cisco 交换机和路由器的DHCP和nat的配置 路由器NAT模式和路由模式的区别
作者&投稿:藏琪 (若有异议请与网页底部的电邮联系)
使用Cisco 3620作为IOS DHCP Server,它和内网相连的fastethernet0端口的IP地址为192.168.1.4,二层交换机采用两台Cisco 2950,三层交换机采用一台Cisco 3550。
在整个网络中有二个VLAN,为简化描述,假设每个VLAN都采用24位网络地址,其中VLAN1的IP地址为192.168.1.254,VLAN2的IP地址为192.168.2.254。在Cisco设备上实现IOS DHCP Server功能以使各VLAN中的主机自动获得IP地址。
Cisco路由器交换机配置命令详解(1)Cisco路由器安全配置方案CISCO路由器的一般配置与调试在CISCO路由器上配置NAT功能(上)cisco路由器本地密码破解窍门恢复Cisco路由器密码的两种常用方Cisco路由器上配置pppoe拨号Cisco路由器的安全配置简易实例Cisco路由器交换机安全配置在CISCO路由器上配置NAT功能(下) 配置DHCP地址池、附加信息以及租约期限
DHCP服务器的数据库被组织成一个树形结构,树根是用于动态分配的所有网络段的地址池,树枝是子网地址池,树叶是手工绑定给节点的地址。具体操作步骤如下:
首先登陆到Cisco 3640路由器上:
ghq>enable
Password(输入路由器的特权口令)
ghq #config terminal (进入配置模式)
Enter configuration commands one per line. End with CNTL/Z.
ghq�config # ip dhcp pool global(配置一个根地址池,global是地址池的名称,你可以采用有意义的字符串来表示)
ghq dhcp-config #network 192.168.0.0 255.255.0.0(动态分配的地址段)
ghq�dhcp-config #domain-name ghq.com(为客户机配置域后缀)
ghq�dhcp-config #dns-server 192.168.1.1(为客户机配置DNS服务器)
ghq�dhcp-config #netbios-name-server 192.168.1.1(为客户机配置wins服务器)
ghq�dhcp-config #netbios-node-type h-node(为客户机配置h节点模式)
ghq�dhcp-config #lease 30 (地址租用期为30天)
ghq�dhcp-config #ip dhcp pool vlan1 (为VLAN1配置地址池,本池是global池的子池,将从global继续域后缀、DNS服务器、wins服务器等参数)
ghq�dhcp-config #network 192.168.1.0 255.255.255.0 (VLAN1动态分配192.168.1这个网段内可以被分配的地址,没有被排除的地址)
ghq�dhcp-config#default-router 192.168.1.254 (为客户机配置默认的网关,即VLAN1的IP地址)
ghq�dhcp-config #ip dhcp pool vlan2 (为VLAN2配置地址池,本池是global池的子池,将从global继续域后缀、DNS服务器、wins服务器等可继续的参数)
ghq�dhcp-config#network 192.168.2.0 255.255.255.0
ghq�dhcp-config #default-router 192.168.2.254
设置不能用于动态分配的IP地址
在整个网络中,有些IP地址需要静态的指定给一些特定的设备,例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。显然,这些静态IP地址是不能用于动态分配的,这就需要将它们排除掉。其步骤如下:
ghq�config #ip dhcp excluded-address 192.168.1.1 192.168.1.5 (IP地址 192.168.1.1至192.168.1.5不能用于动态分配)
ghq�config # ip dhcp excluded-address 192.168.1.254
(IP地址192.168.1.254固定为VLAN1的地址,不能用于动态分配)
ghq�config # ip dhcp excluded-address 192.168.2.254
(IP地址192.168.2.254固定为VLAN2的地址,不能用于动态分配)
设置DHCP数据库代理
DHCP数据库代理是用于存储DHCP绑定信息的一台主机,它可以是FTP、TFTP或者是RCP服务器。当然,如有必要,你可以配置多个DHCP数据库代理。同样,不配置DHCP数据库代理也是答应的,但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。假如我们不想配置数据库代理,只要取消掉地址冲突日志的记录功能即可,操作命令如下:
ghq�config # no ip dhcp conflict logging (取消地址冲突记录日志)
配置路由器的静态路由表
要使客户机能从用作DHCP Server的路由器中自动获得IP地址,首要条件就是各个VLAN中的客户机都能和路由器通信,因此首先就需要在路由器中设置一个路由以使路由器能和各个客户机通信。我们可以按如下设置 :
ghq�config #ip route 192.168.1.0 255.255.255.0 FastEthernet0
(FastEthernet0为路由器和内网相连的以太网接口,该命令的作用是在以太网接口和VLAN1 192.168.1.254间建立一条静态路由。)
ghq�config #ip route 192.168.2.0 255.255.255.0 FastEthernet0
(该命令在以太网接口和VLAN2 192.168.2.254间建立一条静态路由)
设置好之后,在配置模式中键入EXIT命令回到特权模式下,Ping一下VLAN1和VLAN2的IP地址�192.168.1.254和192.168.2.254 ,假如能够Ping通则表明配置正确,可以直接进入下一步的保存过程。
在交换机上为不同的VLAN指定DHCP服务器地址
这一步骤只须在不同的VLAN中通过设置IP HELPER-ADDRESS即可搞定,指令如下:
switch>enable (进入交换机的特权模式)
Password�
switch #config t (进入配置模式)
Enter configuration commands�one per line. End with CNTL/Z.
