19.9 DHCP, NAT und ACL im CCNA-Lab praktisch umsetzen

DHCP, NAT und ACL gehören zu den praxisrelevantesten Themen im CCNA-Lab, weil sie zentrale Funktionen moderner IP-Netzwerke direkt miteinander verbinden. DHCP automatisiert die Vergabe von IP-Konfigurationen, NAT ermöglicht die Übersetzung privater in öffentliche Adressen, und ACLs steuern gezielt, welcher Verkehr erlaubt oder blockiert wird. Im Labor lassen sich diese drei Funktionen besonders gut gemeinsam üben, weil daraus ein realistisches Szenario entsteht: Clients erhalten automatisch ihre Adressen, greifen über einen Router auf andere Netze oder ein simuliertes Internet zu, und bestimmte Verbindungen werden durch Zugriffslisten gezielt eingeschränkt. Wer DHCP, NAT und ACL im CCNA-Lab praktisch umsetzt, trainiert damit nicht nur einzelne Cisco-Befehle, sondern das saubere Zusammenspiel von Adressierung, Routing, Sicherheitskontrolle und Fehlersuche.

Warum DHCP, NAT und ACL im CCNA-Lab zusammen geübt werden sollten

Viele Lernende betrachten DHCP, NAT und ACL zunächst als getrennte Themen. In realen Netzwerken greifen diese Funktionen jedoch eng ineinander. Ein Client erhält per DHCP nicht nur eine IP-Adresse, sondern meist auch Subnetzmaske, Default Gateway und DNS-Server. NAT sorgt anschließend dafür, dass Verkehr aus privaten Netzen in Richtung externer Netze übersetzt wird. ACLs wiederum kontrollieren, welche Kommunikation überhaupt erlaubt ist. Genau deshalb ist ein gemeinsames Lab didaktisch sinnvoll.

• DHCP automatisiert die Adressvergabe an Endgeräte.
• NAT übersetzt Adressen zwischen internen und externen Bereichen.
• ACLs filtern Verkehr anhand von Quelle, Ziel, Protokoll und Port.
• Das Zusammenspiel dieser Funktionen bildet typische Praxis-Szenarien ab.

Im CCNA-Lab lässt sich damit eine sehr realistische Grundumgebung aufbauen: ein internes LAN mit Clients, ein Router als DHCP-Server und NAT-Gateway sowie ein zweites oder simuliertes externes Netz. Anschließend kann gezielt festgelegt werden, welcher Verkehr passieren darf und welcher blockiert werden soll.

Die passende Lab-Topologie vorbereiten

Für eine übersichtliche, aber praxisnahe Übung reicht eine kompakte Topologie mit einem Router, einem Switch, mehreren Clients und einem externen Testnetz. Dadurch lassen sich alle drei Themen gemeinsam konfigurieren und sauber testen.

Empfohlene Grundtopologie

• 1 Router als zentrales Layer-3-Gerät
• 1 Switch für das interne LAN
• 2 bis 3 PCs im internen Netz
• 1 externer Router oder 1 Server/Host als simuliertes Internet

Beispielhafte IP-Struktur

• Internes LAN: 192.168.10.0/24
• Router Inside-Interface: 192.168.10.1/24
• Externe Verbindung: 203.0.113.0/30
• Router Outside-Interface: 203.0.113.1/30
• Externer Nachbar: 203.0.113.2/30

Diese Struktur eignet sich ideal für das Lab, weil Clients im privaten Netz per DHCP versorgt werden, ihre Verbindungen per NAT über das Outside-Interface übersetzt werden und ACLs gezielt bestimmte Kommunikationsarten einschränken können.

