一、DHCP(动态主机配置协议)

1. 核心功能

  • 解决的问题:自动化分配IP相关参数,避免手动配置错误
  • 分配参数
    • IP地址(设备标识)
    • 子网掩码(定义网段)
    • 默认网关(跨网段转发)
    • DNS服务器(域名解析)

2. 工作模式(C/S架构)

角色 说明
DHCP客户端 终端设备(PC/手机等),主动请求IP参数
DHCP服务器 路由器/交换机/防火墙等网络设备,提供IP分配服务

3. 华为DHCP配置

基于接口的DHCP(小型网络)

1
2
3
4
# 启用接口DHCP服务(网关自动=接口IP)
[Huawei] interface GigabitEthernet 0/0/1  
[Huawei-GigabitEthernet0/0/1] dhcp select interface  
[Huawei-GigabitEthernet0/0/1] dns server 8.8.8.8  # 手动指定DNS

全局地址池DHCP(中大型网络)

1
2
3
4
5
6
7
8
9
# 创建地址池
[Huawei] ip pool VLAN10  
[Huawei-ip-pool-VLAN10] network 192.168.10.0 mask 24      # 分配网段  
[Huawei-ip-pool-VLAN10] gateway-list 192.168.10.1         # 指定网关  
[Huawei-ip-pool-VLAN10] dns-list 8.8.8.8 114.114.114.114  # DNS服务器  

# 接口调用地址池
[Huawei] interface GigabitEthernet 0/0/1  
[Huawei-GigabitEthernet0/0/1] dhcp select global

4. 关键特性

  • 地址租期:默认1天,到期后客户端重新申请

  • 冲突检测:分配IP前主动ping检测是否冲突

  • 保留地址:为特定MAC固定分配相同IP

    1
    [Huawei-ip-pool-VLAN10] static-bind ip-address 192.168.10.100 mac-address 00-11-22-33-44-55	#ip和mac绑定

二、NAT(网络地址转换)

1. 核心作用

  • 解决问题:IPv4地址不足,实现私网(如192.168.x.x)访问公网

  • 转换类型

    类型 特点 适用场景
    静态NAT 一对一固定映射(1私网IP=1公网IP) 服务器对外发布
    NAPT 多对一动态映射(N私网IP=1公网IP+不同端口) 企业员工上网
    Easy IP 直接使用接口公网IP做转换 家庭宽带/单公网IP环境
    NAT服务器 一对一端口映射(1公网IP:端口↔1私网IP:端口) 精细化暴露内网服务(如Web/SSH)

2. NAPT配置(地址池方式)

1
2
3
4
5
6
7
8
9
10
11
# 1. 创建ACL匹配需转换的私网流量(基本ACL 2000-2999)
[Huawei] acl 2000  
[Huawei-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255  # 允许转换的网段  

# 2. 创建公网地址池
[Huawei] nat address-group GROUP1  
[Huawei-nat-address-group-GROUP1] section 202.100.1.100 202.100.1.200  

# 3. 在外网口启用NAPT
[Huawei] interface GigabitEthernet 0/0/2   # 假设为公网接口  
[Huawei-GigabitEthernet0/0/2] nat outbound 2000 address-group GROUP1

3. 动态NAT配置命令

1
2
3
4
5
6
7
8
9
10
11
# 1. 创建ACL匹配需转换的私网流量(基本ACL 2000)
[Huawei] acl 2000
[Huawei-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255

# 2. 创建公网地址池(与NAPT地址池语法相同)
[Huawei] nat address-group GROUP2
[Huawei-nat-address-group-GROUP2] section 202.100.1.50 202.100.1.80

# 3. 在外网口启用动态NAT(关键区别:不加端口转换)
[Huawei] interface GigabitEthernet0/0/2
[Huawei-GigabitEthernet0/0/2] nat outbound 2000 address-group GROUP2 no-pat

4. Easy IP配置(家庭常用)

1
2
3
# 直接使用接口公网IP转换(无需地址池)
[Huawei] interface GigabitEthernet 0/0/2  
[Huawei-GigabitEthernet0/0/2] nat outbound 2000  # 调用ACL匹配流量

5. 静态NAT(服务器映射)

1
2
# 将公网IP 202.100.1.99映射到内网服务器192.168.10.100
[Huawei-GigabitEthernet0/0/2] nat static global 202.100.1.99 inside 192.168.10.100

6. NAT服务器典型配置

1
2
# 将公网IP 202.100.1.99的80端口映射到内网192.168.1.100的80端口
[Huawei-GigabitEthernet0/0/2] nat server protocol tcp global 202.100.1.99 80 inside 192.168.1.100 80

7. 验证命令

1
2
3
4
# 查看NAT转换表
[Huawei] display nat session  
# 查看地址池使用情况
[Huawei] display nat address-group

三、各NAT类型对ACL的需求对比

NAT类型 必须配置ACL 原因 华为配置示例
NAPT ✅ 是 需明确哪些私网IP允许转换 acl 2000 rule permit source 192.168.1.0 0.0.0.255 nat outbound 2000
Easy IP ✅ 是 同NAPT 同上
静态NAT ❌ 否 一对一固定映射,无需流量筛选 nat static global 202.100.1.99 inside 192.168.1.100
NAT服务器 ❌ 否 端口映射本身已限定范围,但建议配合ACL提升安全 nat server protocol tcp global 202.100.1.99 8080 inside 192.168.1.100 80

四、技术对比

技术 核心要点 典型应用
DHCP 自动分配IP/掩码/网关/DNS,减少手动错误 企业内网/无线网络
NAPT 多私网IP共享公网IP,通过端口区分会话 企业员工上网
Easy IP 使用接口公网IP直接转换,配置更简单 家庭路由器
静态NAT 公网IP与私网IP固定映射 对外提供服务的服务器
NAT服务器 集中管理NAT转换规则,支持日志记录和策略控制 大型企业网络/数据中心

五、现网注意事项

1.DHCP

  • 避免多台DHCP服务器冲突(使用dhcp snooping防护)
  • 保留IP需排除在地址池外(如网关、服务器IP)

2.NAT

  • ACL规则需精确匹配需转换的流量(避免误转换)
  • 关键服务(如VPN)需配置NAT绕过
  • 监控公网IP使用率,防止端口耗尽

3.联动应用

  • DHCP分配IP → ACL控制访问 → NAT转换出公网