switch �config #interface vlan1 (配置VLAN1)
switch �config-if #ip helper-address 192.168.1.4(指定DHCP服务器的地址,即路由器的地址)
ghq�config-if #interface vlan2 (配置VLAN2)
ghq�config-if #ip helper-address 192.168.1.4
对所有直接连到客户机的二层访问端口开启Portfast功能
要使客户机正确获得IP地址,就需要将和客户机相连的交换机端口的Portfast功能打开(Cisco 2950)。这里需要非凡注重的是,只能在连接一个单一客户机的二层端口上开启该功能,假如在一个连接到交换机或集线器的端口上开启该功就有可能引起广播风暴或“地址学习”问题。开启Portfast功能的步骤如下:
switch #configure terminal
switch �config #interface interface-id
switch �config-if #spanning-tree portfast (开启portfast功能)
switch�config-if #end
经过以上规划与设置操作后,在路由器和交换机上的设置全部完成,剩下的工作只要在客户机上打开“自动获得IP地址”功能即可(如图2所示)。对于Windows 2000/2003 Server系统,还需要将“DHCP CLIENT”服务启用(如下图3所示),否则在Windows 2000/2003 Server中将不能自动得到IP地址。
至此,通过启用Cisco路由器的DHCP Server功能与客户端DHCP的配合使用,使局域网VLAN中的主机自动获得IP地址,真正实现了DHCP服务全部功能。相比在服务器上用windows/Linux 操作系统实现的DHCP服务器,从稳定性和功能上看,路由器实现的DHCP服务器要优越得多。
DHCP在3560或者网关上做都可以
首先 在网关上作的话 有两种情况要么3560当二层交换机用 那路由器上还得为你的VLAN做单臂路由 要么 3560上做中继 所以在网关上做DHCP比较麻烦 而且增加路由器的负担
所以建议在3560上做DHCP
配置:ip dhcp pool dh_vl1 (这里的dh_vl1只是个名字 你可以自己取)
network 10.1.1.0 255.255.255.0 (这里的地址是你要下发的网段,要下发哪些 就写哪些)
default-router 10.1.1.1 (这里的地址是你下发的网关 你写vlan口的地址就好了)
dns-server 218.2.135.1 (这里的地址是DNS 我写的这个是南京的DNS)
到这 DHCP就配置好了 这里的配置比较简单 如果还想做保留 租约什么的 再另外配置就是
接下来是nat
还是最简单的 为了上网用的 PAT
假设你路由器的WAN口是f0/1 LAN口是f0/2
配置:int f0/1
ip nat outside
exit
int f0/2
ip nat inside
exit
accesslist 1 permit 10.0.0.0 0.0.0.255 (这里要写反码 说简单了就是把子网掩码反过来写)
ip nat inside source list 1 pool int f0/1(这里 是写出口) overload
这样 简单的地址转换就完成了 配好路由 就可以上网了
DHCP和NAT的区别~
在整个网络中有二个VLAN,为简化描述,假设每个VLAN都采用24位网络地址,其中VLAN1的IP地址为192.168.1.254,VLAN2的IP地址为192.168.2.254。在Cisco设备上实现IOS DHCP Server功能以使各VLAN中的主机自动获得IP地址。
Cisco路由器交换机配置命令详解(1)Cisco路由器安全配置方案CISCO路由器的一般配置与调试在CISCO路由器上配置NAT功能(上)cisco路由器本地密码破解窍门恢复Cisco路由器密码的两种常用方Cisco路由器上配置pppoe拨号Cisco路由器的安全配置简易实例Cisco路由器交换机安全配置在CISCO路由器上配置NAT功能(下) 配置DHCP地址池、附加信息以及租约期限
DHCP服务器的数据库被组织成一个树形结构,树根是用于动态分配的所有网络段的地址池,树枝是子网地址池,树叶是手工绑定给节点的地址。具体操作步骤如下:
首先登陆到Cisco 3640路由器上:
ghq>enable
Password(输入路由器的特权口令)
ghq #config terminal (进入配置模式)
Enter configuration commands one per line. End with CNTL/Z.
