首先介紹固定IP上網配置:網絡
現有客戶須要使用思科的2811路由器上網,用戶爲10M光纖,申請了16個固定IP,ide
IP爲58.240.160.2-58.240.160.14, 默認網關是58.240.160.1。內網IP段192.168.1.0,加密
客戶要實現192.168.1.10-192.168.1.20之間的IP能夠上網,其他的不能夠。spa
路由器e1/0接口爲WAN外網接口,e1/1爲LAN內網接口 3d
拓撲圖以下:orm
Cisco2811#configure terminalrouter
Cisco2811(config)#interface ethernet 1/0 進入ethernet 1/0接口(該端口直接鏈接Internet)server
Cisco2811(config-if)#ip address 58.240.160.2 255.255.255.240 設置端口IPblog
//這裏可使用58.240.160.2-14地址中的任意一個,這裏就用2dns
Cisco2811(config-if)#ip nat outside 設置該端口爲nat地址映射的外部接口
Cisco2811(config-if)#full-duplex 設置端口雙工模式爲全雙工
Cisco2811(config-if)#no shutdown 啓用端口
Cisco2811(config-if)#interface ethernet 1/1 進入ethernet 1/1接口(該端口爲內部網絡)
Cisco2811(config-if)#ip address 192.168.1.1 255.255.255.0 設置端口IP
Cisco2811(config-if)#ip nat inside 設置該端口爲nat地址映射的內部接口
Cisco2811(config-if)#full-duplex 設置端口雙工模式爲全雙工
Cisco2811(config-if)#no shutdown 啓用端口
Cisco2811(config-if)#exit
//下面設置放行的IP地址能夠訪問外網列表
Cisco2811(config)#no access-list 1 先取消出廠狀態下的訪問控制列表1
Cisco2811(config)#access-list 1 permit host 192.168.1.10 單獨容許一臺主機訪問
Cisco2811(config)#access-list 1 permit host 192.168.1.11
Cisco2811(config)#access-list 1 permit host 192.168.1.12
Cisco2811(config)#access-list 1 permit host 192.168.1.13
Cisco2811(config)#access-list 1 permit host 192.168.1.14
Cisco2811(config)#access-list 1 permit host 192.168.1.15
Cisco2811(config)#access-list 1 permit host 192.168.1.16
Cisco2811(config)#access-list 1 permit host 192.168.1.17
Cisco2811(config)#access-list 1 permit host 192.168.1.18
Cisco2811(config)#access-list 1 permit host 192.168.1.18
Cisco2811(config)#access-list 1 permit host 192.168.1.19
Cisco2811(config)#access-list 1 permit host 192.168.1.20
//若是須要容許一個網段訪問命令爲:access-list 1 permit 192.168.1.0 0.0.0.255
容許192.168.1.0/24的網段訪問
Cisco2811(config)# ip nat pool intoout 58.240.160.2 58.240.160.14 netmask 255.255.255.240
//定義從ISP供應商哪裏申請到的公網IP地址,這裏定義了一個nat地址池,名稱爲「natout」,在這個地址池裏所定義的IP地址(58.240.160.2到58.240.160.14)將被內網的用戶任意選擇可用的外網IP上網。若是ISP服務商只給了一個IP地址(如58.240.160.2),那這裏能夠寫成「ip nat pool natout 58.240.160.2 58.240.160.2 netmask 255.255.255.240」
Cisco2811(config)#ip nat inside source list 1 pool intoout overload
//將訪問控制列表1與地址池‘intoout’進行對應式綁定。意思是說全部的「192.168.1.10-192.168.20」內的主機在上網時,它的內網地址都將被轉換爲「58.240.160.2-58.240.160.14」中
