思科路由器配置方法普通NAT和普通VLAN.docx

思科路由器配置方法普通NAT和普通VLAN思科路由器NAT配置(1) 企业边缘路由器配置 端口配置 conf t int fa0/0 ip add 52 ip nat outside no sh int fa0/1 ip add 52 ip nat inside no sh exit ip nat pool NAT-POOL netmask 52 access-list 10 per 55 ip nat inside source list 1 pool NAT-POOL overload 静态路由 ip route ip route 静态端口映射 ip nat inside source static tcp 22 2222 查看与排错 sh ip nat translations debug ip nat AAA配置 conf t aaa new-model aaa authe login de local user admin pass cisco en sec cisco 阻止总外部telnet进路由器 line vty 0 4 access-class 10 in 下联交换机配置 端口配置 conf t int fa 0/0 no sw ip add 52 no sh SSH配置 conf t ip domain-name crypto key generate rsa AAA配置 conf t aaa new-model aaa authe login def local user admin pass cisco en sec cisco exit 通过以上配置 从外部不能直接telnet进路由器 可以通过ssh 登录下层交换机 实现了远程管理的同时增加了安全性 实验机器为 cisco3640 cisco3550 over. *动态地址转换+端口* ISP分配的IP 有:30190 92 Interface fastethernet0/1 Ip address Ip address secondary Duplex auto Speed auto Ip nat inside No shutdown Interface serial 0/0 Ip address 29 92 Duplex auto Speed auto Ip nat outside No shutdwon Ip nat pool OutPort 90 90 netmask 92 Ip nat pool OutPool 30 90 netmask 92 Ip nat inside source list1 pool OutPort /段主机全部转成90 Ip nat inside source list2 pool OutPool /出于访问ftp站点等考虑:和段主机全部 /转成30到89中的所有地址。 Access-list1 permit 55 Access-list2 permit 55 Access-list2 permit 55 *静态地址转换* ISP分配的IP地址是:07 1 48 要求Intranet上的Web.E-mail.Ftp.Media可以被外部访问. Interface fastethernet0/0 Ip address Duplex auto Speed auto Ip nat inside No shutdown Interface fastethernet0/1 Ip address 1 48 Speed auto Duplex auto Ip nat outside No shutdown Ip nat pool Outpool 6 6 netmask 48 Access-list 1 permit 55 Access-list 1 permit 55 Access-list 1 permit 55 Access-list 1 permit 55 Ip nat inside source list1 pool Outpool overload Ip nat inside source static 2 Ip nat inside source static 3 Ip nat inside source static 4 Ip nat inside source static 5 *NAT映射* 如果ISP提供的IP地址比较多还可以,但如果不是的时候(如就两个时),一个用于内网地址转换,另一个用于对外网提供服务. ISP提供的内网上网IP Interface ethernet0 Ip address Duplex auto Speed auto Ip nat inside No shutdown Interface fastethernet0/0 Ip address 29 48 Duplex auto Speed auto Ip nat outside No shutdown Access-list 1 permit 55 Ip nat pool Everybody 30 30 network 52 Ip nat inside source list1 pool Everybody overload Ip nat inside source static tcp 80 30 80 Ip nat inside source static tcp 21 30 21 Ip nat inside source static tcp 25 30 25 Ip nat inside source static tcp 110 30 110 *利用地址转换实现负载均衡* ;当有如象腾讯公司似的多服务器时,使用路由器实现负载平衡,可以使它们有平等的访问机会. Interface fastethernet0/1 Ip address Duplex auto Speed auto Ip nat inside No shutdown Interface fastethernet0/0 Ip address 1 255.2555.255.248 Duplex auto Speed auto Ip nat outside Access-list 1 permit 2 Access-list 2 permit 3 Access-list 3 permit 55 Ip nat pool Webser 48 type rotary Ip nat pool Ftpser 48 type rotary Ip nat pool normal 4 4 netmask 48 Ip nat inside destination list 1 pool Webser Ip nat inside destination list 2 pool Ftpser 用思科路由器上实现NAT实例 来源: 发布者: 发布时间:2007-03-05 互联网如火如荼的应用，加剧了IP地址匮乏的问题，为了缓解这一问题，一个重要的应用:NAT(Network Address Translation网络地址转换)，日益广泛地应用起来。