思科路由器配置方法普通NAT和普通VLAN_第1页
思科路由器配置方法普通NAT和普通VLAN_第2页
思科路由器配置方法普通NAT和普通VLAN_第3页
思科路由器配置方法普通NAT和普通VLAN_第4页
思科路由器配置方法普通NAT和普通VLAN_第5页
已阅读5页,还剩13页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

思科路由器NAT配置(1)企业边缘路由器配置端口配置conftintfa0/0ipadd52ipnatoutsidenoshintfa0/1ipadd52ipnatinsidenoshexitipnatpoolNAT-POOLnetmask52access-list10per55ipnatinsidesourcelist1poolNAT-POOLoverload静态路由iprouteiproute静态端口映射ipnatinsidesourcestatictcp222222查看与排错shipnattranslationsdebugipnatAAA配置conftaaanew-modelaaaauthelogindelocaluseradminpassciscoenseccisco阻止总外部telnet进路由器linevty04access-class10in下联交换机配置端口配置conftintfa0/0noswipadd52noshSSH配置conftipdomain-namecryptokeygeneratersaAAA配置conftaaanew-modelaaaauthelogindeflocaluseradminpassciscoensecciscoexit通过以上配置从外部不能直接telnet进路由器可以通过ssh登录下层交换机实现了远程管理的同时增加了安全性实验机器为cisco3640cisco3550over ***********************动态地址转换+端口***********************ISP分配的IP有:202・99・160・130~19092Interfacefastethernet0/1IpaddressIpaddresssecondaryDuplexautoSpeedautoIpnatinsideNoshutdownInterfaceserial0/0Ipaddress2992DuplexautoSpeedautoIpnatoutsideNoshutdwonIpnatpoolOutPort9090netmask92IpnatpoolOutPool3090netmask92

IpnatinsidesourcelistlpoolOutPort〃段主机全部转成90Ipnatinsidesourcelist2poolOutPool//出于访问ftp站点等考虑:和段主机全部〃转成30到89中的所有地址。Access-list1permit55Access-list2permit55***********************Access-list2permit55**********************************************静态地址转换ISP分配的IP地址是:211・82.220・80~211・82・220・87148要求Intranet上的Web.E-mail.Ftp.Media可以被外部访问.Interfacefastethernet0/0IpaddressDuplexautoSpeedautoIpnatinsideNoshutdownInterfacefastethernet0/1Ipaddress148SpeedautoDuplexautoIpnatoutsideNoshutdownIpnatpoolOutpool66netmask48Access-list1permit55Access-list1permit55Access-list1permit55Access-list1permit55Ipnatinsidesourcelist1poolOutpooloverloadIpnatinsidesourcestatic2Ipnatinsidesourcestatic3Ipnatinsidesourcestatic4Ipnatinsidesourcestatic5

******************NAT映射******************NAT映射业业业业业业业业业业业业业业业业业业业业业业业业业业业业不不不不不不不不不不不不不不不不不不不不不不不不不不不不如果ISP提供的IP地址比较多还可以,但如果不是的时候(如就两个时),一个用于内网地址转换,另一个用于对外网提供服务・ISP提供的内网上网IPInterfaceethernetOIpaddressDuplexautoSpeedautoIpnatinsideNoshutdownInterfacefastethernetO/OIpaddress2948DuplexautoSpeedautoIpnatoutsideNoshutdownAccess-list1permit55IpnatpoolEverybody3030network52Ipnatinsidesourcelist1poolEverybodyoverloadIpnatinsidesourcestatictcp803080Ipnatinsidesourcestatictcp213021Ipnatinsidesourcestatictcp253025Ipnatinsidesourcestatictcp11030110*******************利用地址转换实现负载均衡********************;当有如象腾讯公司似的多服务器时,使用路由器实现负载平衡可以使它们有平等的访问机会.Interfacefastethernet0/1IpaddressDuplexautoSpeedautoIpnatinsideNoshutdownInterfacefastethernet0/0Ipaddress1255.2555.255.248DuplexautoSpeedautoIpnatoutsideAccess-list1permit2Access-list2permit3Access-list3permit55IpnatpoolWebser48typerotaryIpnatpoolFtpser48typerotaryIpnatpoolnormal44netmask48Ipnatinsidedestinationlist1poolWebserIpnatinsidedestinationlist2poolFtpser用思科路由器上实现NAT实例来源:发布者:发布时间:2007-03-05互联网如火如荼的应用,加剧了IP地址匮乏的问题,为了缓解这一问题,一个重要的应用:NAT(NetworkAddressTranslation—网络地址转换),日益广泛地应用起来。