ghq�config # ip dhcp pool global(配置一个根地址池,global是地址池的名称,你可以采用有意义的字符串来表示)
ghq dhcp-config #network 192.168.0.0 255.255.0.0(动态分配的地址段)
ghq�dhcp-config #domain-name ghq.com(为客户机配置域后缀)
ghq�dhcp-config #dns-server 192.168.1.1(为客户机配置DNS服务器)
ghq�dhcp-config #netbios-name-server 192.168.1.1(为客户机配置wins服务器)
ghq�dhcp-config #netbios-node-type h-node(为客户机配置h节点模式)
ghq�dhcp-config #lease 30 (地址租用期为30天)
ghq�dhcp-config #ip dhcp pool vlan1 (为VLAN1配置地址池,本池是global池的子池,将从global继续域后缀、DNS服务器、wins服务器等参数)
ghq�dhcp-config #network 192.168.1.0 255.255.255.0 (VLAN1动态分配192.168.1这个网段内可以被分配的地址,没有被排除的地址)
ghq�dhcp-config#default-router 192.168.1.254 (为客户机配置默认的网关,即VLAN1的IP地址)
ghq�dhcp-config #ip dhcp pool vlan2 (为VLAN2配置地址池,本池是global池的子池,将从global继续域后缀、DNS服务器、wins服务器等可继续的参数)
ghq�dhcp-config#network 192.168.2.0 255.255.255.0
ghq�dhcp-config #default-router 192.168.2.254
设置不能用于动态分配的IP地址
在整个网络中,有些IP地址需要静态的指定给一些特定的设备,例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。显然,这些静态IP地址是不能用于动态分配的,这就需要将它们排除掉。其步骤如下:
ghq�config #ip dhcp excluded-address 192.168.1.1 192.168.1.5 (IP地址 192.168.1.1至192.168.1.5不能用于动态分配)
ghq�config # ip dhcp excluded-address 192.168.1.254
(IP地址192.168.1.254固定为VLAN1的地址,不能用于动态分配)
ghq�config # ip dhcp excluded-address 192.168.2.254
(IP地址192.168.2.254固定为VLAN2的地址,不能用于动态分配)
设置DHCP数据库代理
DHCP数据库代理是用于存储DHCP绑定信息的一台主机,它可以是FTP、TFTP或者是RCP服务器。当然,如有必要,你可以配置多个DHCP数据库代理。同样,不配置DHCP数据库代理也是答应的,但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。假如我们不想配置数据库代理,只要取消掉地址冲突日志的记录功能即可,操作命令如下:
ghq�config # no ip dhcp conflict logging (取消地址冲突记录日志)
配置路由器的静态路由表
要使客户机能从用作DHCP Server的路由器中自动获得IP地址,首要条件就是各个VLAN中的客户机都能和路由器通信,因此首先就需要在路由器中设置一个路由以使路由器能和各个客户机通信。我们可以按如下设置 :
ghq�config #ip route 192.168.1.0 255.255.255.0 FastEthernet0
(FastEthernet0为路由器和内网相连的以太网接口,该命令的作用是在以太网接口和VLAN1 192.168.1.254间建立一条静态路由。)
ghq�config #ip route 192.168.2.0 255.255.255.0 FastEthernet0
(该命令在以太网接口和VLAN2 192.168.2.254间建立一条静态路由)
设置好之后,在配置模式中键入EXIT命令回到特权模式下,Ping一下VLAN1和VLAN2的IP地址�192.168.1.254和192.168.2.254 ,假如能够Ping通则表明配置正确,可以直接进入下一步的保存过程。
在交换机上为不同的VLAN指定DHCP服务器地址
这一步骤只须在不同的VLAN中通过设置IP HELPER-ADDRESS即可搞定,指令如下:
switch>enable (进入交换机的特权模式)
Password�
switch #config t (进入配置模式)
Enter configuration commands�one per line. End with CNTL/Z.
