模块化路由器在网吧的常用配置(2621为例)

最新推荐文章于 2021-10-08 04:04:26 发布
最新推荐文章于 2021-10-08 04:04:26 发布
阅读量1.7k 收藏
点赞数
分类专栏: 安全设备和网络安全方案 文章标签: 路由器 interface translation tcp service date
Router_config#show run
Building configuration...

Current configuration:
!
!version 1.3.1Q
service timestamps log date
service timestamps debug date
no service password-encryption
!
enable password 0 123456789 level 15 //定义路由器登陆的密码!
!
interface FastEthernet0/0 //外网口,一般是固定光纤接入,有固定ip
ip address 1.1.1.1 255.255.255.252 //指定外网口ip地址
no ip directed-broadcast
ip nat outside //指定该端口在nat转换中的位置
ip nat local-service icmp enable //打开路由器在NAT时的icmp服务
ip nat local-service udp enable //打开路由器在NAT时的tcp服务
ip nat local-service tcp enable //打开路由器在NAT时的udp服务
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0 //指定内网口地址(局域网关)
no ip directed-broadcast
ip access-group firewall in //调用软件防火墙
ip nat inside //指定该端口在nat转换中的位置
!
interface Async0/0
no ip address
no ip directed-broadcast
!
ip route default 1.1.1.2 //默认路由,指向电信的网关;
!
gateway-cfg
Gateway keepAlive 60
shutdown
!
!
ip access-list standard NAT //定义访问列表
permit 192.168.1.0 255.255.255.0 //允许可以NAT上网的局域网范围
!
!
ip access-list extended firewall //定义软件防火墙
deny tcp any any eq 135 //封掉常见的病毒共计的端口
deny tcp any any eq 139 //同上
deny tcp any any eq 445
deny tcp any any eq 3333
deny tcp any any eq 593
deny udp any any eq 135
deny udp any any eq tftp
deny udp any any eq 4444
deny udp any any eq 137
deny udp any any eq 138
permit ip any any //正常的数据允许通过
!
!
ivr-cfg
!
ip nat translation max-links all 300 //增强路由器抗打击/病毒冲击能力
ip nat inside source list NAT interface FastEthernet0/0 //执行NAT转换成公网地址!
lexon
2005-07-18, 19:10
配置说明:
1、enable password 0 123456789 level 15 只会提示输入密码;
如果要提示输入用户名和密码,则要在config#下配置:
username bdcom password 0 bdcom //名字和密码自定义
aaa authentication login default local ena //aaa认证

2、ip nat outside 端口的icmp、tcp、udp服务是可选的,如果不想让外界的icmp和tcp、udp连接进入;可以不用配置上述的三命命令!

3、软件防火墙一般在局域网口调用即可,如果有必要也可在外网口调用!且firewall的端口可以自己增加,以防止更多病毒的冲击;

4、ip nat translation max-links all 300是增强路由器的防病毒能力的,一般中小型网吧配置200/300即可,较大的网吧可以考虑适当增加到500!!
lexon
2005-07-18, 19:10
配置说明2:
如果是路由外网口接入是ADSL;那配置应当为:
外网口改成:
interface Dialer0 //建立拨号端口
ip address negotiated //ip地址自动协商
ip mtu 1492
no ip directed-broadcast
ppp pap sent-username 1111111 22222 //设置PPPoE/ADSL的用户名和密码
ip nat outside
ip nat mss //自动调整PPPoe数据包的大小!
ip nat local-service icmp enable
ip nat local-service udp enable
ip nat local-service tcp enable
!
interface FastEthernet0/0
no ip address
no ip directed-broadcast
pppoe-client Dialer 0 //物理端口下调用虚拟的拨号端口配置!

相应的,nat的命令要改成:
ip nat inside source list NAT interface Dialer0

默认路由的命令改成:
ip route default Dialer0
lexon
2005-07-18, 19:11
静态端口映射和特殊NAT:
Router_config#show run
Building configuration...