NAT通过地址转换的方式,使企业可以仅使用较少的互联网有效IP地址,就能获得互联网接入的能力,有效地缓解了地址不足的问题,同时提供了一定的安全性。NAT的实现方案多种多样,本文以思科2611路由器为平台,通过一个实例描述了NAT的应用。思科路由器上NAT通常有3种应用方式,分别适用于不同的需求:静态地址转换:适用于企业内部服务器向企业网外部提供服务(如WEB,FTP等),需要建立服务器内部地址到固定合法地址的静态映射。动态地址转换:建立一种内外部地址的动态转换机制,常适用于租用的地址数量较多的情况;企业可以根据访问需求,建立多个地址池,绑定到不同的部门。这样既增强了管理的粒度,又简化了排错的过程。端口地址复用:适用于地址数很少,多个用户需要同时访问互联网的情况。

图1如图1所示,企业从ISP获得6个有效IP地址(28~35,掩码为48,128和135为网络地址和广播地址,不可用),通过一台2611路由器接入互联网。内部网络根据职能分成若干子网,并期望服务器子网对外提供WEB服务,财务部门使用独立的地址池接入互联网,其它部门共用剩余的地址池。地址具体分配如下表:分配对象地址空间地址转换类型分配的IP地址地址数量接入路由器S0口29/29—29/291WEB服务器/24静态30/291财务部门/24端口复用31/291其它部门/24动态32〜134/293具体配置步骤如下:选择E0作为内部接口,S0作为外部接口interfacee0ipaddressipnatinside/*配置e0为内部接口*/interfaces0ipaddress2948ipnatoutside/*配置s0为外部接口*/为各部门配置地址池(finance—财务部门;other—其它部门):ipnatpoolfinance3131netmask48ipnatpoolother3234netmask48定义访问控制列表access-list1permit55access-list2permit55用访问控制列表检查数据包的源地址并映射到不同的地址池ipnatinsidesourcelist1poolfinanceoverload/*overload—启用端口复用*/ipnatinsidesourcelist2poolother/*动态地址转换*/建立静态地址转换,并开放WEB端口(TCP80)ipnatinsidesourcestatictcp803080设置缺省路由iproutes0经过上述配置后,互联网上的主机可以通过30:80访问到企业内部WEB服务器;财务部门的接入请求将映射到31;其它部门的接入请求被映射到31~134地址段。至此,一个企业NAT互联网接入方案就完成了。基于思科路由器NAT结合DHCP的最简单配置router(config)#ints0router(config-if)#ipadd3552router(config-if)#ipnatoutsiderouter(config-if)#noshutrouter(config)#intfa0/0router(config-if)#ipaddrouter(config-if)#ipnatinsiderouter(config-if)#noshutrouter(config)#ipnatpoolAAAA3535netmask52router(config)#ipnatinsidesoureclist10poolAAAAoverload启用复用)router(config)#access-list10permitanyanyrouter(config)#iproute35(上面是NAT)router(config)#ipdhcppoolBBBBrouter(dhcp-config)#networkrouter(dhcp-config)#default-routerrouter(dhcp-config)#dns-server3433router(dhcp-config)#lease30router(dhcp-config)#exitrouter(onfg)#ipdhcpexcluded-address0054思科路由器怎么做端口映射啊?。悬赏分:5-解决时间:2007-9-2814:14我的内网一台带服务器做了动态域名解析,是台WEB服务器,如何设置路由器80的端口映射,让外网电脑访问这台服务器最佳答案给你举个例子吧Interfacefastethernet0/0IpaddressDuplexautoSpeedautoIpnatinsideNoshutdownInterfacefastethernet0/1Ipaddress2948DuplexautoSpeedautoIpnatoutsideNoshutdownAccess-list1permit55Ipnatinsidesourcelist1interfacefastethernet0/1overloadIpnatinsidesourcestatictcp803080ipnatinsidesourcestatic内网IP地址端口号外网IP地址端口号VLAN的具体划分方法和相关配置:赏分:0-解决时间:2008-9-2721:44某公司的内部办公网络有一台CATALYST3550-24交换机,现要求用VLAN把办公局域划分成三个网段。其中,VLAN10-网络号为192.168・1・0,指定的网关为192・168・1・1;VLAN20-网络号为,指定的网关为192・168・2・1;VLAN30-网络号为192・168・30.0,指定的网关为;并要求VLAN10和VLAN20之间主机能够互相通信。请写具体的划分方法和相关的配置过程提问者:弥呢小星-助理一级最佳答案VLAN实现的配置命令行如下:(仅供参考)一.