaseday1[Huawei-ip-pool-10]quit[Huawei]vlanbatch2[Huawei]intvlan2[Huawei]intg0/0/1[Huawei-GigabitEthernet0/0/1]portlink-typeaccess[Huawei-GigabitEthernet0/0/1]portdefaultvlan2[Huawei]intvlan2[Huawei-Vlanif2]ipadd192.168.1.124[Huawei-Vlanif2]dhcpselectglobal4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程任務(wù)4：驗證測試。①配置PC1和PC3的TCP/IP屬性，將IP地址設(shè)置為DHCP（動態(tài)獲?。?，IP配置信息應(yīng)會立即更新。②檢查路由器的DHCP運行情況。要檢驗路由器的DHCP運行情況，使用displayippool命令，結(jié)果如下。每臺路由器上都綁定了一個IP地址。[Huawei]displayippool--------------------------------------------------------------Pool-name :10Pool-No :0Position :Local Status :UnlockedGateway-0 :192.168.1.1Mask :255.255.255.0VPNinstance :--IPaddressStatisticTotal :253Used :2 Idle :250Expired :0 Confilict :0 Disable :14.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.靜態(tài)NAT

內(nèi)部網(wǎng)絡(luò)服務(wù)器InsideWebServer需要一個不會改變的公有IP地址，以便能從網(wǎng)絡(luò)外部訪問它。靜態(tài)NAT地址允許Web服務(wù)器配置私有內(nèi)部地址，然后，NAT將把使用該服務(wù)器公有地址的數(shù)據(jù)包映射到私有地址。配置靜態(tài)NAT使外網(wǎng)能訪問內(nèi)部服務(wù)器。

任務(wù)2：配置靜態(tài)NAT使內(nèi)網(wǎng)服務(wù)器可訪問。

①在RTA上配置靜態(tài)NAT。[Huawei]intg0/0/0[Huawei-GigabitEthernet0/0/0]ipadd192.168.1.25424[Huawei-GigabitEthernet0/0/0]intg0/0/1[Huawei-GigabitEthernet0/0/1]ipadd200.10.10.224[Huawei-GigabitEthernet0/0/1]natstaticglobal202.10.10.1inside192.168.1.1[Huawei-GigabitEthernet0/0/1]natstaticglobal202.10.10.2inside192.168.1.2

全局命令undonatstatic可刪除靜態(tài)源地址轉(zhuǎn)換。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程②驗證測試。l命令displaynatstatic用于查看靜態(tài)NAT的配置。lGlobalIP/Port表示公網(wǎng)地址和服務(wù)端口號。lInsideIP/Port表示私有地址和服務(wù)端口號。[Huawei]disnatstatic StaticNatInformation:Interface : GigabitEthernet0/0/1Global IP/Port :202.10.10.1/----InsideIP/Port :192.168.1.1/----Protocol:----VPNinstance-name :----Aclnumber :----Netmask :255.255.255.255Descripton:----GlobalIP/Port :202.10.10.2/----InsideIP/Port :192.168.1.12----VPNinstance-name :----Aclnumber :----Netmask :255.255.255.255Descripton:----Total： 24.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.動態(tài)NAT

除分配給InsideWebServer的公有IP地址外，ISP還分配了3個公有地址供公司網(wǎng)絡(luò)使用。這些地址被映射到所有其他訪問Internet的內(nèi)部主機。要使公司所有內(nèi)部主機都有機會使用這3個地址訪問Internet，需要配置動態(tài)NAT。配置動態(tài)NAT使內(nèi)網(wǎng)主機能訪問外網(wǎng)。

下面進行動態(tài)NAT配置。

（1）配置ACL以規(guī)定可以進行NAT的地址

natoutbound命令用來將一個訪問控制列表ACL和一個地址池關(guān)聯(lián)起來，表示ACL中規(guī)定的地址可以使用地址池進行地址轉(zhuǎn)換。ACL用于指定一個規(guī)則，用來過濾特定流量。后續(xù)將會介紹有關(guān)ACL的詳細信息。

nataddress-group命令用來配置NAT地址池。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

本示例中使用natoutbound命令將ACL2000與待轉(zhuǎn)換的192.168.1.0/24網(wǎng)段的流量關(guān)聯(lián)起來，并使用地址池1（address-group1）中的地址進行地址轉(zhuǎn)換。no-pat表示只轉(zhuǎn)換數(shù)據(jù)報文的地址而不轉(zhuǎn)換端口信息。[Huawei]nataddress-group1200.10.10.1200.10.10.200[Huawei]acl2000[Huawei-acl-basic-2000]rule5permitsource192.168.1.00.0.0.255[Huawei-acl-basic-2000]quit[Huawei]intg0/0/1[Huawei-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat（2）驗證測試l命令displaynatoutbound用來查看動態(tài)NAT配置信息。l可以用這兩條命令驗證動態(tài)NAT的詳細配置。在本示例中，指定接口Serial1/0/0與ACL關(guān)聯(lián)在一起，并定義了用于地址轉(zhuǎn)換的地址池1。參數(shù)no-pat說明沒有進行端口地址轉(zhuǎn)換。4.5DHCP與NAT網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程displaynataddress-group[Huawei]disnataddress-group1NAT Address-Group Information:---------------------------------------Index Start-address End-address---------------------------------------1200.10.10.1200.10.10.200---------------------------------------Total:1[Huawei]displaynatoutboundNATOutboundInformation:-