Schritt 1: Basis-Konfiguration des Routers

Bevor DHCP, NAT oder ACL eingerichtet werden, muss der Router sauber adressiert und aktiviert sein. Gerade in kombinierten Labs ist es wichtig, zuerst die Layer-3-Grundlagen korrekt aufzubauen.

enable
configure terminal
hostname R1

interface gigabitEthernet0/0
 description LAN-INSIDE
 ip address 192.168.10.1 255.255.255.0
 no shutdown

interface gigabitEthernet0/1
 description WAN-OUTSIDE
 ip address 203.0.113.1 255.255.255.252
 no shutdown
end
write memory

Wichtige Prüfkommandos

show ip interface brief
show running-config
ping 203.0.113.2

• Das interne Interface dient später als DHCP-Gateway und NAT-Inside.
• Das externe Interface wird für NAT-Outside und Upstream-Verkehr genutzt.
• Die direkte Verbindung zum externen Nachbarn sollte bereits funktionieren.

Erst wenn diese Basis sauber steht, sollten DHCP, NAT und ACL ergänzt werden. Andernfalls werden Basisfehler leicht mit Dienst- oder Sicherheitsproblemen verwechselt.

DHCP im CCNA-Lab praktisch konfigurieren

Der erste Dienst im kombinierten Lab ist DHCP. Statt IP-Adressen auf allen Hosts manuell zu setzen, übernimmt der Router die automatische Zuweisung. Das ist nicht nur praxisnah, sondern zeigt auch sehr gut, welche Parameter Clients tatsächlich über DHCP erhalten.

DHCP-Grundkonfiguration auf dem Router

configure terminal
ip dhcp excluded-address 192.168.10.1 192.168.10.20

ip dhcp pool CLIENTS
 network 192.168.10.0 255.255.255.0
 default-router 192.168.10.1
 dns-server 8.8.8.8
 domain-name lab.local
end

Was diese Konfiguration bewirkt

• excluded-address reserviert Adressen, die nicht automatisch vergeben werden.
• Der DHCP-Pool definiert das Client-Netz.
• default-router verteilt das Gateway an die Hosts.
• dns-server und domain-name ergänzen die Grundparameter.

Im Lab ist es sinnvoll, den Bereich unterhalb von 192.168.10.20 für Infrastruktur wie Router, Switch-Management oder Server freizuhalten. Dadurch bleibt die Adressierung sauber und nachvollziehbar.

DHCP prüfen

show ip dhcp pool
show ip dhcp binding
show ip dhcp server statistics

Auf den Clients sollte jetzt der Bezug der IP-Adresse auf automatisch gestellt werden. Nach erfolgreicher Lease-Vergabe müssen sie eine Adresse aus dem Pool, die richtige Subnetzmaske und das Gateway 192.168.10.1 erhalten.

Typische DHCP-Fehler im Lab

• Falsches Netz im DHCP-Pool
• Gateway-Adresse falsch gesetzt
• DHCP-Client befindet sich im falschen VLAN
• Kein aktives Layer-3-Interface im Client-Netz

Gerade in Labs mit Switches und VLANs sollte zusätzlich geprüft werden, ob der Client wirklich im richtigen Broadcast-Bereich arbeitet. DHCP scheitert sonst nicht am Pool selbst, sondern an der Layer-2-Zuordnung.

NAT im CCNA-Lab praktisch umsetzen

Nach der automatischen Adressvergabe folgt der nächste Praxisbaustein: NAT. In typischen Unternehmens- oder Heimnetzen nutzen Clients private IPv4-Adressen, die nicht direkt im öffentlichen Netz geroutet werden. Damit sie externe Ziele erreichen können, muss ein Router diese privaten Adressen übersetzen.

Inside- und Outside-Interfaces definieren

configure terminal
interface gigabitEthernet0/0
 ip nat inside

interface gigabitEthernet0/1
 ip nat outside
end

Diese Markierung ist die Grundlage jeder NAT-Konfiguration. Ohne saubere Inside-/Outside-Zuordnung kann der Router keine Übersetzung korrekt durchführen.

Dynamic NAT Overload für das Lab konfigurieren

Für CCNA-Labs ist PAT beziehungsweise NAT Overload die wichtigste Variante. Mehrere interne Hosts teilen sich dabei die externe Adresse des Routers.

configure terminal
access-list 1 permit 192.168.10.0 0.0.0.255
ip nat inside source list 1 interface gigabitEthernet0/1 overload
end

Was diese Konfiguration bedeutet

• Access-List 1 definiert, welche internen Quellen übersetzt werden dürfen.
• Die Quelladressen aus 192.168.10.0/24 werden über das Outside-Interface genattet.
• Mit overload können viele interne Sessions dieselbe Outside-Adresse nutzen.