中心交换的VLAN配置(1)激活vlan路由Switch1#configtSwitch1(config)#iprouting创建三个VLANSwitchl#Switch1#vlandatabaseSwitch1(vlan)#vlan2Switch1(vlan)#vlan3Switch1(vlan)#vlan10Switch1(vlan)#exit给VLAN分配IPSwitch1#configtSwitch1(config)#configvlan2Switch1(config-if)#ipaddressSwitch1(config-if)#noshutdownSwitch1#configtSwitch1(config)#configvlan3Switch1(config-if)#ipaddressSwitch1(config-if)#noshutdownSwitch1#configtSwitch1(config)#configvlan10Switch1(config-if)#ipaddressSwitch1(config-if)#noshutdown配VTPSwitch1#Switch1#configtSwitch1(config)#vtpdomainchina_mobileSwitch1(config)#vtpmodeserverSwitch1(config)#end配TrunkSwitch1#Switch1#configtSwitch1(config)#interfacegigabitethernet0/1Switch1(config-if)#switchporttrunkencapsulationislSwitch1(config-if)#switchportmodetrunkSwitch1(config-if)#end给中心交换机通往路由器的接口配IPSwitch1#Switch1#configtSwitch1(config)#interfacefastethernet0/1Switch1(config-if)#noswitchportSwitch1(config-if)#ipaddressSwitch1(config-if)#noshutdown给中心交换机配置缺省路由Switchl#Switch1#configtSwitch(config)#iproute把VLAN号分配给IP接口Switch1#Switch1#configtSwitch1(config)#interfacefastethernet0/2Switch1(config-if)#switchportmodeaccessSwitch1(config-if)#switchportaccessvlan2Switch1(config-if)#spanning-treeportfast Switch1#Switch1#configtSwitch1(config)#interfacefastethernet0/13Switch1(config-if)#switchportmodeaccessSwitch1(config-if)#switchportaccessvlan3Switch1(config-if)#spanning-treeportfast(其它同)配访问控制列表ACL禁VLAN3子网的客户机访问服务器Switch1#Switch1#configtSwitch1(config)#access-list1deny55Switch1(config)#access-list1permitanySwitch1(config)#interfacefastethernet0/13(此接口接服务器)Switch1(config-if)#ipaccess-group1out检查上述配置Switch1#showvlanSwitch1#showiprouteSwitch1#showinterfacegigabitethernet0/1switchportSwitch1#showrunSwitch1#showvtpstatus存配置Switch1#copyrunning-configstartup-config二.在接入层交换机Swith2上VLAN的配置(1)配TRUNKSwitch2#Swtich2#configtSwitch2(config)#interfacegigabitethernet0/1Switch2(config-if)#switchporttrunkencapsulationislSwitch2(config-if)#switchportmodetrunkSwitch2(config-if)#endSwitch2#Swtich2#configtSwitch2(config)#interfacegigabitethernet0/2Switch2(config-if)#switchporttrunkencapsulationislSwitch2(config-if)#switchportmodetrunkSwitch2(config-if)#end配VTPSwitch2#Switch2#configtSwitch2(config)#vtpmodeclientSwitch2(config)#vtpdomainchina_mobileSwitch2(config)#end给接口分配VLAN号Switch2#Switch2#configtSwitch2(config)#interfacefastethernet0/1Switch2(config-if)#switchportmodeaccessSwitch2(config-if)#switchportaccessvlan2Switch2(config-if)#spanning-treeportfast……(其它端口配置同)存配置Switch2#copyrunning-configstartup-config(其它交换机同)回答者:蜜HDO520-副总裁十级 离线留二9-2721:36Cisco3550三层交换机vlan间路由配置实例下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3,分别通过Port1的光纤模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING 需要做的工作:1、 设置VTPDOMAIN(核心、分支交换机上都设置)2、 配置中继(核心、分支交换机上都设置)3、 创建VLAN(在server上设置)4、 将交换机端口划入VLAN5、 配置三层交换1、设置VTPDOMAIN。VTPDOMAIN称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。