NAT通过地址转换的方式，使企业可以仅使用较少的互联网有效IP地址，就能获得互联网接入的能力，有效地缓解了地址不足的问题，同时提供了一定的安全性。 NAT的实现方案多种多样，本文以思科2611路由器为平台，通过一个实例描述了NAT的应用。 思科路由器上NAT通常有3种应用方式，分别适用于不同的需求: 1.静态地址转换:适用于企业内部服务器向企业网外部提供服务(如WEB，FTP等)，需要建立服务器内部地址到固定合法地址的静态映射。 2.动态地址转换:建立一种内外部地址的动态转换机制，常适用于租用的地址数量较多的情况;企业可以根据访问需求，建立多个地址池，绑定到不同的部门。这样既增强了管理的粒度，又简化了排错的过程。 3.端口地址复用:适用于地址数很少，多个用户需要同时访问互联网的情况。 图1 如图1所示，企业从ISP获得6个有效IP地址(2835,掩码为48，128和135为网络地址和广播地址，不可用)，通过一台2611路由器接入互联网。内部网络根据职能分成若干子网，并期望服务器子网对外提供WEB服务，财务部门使用独立的地址池接入互联网，其它部门共用剩余的地址池。地址具体分配如下表: 分配对象 地址空间 地址转换类型 分配的 IP 地址 地址数量 接入路由器 29/29 29/29 1 S0 口 WEB 服务器 /24 静态 30/29 1 财务部门 /24 端口复用 31/29 1 其它部门 /24 动态 32 , 3 134/29 具体配置步骤如下: 1.选择E0作为内部接口，S0作为外部接口 interface e0 ip address ip nat inside/*配置e0为内部接口*/ interface s0 ip address 29 48 ip nat outside/*配置s0为外部接口*/ 2.为各部门配置地址池(finance,财务部门;other,其它部门): ip nat pool finance 31 31 netmask 48 ip nat pool other 32 34 netmask 48 3.定义访问控制列表 access-list 1 permit 55 access-list 2 permit 55 4.用访问控制列表检查数据包的源地址并映射到不同的地址池 ip nat inside source list 1 pool finance overload/*overload,启用端口复用*/ ip nat inside source list 2 pool other/*动态地址转换*/ 5.建立静态地址转换，并开放WEB端口(TCP 80) ip nat inside source static tcp 80 30 80 6.设置缺省路由 ip route s0 经过上述配置后，互联网上的主机可以通过30:80访问到企业内部WEB服务器;财务部门的接入请求将映射到31;其它部门的接入请求被映射到31134地址段。 至此，一个企业NAT互联网接入方案就完成了。 基于思科路由器NAT结合DHCP的最简单配置 router(config)#int s0 router(config-if)#ip add 35 52 router(config-if)#ip nat outside router(config-if)#no shut router(config)#int fa0/0 router(config-if)#ip add router(config-if)#ip nat inside router(config-if)#no shut router(config)#ip nat pool AAAA 35 35 netmask 52 router(config)#ip nat inside sourec list 10 pool AAAA overload(启用复用) router(config)#access-list 10 permit any any router(config)#ip route 35 (上面是NAT) router(config)#ip dhcp pool BBBB router(dhcp-config)#network router(dhcp-config)#default-router router(dhcp-config)#dns-server 34 33 router(dhcp-config)#lease 30 router(dhcp-config)#exit router(config)#ip dhcp excluded-address 00 54 思科路由器怎么做端口映射啊, 悬赏分:5 - 解决时间:2007-9-28 14:14 我的内网一台带服务器做了动态域名解析，是台WEB服务器，如何设置路由器80的端口映射，让外网电脑访问这台服务器 最佳答案 给你举个例子吧 Interface fastethernet0/0 Ip address Duplex auto Speed auto Ip nat inside No shutdown Interface fastethernet0/1 Ip address 29 48 Duplex auto Speed auto Ip nat outside No shutdown Access-list 1 permit 55 Ip nat inside source list1 interface fastethernet0/1 overload Ip nat inside source static tcp 80 30 80 ip nat inside source static 内网IP地址 端口号 外网IP地址 端口号 VLAN的具体划分方法和相关配置 悬赏分:0 - 解决时间:2008-9-27 21:44 某公司的内部办公网络有一台CATALYST3550-24交换机，现要求用VLAN把办公局域划分成三个网段。其中，VLAN10- 网络号为，指定的网关为;VLAN20- 网络号为，指定的网关为;VLAN30- 网络号为，指定的网关为;并要求VLAN10和VLAN20之间主机能够互相通信。