switch �config #interface vlan1 (配置VLAN1)
switch �config-if #ip helper-address 192.168.1.4(指定DHCP服务器的地址,即路由器的地址)
ghq�config-if #interface vlan2 (配置VLAN2)
ghq�config-if #ip helper-address 192.168.1.4
对所有直接连到客户机的二层访问端口开启Portfast功能
要使客户机正确获得IP地址,就需要将和客户机相连的交换机端口的Portfast功能打开(Cisco 2950)。这里需要非凡注重的是,只能在连接一个单一客户机的二层端口上开启该功能,假如在一个连接到交换机或集线器的端口上开启该功就有可能引起广播风暴或“地址学习”问题。开启Portfast功能的步骤如下:
switch #configure terminal
switch �config #interface interface-id
switch �config-if #spanning-tree portfast (开启portfast功能)
switch�config-if #end
经过以上规划与设置操作后,在路由器和交换机上的设置全部完成,剩下的工作只要在客户机上打开“自动获得IP地址”功能即可(如图2所示)。对于Windows 2000/2003 Server系统,还需要将“DHCP CLIENT”服务启用(如下图3所示),否则在Windows 2000/2003 Server中将不能自动得到IP地址。
至此,通过启用Cisco路由器的DHCP Server功能与客户端DHCP的配合使用,使局域网VLAN中的主机自动获得IP地址,真正实现了DHCP服务全部功能。相比在服务器上用windows/Linux 操作系统实现的DHCP服务器,从稳定性和功能上看,路由器实现的DHCP服务器要优越得多。
DHCP在3560或者网关上做都可以
首先 在网关上作的话 有两种情况要么3560当二层交换机用 那路由器上还得为你的VLAN做单臂路由 要么 3560上做中继 所以在网关上做DHCP比较麻烦 而且增加路由器的负担
所以建议在3560上做DHCP
配置:ip dhcp pool dh_vl1 (这里的dh_vl1只是个名字 你可以自己取)
network 10.1.1.0 255.255.255.0 (这里的地址是你要下发的网段,要下发哪些 就写哪些)
default-router 10.1.1.1 (这里的地址是你下发的网关 你写vlan口的地址就好了)
dns-server 218.2.135.1 (这里的地址是DNS 我写的这个是南京的DNS)
到这 DHCP就配置好了 这里的配置比较简单 如果还想做保留 租约什么的 再另外配置就是
接下来是nat
还是最简单的 为了上网用的 PAT
假设你路由器的WAN口是f0/1 LAN口是f0/2
配置:int f0/1
ip nat outside
exit
int f0/2
ip nat inside
exit
accesslist 1 permit 10.0.0.0 0.0.0.255 (这里要写反码 说简单了就是把子网掩码反过来写)
ip nat inside source list 1 pool int f0/1(这里 是写出口) overload
这样 简单的地址转换就完成了 配好路由 就可以上网了
DHCP和NAT的区别~
动态主机设置协议(Dynamic Host Configuration Protocol, DHCP)是用来给指定局域网的主机进行动态IP地址分配的。
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
这是两个完全不同功能的协议。
路由器NAT模式和路由模式有以下区别。
1、信息交换不同
路由器NAT模式:路由器NAT模式不进行路由信息交换。
路由模式:路由模式可以进行路由信息的交换。
2、原理不同。
路由器NAT模式:路由器NAT模式是指内网与外网经过了网络地址转换,它们之间是不进行路由交换的。
路由模式:路由器的路由模式是路由器的各个接口与其他路由器之间可以进行路由信息的交换,从而形成完整的路由信息,是路由器的基本功能模式。
3、用处不同。
路由器NAT模式:NAT模式可以上网但是不能和宿主计算机通信,理论上是更安全的,无论虚拟的系统做任何破坏,中毒,木马,最终不会影响宿主计算机。
路由模式:路由模式相当于是交换机上又接了个独立主机,这个在不好的时候是会向子网中传递信号的,一般是作为子网中提供服务用的。
4、转发规则。
路由器NAT模式:允许一个整体机构以一个公用IP地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)NAT转发成合法公有网络IP地址的技术。
路由模式:所有数据不进行NAT转发,直接将内网IP不做伪装的传送到外网,此模式适用于内网IP都为公网地址的时候使用。