COM#vlandatabase进入VLAN配置模式COM(vlan)#vtpdomainCOM设置VTP管理域名称COMCOM(vlan)#vtpserver设置交换机为服务器模式PAR1#vlandatabase进入VLAN配置模式PAR1(vlan)#vtpdomainCOM设置VTP管理域名称COMPAR1(vlan)#vtpClient设置交换机为客户端模式PAR2#vlandatabase进入VLAN配置模式PAR2(vlan)#vtpdomainCOM设置VTP管理域名称COMPAR2(vlan)#vtpClient设置交换机为客户端模式PAR3#vlandatabase进入VLAN配置模式PAR3(vlan)#vtpdomainCOM设置VTP管理域名称COMPAR3(vlan)#vtpClient设置交换机为客户端模式注意:这里设置核心交换机为Server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本VTP域中其他交换机传递来的VLAN信息。2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL(Inter—SwitchLink)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。在核心交换机端配置如下:COM(config)#interfacegigabitEthernet2/1COM(config-if)#switchportCOM(config-if)#switchporttrunkencapsulationisl配置中继协议COM(config-if)#switchportmodetrunkCOM(config)#interfacegigabitEthernet2/2COM(config-if)#switchportCOM(config-if)#switchporttrunkencapsulationisl配置中继协议COM(config-if)#switchportmodetrunkCOM(config)#interfacegigabitEthernet2/3COM(config-if)#switchportCOM(config-if)#switchporttrunkencapsulationisl配置中继协议COM(config-if)#switchportmodetrunk在分支交换机端配置如下:PAR1(config)#interfacegigabitEthernet0/1PAR1(config-if)#switchportmodetrunkPAR2(config)#interfacegigabitEthernet0/1PAR2(config-if)#switchportmodetrunkPAR3(config)#interfacegigabitEthernet0/1PAR3(config-if)#switchportmodetrunk此时,管理域算是设置完毕了。3、创建VLAN一旦建立了管理域,就可以创建VLAN了。COM(vlan)#Vlan10nameCOUNTER创建了一个编号为10名字为COUNTER的VLANCOM(vlan)#Vlan11nameMARKET创建了一个编号为11名字为MARKET的VLANCOM(vlan)#Vlan12nameMANAGING创建了一个编号为12名字为MANAGING的VLAN注意,这里的VLAN是在核心交换机上建立的,其实,只要是在管理域中的任何一台VTP属性为Server的交换机上建立VLAN,它就会通过VTP通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。4、将交换机端口划入VLAN例如,要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTERVLAN,端口2划入MARKETVLAN,端口3划入MANAGINGVLAN PAR1(config)#interfacefastEthernet0/1配置端口1PAR1(config-if)#switchportaccessvlan10归属COUNTERVLANPAR1(config)#interfacefastEthernet0/2配置端口2PAR1(config-if)#switchportaccessvlan11归属MARKETVLANPAR1(config)#interfacefastEthernet0/3配置端口3PAR1(config-if)#switchportaccessvlan12归属MANAGINGVLANPAR2(config)#interfacefastEthernet0/1配置端口1PAR2(config-if)#switchportaccessvlan10归属COUNTERVLANPAR2(config)#interfacefastEthernet0/2配置端口2PAR2(config-if)#switchportaccessvlan11归属MARKETVLANPAR2(config)#interfacefastEthernet0/3配置端口3PAR2(config-if)#switchportaccessvlan12归属MANAGINGVLANPAR3(config)#interfacefastEthernet0/1配置端口1PAR3(config-if)#switchportaccessvlan10归属COUNTERVLANPAR3(config)#interfacefastEthernet0/2配置端口2PAR3(config-if)#switchportaccessvlan11归属MARKETVLANPAR3(config)#interfacefastEthernet0/3配置端口3PAR3(config-if)#switchportaccessvlan12归属MANAGINGVLAN5、配置三层交换到这里,VLAN已经基本划分完毕。但是,VLAN间如何实现三层(网络层)交换呢?这时就要给各VLAN分配网络(IP)地址了。给VLAN分配IP地址分两种情况,其一,给VLAN所有的节点分配静态IP地址;其二,给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。假设给

人人文库> 全部分类> 图纸下载 > 毕业设计

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论