Im praktischen Lab ist genau diese NAT-Form am relevantesten, weil sie einem typischen Internetzugang eines internen LANs entspricht.

NAT-Funktion prüfen

show ip nat translations
show ip nat statistics

Jetzt sollten die Clients ein Ziel im externen Netz erreichen können, sofern Routing und Gegenseite stimmen. Sobald Verkehr ausgelöst wird, erscheinen Übersetzungen in der NAT-Tabelle. Das ist einer der wichtigsten Verifikationsschritte überhaupt.

Zusätzliche Route für externen Verkehr

Wenn der Router im Lab ein externes Ziel über einen Nachbarn erreichen soll, ist meist eine Default Route erforderlich:

configure terminal
ip route 0.0.0.0 0.0.0.0 203.0.113.2
end

Ohne diese Route weiß der Router zwar, wie NAT funktioniert, aber nicht, wohin externer Verkehr weitergeleitet werden soll.

ACL im CCNA-Lab gezielt einsetzen

Nachdem Clients automatisch Adressen beziehen und per NAT externe Ziele erreichen können, wird das Lab um Sicherheitslogik erweitert. ACLs ermöglichen es, den Datenverkehr gezielt zu kontrollieren. Für CCNA-Labs ist dabei wichtig, den Unterschied zwischen Standard- und Extended-ACLs sauber zu verstehen.

Standard ACL und Extended ACL kurz einordnen

• Standard ACLs filtern nur nach Quelladresse.
• Extended ACLs filtern nach Quelle, Ziel, Protokoll und Port.
• Für praxisnahe Labs sind Extended ACLs meist aussagekräftiger.

Da im kombinierten Lab typischerweise bestimmte Dienste erlaubt oder blockiert werden sollen, ist eine Extended ACL meist die bessere Wahl.

Beispiel: HTTP blockieren, Ping erlauben

Angenommen, Clients im internen Netz sollen das externe Ziel anpingen dürfen, aber keinen HTTP-Zugriff auf einen Webserver im externen Netz erhalten.

configure terminal
ip access-list extended BLOCK_HTTP
 deny tcp 192.168.10.0 0.0.0.255 host 203.0.113.2 eq 80
 permit icmp 192.168.10.0 0.0.0.255 any
 permit ip any any
end

Diese ACL blockiert HTTP-Verkehr von internen Hosts zum Ziel 203.0.113.2, erlaubt aber ICMP und sonstigen übrigen IP-Verkehr.

ACL am Interface anwenden

configure terminal
interface gigabitEthernet0/0
 ip access-group BLOCK_HTTP in
end

• Die ACL wird eingehend auf dem Inside-Interface angewendet.
• So wird Verkehr bereits am Eintritt ins Routing kontrolliert.
• Die Richtung der ACL ist fachlich entscheidend.

Im CCNA-Lab sollte genau hier bewusst geübt werden, warum die falsche Richtung oder das falsche Interface zu unerwarteten Ergebnissen führt. ACL-Logik ist nicht nur eine Frage der Regeln, sondern immer auch ihrer Platzierung.

DHCP, NAT und ACL im Zusammenspiel testen

Erst im Zusammenspiel entfaltet das Lab seinen eigentlichen Lernwert. Die Clients beziehen ihre IP-Konfiguration automatisch, der Router übersetzt ihre privaten Adressen nach außen, und ACLs bestimmen, welcher Verkehr erlaubt oder blockiert wird.

Empfohlene Testreihenfolge

• Client bezieht per DHCP eine Adresse.
• Client pingt das Default Gateway.
• Client pingt das externe Ziel.
• Client erzeugt Webverkehr zum externen Ziel.
• Router wird auf NAT-Übersetzungen und ACL-Treffer geprüft.