请写具体的划分方法和相关的配置过程 提问者: 弥呢小星 - 助理 二级 最佳答案 VLAN实现的配置命令行如下:(仅供参考) 一(中心交换的VLAN配置 (1)激活vlan路由 Switch1#config t Switch1(config)#ip routing (2)创建三个VLAN Switch1# Switch1#vlan database Switch1(vlan)#vlan 2 Switch1(vlan)#vlan 3 Switch1(vlan)#vlan 10 Switch1(vlan)#exit (3)给VLAN分配IP Switch1#config t Switch1(config)#config vlan2 Switch1(config-if)#ip address Switch1(config-if)#no shutdown Switch1#config t Switch1(config)#config vlan3 Switch1(config-if)#ip address Switch1(config-if)#no shutdown Switch1#config t Switch1(config)#config vlan10 Switch1(config-if)#ip address Switch1(config-if)#no shutdown (4)配VTP Switch1# Switch1#config t Switch1(config)#vtp domain china_mobile Switch1(config)#vtp mode server Switch1(config)#end (5)配Trunk Switch1# Switch1#config t Switch1(config)#interface gigabitethernet0/1 Switch1(config-if)#switchport trunk encapsulation isl Switch1(config-if)#switchport mode trunk Switch1(config-if)#end (6)给中心交换机通往路由器的接口配IP Switch1# Switch1#config t Switch1(config)#interface fastethernet0/1 Switch1(config-if)#no switchport Switch1(config-if)#ip address Switch1(config-if)#no shutdown (7)给中心交换机配置缺省路由 Switch1# Switch1#config t Switch(config)#ip route (8)把VLAN号分配给IP接口 Switch1# Switch1#config t Switch1(config)#interface fastethernet0/2 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan2 Switch1(config-if)#spanning-tree portfast Switch1# Switch1#config t Switch1(config)#interface fastethernet0/13 Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan3 Switch1(config-if)#spanning-tree portfast (其它同) (9)配访问控制列表ACL禁VLAN3子网的客户机访问服务器 Switch1# Switch1#config t Switch1(config)#access-list 1 deny 55 Switch1(config)#access-list 1 permit any Switch1(config)#interface fastethernet0/13 (此接口接服务器) Switch1(config-if)#ip access-group 1 out (10)检查上述配置 Switch1#show vlan Switch1#show ip route Switch1#show interface gigabitethernet0/1 switchport Switch1#show run Switch1#show vtp status (11)存配置 Switch1#copy running-config startup-config 二(在接入层交换机Swith2上VLAN的配置 (1)配TRUNK Switch2# Swtich2#config t Switch2(config)#interface gigabitethernet0/1 Switch2(config-if)#switchport trunk encapsulation isl Switch2(config-if)#switchport mode trunk Switch2(config-if)#end Switch2# Swtich2#config t Switch2(config)#interface gigabitethernet0/2 Switch2(config-if)#switchport trunk encapsulation isl Switch2(config-if)#switchport mode trunk Switch2(config-if)#end (2)配VTP Switch2# Switch2#config t Switch2(config)#vtp mode client Switch2(config)#vtp domain china_mobile Switch2(config)#end (3)给接口分配VLAN号 Switch2# Switch2#config t Switch2(config)#interface fastethernet0/1 Switch2(config-if)#switchport mode access Switch2(config-if)#switchport access vlan2 Switch2(config-if)#spanning-tree portfast (其它端口配置同) (4)存配置 Switch2#copy running-config startup-config (其它交换机同) 回答者: HDO520 - 副总裁 十级 9-27 21:36 Cisco3550三层交换机vlan间路由配置实例 下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。 所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3，分别通过Port 1的光纤模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING 需要做的工作: 1、设置VTP DOMAIN(核心、分支交换机上都设置) 2、配置中继(核心、分支交换机上都设置) 3、创建VLAN(在server上设置) 4、将交换机端口划入VLAN 5、配置三层交换 1、设置VTP DOMAIN。 VTP DOMAIN 称为管理域。 交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。 