的任意一個外網地址。後面的「overload」則表示若是有多於地址池中定義的地址數量(好比原來有10個用戶上網,他們各自用的外網地址是58.240.160.二、58.240.160.三、58.240.160.四、58.240.160.五、58.240.160.六、58.240.160.七、58.240.160.八、58.240.160.九、58.240.160.十、58.240.160.11)。若是如今忽然有30多個用戶上網了,這是就會按照上面的命令執行一個任務,那就是讓多個內網用戶使用同一個外網地址,若是說若是有不少用戶須要上外網就必須加上overload命令,不然將致使只能同時容許公網IP地址數的用戶上網。
Cisco2811(config)#ip route 0.0.0.0 0.0.0.0 58.240.160.1
//設置默認網關,即外網IP地址的網關地址爲下一跳地址。這樣配置後就能夠上網了,可是客戶端必須設置固定IP,配置DNS,若是不配置,由於沒有開啓DHCP服務,因此必須設置固定IP。
下面開啓DHCP,則須要這樣配置:
Cisco2811(config)#ip dhcp pool DHCP-test 定義一個DHCP地址池名稱
Cisco2811(dhcp-config)#network 192.168.1.0 定義DHCP地址池的網絡地址範圍
Cisco2811(dhcp-config)#default-router 192.168.1.1 設定默認路由(即網關)
Cisco2811(dhcp-config)#dns-server 221.6.4.66 設定DNS地址(此處爲移動的DNS地址)
Cisco2811(dhcp-config)#ip dhcp excluded-address 192.168.1.1 DHCP動態地址池中須要除去網關的地址,不然網關地址也會被動態分配,從而形成衝突了。
* 若是沒有ip的限制,就是單純的整個子網均可以上網,刪除那個access-list 1 permit host 192.168.1.10 至access-list 1 permit host 192.168.1.20
增長 access-list 1 permit 192.168.1.0 0.0.0.255就能夠了。
PPPOE撥號上網配置:
對以設置PPPOE上網,以太網接口LAN的配置不變,須要更改外網口WAN的配置和訪問控制列表,
增長VPDN的配置。假設用戶名是admin,密碼 123456,配置過程以下:
此案例爲XX電信adsl PPPoE接入,須要使用一個普通adsl modem和一臺cisco 2600路由器(雙以太口),IOS 12.2(15)T,可以實現局域網共享上網。
此案例配置共分7步:
第一步:配置vpdn
vpdn enable (啓用路由器的虛擬專用撥號網絡——***d)
vpdn-group office (創建一個vpdn組,名稱爲office)
request-dialin (初始化一個***d tunnel,創建一個請求撥入的vpdn子組,)
protocol pppoe (vpdn子組使用pppoe創建會話隧道)
第二步: 配置路由器鏈接adsl modem的接口(即鏈接ISP供應商設備的端口)
interface Ethernet1/0 (外網接口)
no ip address
pppoe enable 容許以太接口運行pppoe
pppoe-client dial-pool-number 1 將以太接口的pppoe撥號客戶端加入撥號池1
第三步:配置邏輯撥號接口:
interface Dialer1
ip address negotiated previous 自動協商獲取IP地址(或從adsl服務商動態協商獲得ip地址)
ip nat outside 爲該接口啓用NAT
encapsulation ppp 爲該接口封裝ppp協議
dialer pool 1 該接口使用1號撥號池進行撥號
dialer-group 1 該接口使用1號撥號池組進行撥號,對應撥號池的數字
ppp authentication pap callin 啓用ppp pap驗證 名稱爲callin
ppp pap sent-username admin password 0 123456 使用已經申請的用戶名和口令(0表示對密
碼的加密級別爲0,即不對密碼加密,共有0-7個級別)
第四步:配置內部網絡接口
interface Ethernet 1/1 (內部網絡接口)
ip address 192.168.1.1 255.255.255.0
ip nat inside 爲該接口啓用NAT
第五步:配置路由器爲內部網絡主機提供dhcp服務
ip dhcp excluded-address 192.168.1.1 該IP不會被DHCP分配
ip dhcp pool dhcp-test 配置dhcp地址池
import all (導入dns和wins server)
network 192.168.1.0 255.255.255.0 DHCP地址池的IP地址範圍
default-router 192.168.1.1 設定默認路由(即網關)
第六步:配置NAT:
access-list 1 permit 10.1.1.0 0.0.0.255 設定容許訪問外網的IP地址範圍
ip nat inside source list 1 interface Dialer 1 overload 設定NAT地址轉換的源IP
及出口端口,list 1 爲源容許訪問的IP經過acl列表定義的,interface dialer 1爲內網訪問
外網的出口端口。overload表示能夠複用公網IP,以保證全部內網IP都能訪問公網。
第七步:配置缺省路由
ip route 0.0.0.0 0.0.0.0 Dialer1