Wichtige Prüfkommandos

show ip dhcp binding
show ip nat translations
show ip nat statistics
show access-lists
show ip interface brief
show running-config

• show ip dhcp binding zeigt aktive Client-Leases.
• show ip nat translations bestätigt die Adressübersetzung.
• show access-lists zeigt Trefferzähler und aktive Regeln.

Die Trefferzähler in ACLs sind im Lab besonders wertvoll. Sie zeigen direkt, ob der erwartete Traffic tatsächlich von der Regel erfasst wird. Wenn eine Block-Regel nie trifft, liegt oft ein Platzierungs- oder Richtungsfehler vor.

Typische Fehlerbilder und ihre Ursachen

Ein kombiniertes Lab mit DHCP, NAT und ACL ist besonders lehrreich, weil unterschiedliche Fehlerquellen ähnliche Symptome erzeugen können. Gerade deshalb sollte die Fehlersuche systematisch erfolgen.

Client erhält keine IP-Adresse

• DHCP-Pool falsch definiert
• Client im falschen VLAN
• Router-Interface im Client-Netz nicht aktiv

Client erhält IP, kommt aber nicht nach außen

• Default Route fehlt
• NAT-Inside/Outside falsch gesetzt
• NAT-ACL erfasst das Quellnetz nicht

Ping funktioniert, HTTP aber nicht

• ACL blockiert TCP-Port 80 gezielt
• Zielserver reagiert nicht auf HTTP
• Falsche ACL-Richtung oder falsche Regelreihenfolge

Keine NAT-Übersetzungen sichtbar

• Es wurde kein passender Verkehr erzeugt
• Die NAT-ACL trifft nicht
• Das Inside-/Outside-Modell ist falsch konfiguriert

Gerade im CCNA-Lab ist diese Unterscheidung fachlich wertvoll: Nicht jedes Kommunikationsproblem ist ein Routingproblem. Häufig liegen Ursache und Lösung in DHCP, NAT oder ACL.

Praxisnahe Erweiterungen für das Lab

Wenn das Grundszenario stabil läuft, lässt sich das Lab gezielt erweitern. Dadurch wird aus einer Basisübung eine kleine, realistische Netzwerkinfrastruktur.

Sinnvolle nächste Ausbaustufen

• Zweites internes VLAN mit eigenem DHCP-Bereich
• Inter-VLAN-Routing mit getrennten Pools
• ACLs zwischen VLANs statt nur Richtung externes Netz
• Portbasierte Filterregeln für SSH, HTTP oder ICMP
• Statisches NAT für einen internen Server

Beispiel: Statisches NAT für einen internen Webserver

configure terminal
ip nat inside source static 192.168.10.50 203.0.113.10
end

Mit dieser Erweiterung lässt sich sehr gut zeigen, wie interne Server von außen mit einer festen übersetzten Adresse erreichbar gemacht werden. In Kombination mit ACLs entsteht daraus eine sehr praxisnahe Sicherheits- und Erreichbarkeitsübung.

Bewährte Reihenfolge für die praktische Umsetzung im CCNA-Lab

• Zuerst Router-Interfaces und Basis-Routing sauber einrichten.
• Dann DHCP für das interne Netz konfigurieren und testen.
• Anschließend NAT-Inside und NAT-Outside definieren.
• Danach PAT mit passender NAT-ACL aktivieren.
• Im nächsten Schritt externe Erreichbarkeit validieren.
• Dann ACLs für gewünschte Filterregeln ergänzen.
• Zum Schluss gezielt Fehlerszenarien simulieren und mit Show-Befehlen analysieren.

Wer DHCP, NAT und ACL im CCNA-Lab praktisch umsetzt, trainiert damit zentrale Fähigkeiten für reale Netzwerkumgebungen: automatische Client-Versorgung, kontrollierten Zugang zu externen Netzen und gezielte Verkehrssteuerung. Genau dieses Zusammenspiel macht das Lab so wertvoll, weil aus isolierten CCNA-Themen ein zusammenhängendes, technisch belastbares Netzwerkszenario entsteht.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.