COM#vlan database 进入VLAN配置模式 COM(vlan)#vtp domain COM 设置VTP管理域名称 COM COM(vlan)#vtp server 设置交换机为服务器模式 PAR1#vlan database 进入VLAN配置模式 PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM PAR1(vlan)#vtp Client 设置交换机为客户端模式 PAR2#vlan database 进入VLAN配置模式 PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM PAR2(vlan)#vtp Client 设置交换机为客户端模式 PAR3#vlan database 进入VLAN配置模式 PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM PAR3(vlan)#vtp Client 设置交换机为客户端模式 注意:这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息;Client模式是指本交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可同步由本VTP域中其他交换机传递来的VLAN信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机，必须配置中继。 Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL(Inter,Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。 在核心交换机端配置如下: COM(config)#interface gigabitEthernet 2/1 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/2 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk COM(config)#interface gigabitEthernet 2/3 COM(config-if)#switchport COM(config-if)#switchport trunk encapsulation isl 配置中继协议 COM(config-if)#switchport mode trunk 在分支交换机端配置如下: PAR1(config)#interface gigabitEthernet 0/1 PAR1(config-if)#switchport mode trunk PAR2(config)#interface gigabitEthernet 0/1 PAR2(config-if)#switchport mode trunk PAR3(config)#interface gigabitEthernet 0/1 PAR3(config-if)#switchport mode trunk 此时，管理域算是设置完毕了。 3、创建VLAN一旦建立了管理域，就可以创建VLAN了。 COM(vlan)#Vlan 10 name COUNTER 创建了一个编号为10 名字为COUNTER的 VLAN COM(vlan)#Vlan 11 name MARKET 创建了一个编号为11 名字为MARKET的 VLAN COM(vlan)#Vlan 12 name MANAGING 创建了一个编号为12 名字为MANAGING的 VLAN 注意，这里的VLAN是在核心交换机上建立的，其实，只要是在管理域中的任何一台VTP 属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个VLAN，就必须在该端口所属的交换机上进行设置。 4、将交换机端口划入VLAN 例如，要将PAR1、PAR2、PAR3分支交换机的端口1划入COUNTER VLAN，端口2划入MARKET VLAN，端口3划入MANAGING VLANPAR1(config)#interface fastEthernet 0/1 配置端口1 PAR1(config-if)#switchport access vlan 10 归属COUNTER VLAN PAR1(config)#interface fastEthernet 0/2 配置端口2 PAR1(config-if)#switchport access vlan 11 归属MARKET VLAN PAR1(config)#interface fastEthernet 0/3 配置端口3 PAR1(config-if)#switchport access vlan 12 归属MANAGING VLAN PAR2(config)#interface fastEthernet 0/1 配置端口1 PAR2(config-if)#switchport access vlan 10 归属COUNTER VLAN PAR2(config)#interface fastEthernet 0/2 配置端口2 PAR2(config-if)#switchport access vlan 11 归属MARKET VLAN PAR2(config)#interface fastEthernet 0/3 配置端口3 PAR2(config-if)#switchport access vlan 12 归属MANAGING VLAN PAR3(config)#interface fastEthernet 0/1 配置端口1 PAR3(config-if)#switchport access vlan 10 归属COUNTER VLAN PAR3(config)#interface fastEthernet 0/2 配置端口2 PAR3(config-if)#switchport access vlan 11 归属MARKET VLAN PAR3(config)#interface fastEthernet 0/3 配置端口3 PAR3(config-if)#switchport access vlan 12 归属MANAGING VLAN 5、配置三层交换 到这里，VLAN已经基本划分完毕。但是，VLAN间如何实现三层(网络层)交换呢,这时就要给各VLAN分配网络(IP)地址了。给VLAN分配IP地址分两种情况，其一，给VLAN所有的节点分配静态IP地址;其二，给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。 假设给VLAN COUNTER分配的接口Ip地址为/24，网络地址为