Current configuration:
!
!version 1.3.1Q
service timestamps log date
service timestamps debug date
no service password-encryption
!
username bdcom password 0 bdcom
!
interface Dialer0
ip address negotiated
ip mtu 1492
no ip directed-broadcast
ppp pap sent-username 1111111 22222
ip nat outside
ip nat mss
ip nat local-service icmp enable
ip nat local-service udp enable
ip nat local-service tcp enable
!
interface FastEthernet0/0
no ip address
no ip directed-broadcast
pppoe-client Dialer 0
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
ip access-group firewall in
ip nat inside
!
interface Async0/0
no ip address
no ip directed-broadcast
!
!
ip route default Dialer0
!
!
gateway-cfg
Gateway keepAlive 60
shutdown
!
!
ip access-list standard NAT
permit 192.168.1.0 255.255.255.0
!
ip access-list extended firewall
deny tcp any any eq 135
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 3333
deny tcp any any eq 593
deny udp any any eq 135
deny udp any any eq tftp
deny udp any any eq 4444
deny udp any any eq 137
deny udp any any eq 138
permit ip any any
!
!
!
!
!
ivr-cfg
!
!
!
!
!
ip nat service privateservice //特殊NAT使能开关;
ip nat translation max-links all 300
ip nat outside destination static interface Dialer0 192.168.1.100
//开启局域网内某PC/ip地址的特殊NAT服务;
ip nat inside source static tcp 192.168.1.100 80 interface Dialer0 80
ip nat inside source static tcp 192.168.1.100 20 interface Dialer0 20
ip nat inside source static tcp 192.168.1.100 21 interface Dialer0 21
//将局域网内某PC的80/20/21端口映射到公网上!
ip nat inside source list NAT interface FastEthernet0/0
!
!
说明:1、如果公网ip想(通过公网ip/路由器外网口ip)连接到局域网的私网ip上,只需要在正常NAT的基础上加上静态端口映射即可! 如,开放http服务是:
ip nat inside source static tcp 192.168.1.100 80 interface Dialer0 80
2、如果局域网PC/ip想通过公网ip地址连接到内网的服务器/ip地址上,就需要路由器打开特殊NAT功能;依次打开ip nat service privateservice和ip nat outside destina****即可,请参阅上面的配置举例!!
3、 3、特殊NAT在很多网吧都是很有应用前景的!
4、特殊NAT需要特殊版本支持,或者需要将版本升至131Q full!
lexon
2005-07-18, 19:11
如果网吧有两条外线接入(需要配置额外的以太口模块),那么可以使用策略路由来实现!下面这个是两条固定ip接入的例子:
Current configuration:
!
!version 1.3.1Q
service timestamps log date
service timestamps debug date
no service password-encryption
!
username bdcom password 0 bdcom
!
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.252
no ip directed-broadcast
ip nat outside
ip nat local-service icmp enable
ip nat local-service udp enable
ip nat local-service tcp enable
!
interface FastEthernet0/0
ip address 2.2.2.1 255.255.255.252
no ip directed-broadcast
ip nat outside
ip nat local-service icmp enable
ip nat local-service udp enable
ip nat local-service tcp enable
!
interface FastEthernet1/1 //额外增加的以太口,局域网口
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
ip access-group firewall in
ip policy route-map celue //路由器内网口启用策略路由
ip nat inside
!
interface Async0/0
no ip address
no ip directed-broadcast
!
!
gateway-cfg
Gateway keepAlive 60
shutdown
!
!
ip access-list standard NAT1 //两个NAT访问列表相同,但是必须要2个
permit 192.168.1.0 255.255.255.0
!
ip access-list standard NAT2 //两个NAT访问列表相同,但是必须要2个
permit 192.168.1.0 255.255.255.0
!
ip access-list standard CL1 //将局域网分成两组,1
permit 192.168.1.0 255.255.255.128
!
ip access-list standard CL2 //将局域网分成两组,2
permit 192.168.1.128 255.255.255.128
!
ip access-list extended firewall
deny tcp any any eq 135
deny tcp any any eq 139
deny tcp any any eq 445
deny tcp any any eq 3333
deny tcp any any eq 593
deny udp any any eq 135
deny udp any any eq tftp
deny udp any any eq 4444
deny udp any any eq 137
deny udp any any eq 138
permit ip any any
!
!
route-map celue 1 permit //定义策略组
match ip address CL1 //调用第一个网段
set ip next-hop 1.1.1.2 2.2.2.2 //设置下一跳网关,后者作为前者的备份
!
route-map celue 1 permit //定义策略组
match ip address CL2 //调用第二个网段
set ip next-hop 2.2.2.2 1.1.1.2 //设置下一跳网关,后者作为前者的备份
!
ivr-cfg
!
!
ip nat translation max-links all 300
ip nat inside source list NAT1 interface FastEthernet0/0
ip nat inside source list NAT2 interface FastEthernet0/1


说明配置完成之后,局域网的前后两个网段分别优先走第一和第二条外线,在其中一条线出现故障时,能够自动启用另外一条线路作备份!

这里再补充一个两条ADSL(非固定ip)的例子:
注释就免了:
Current configuration:
!
!version 1.3.1S
service timestamps log date
service timestamps debug date
no service password-encryption
!
username AD0000690628 password 0 123456
username AD0751115075 password 0 654321
!
interface Dialer0
ip address negotiated
ip mtu 1492
no ip directed-broadcast
ppp chap hostname AD0000690628
ppp chap password 123456
ip nat outside
ip nat mss
ip nat local-service icmp enable
ip nat local-service udp enable
ip nat local-ser
!
interface Dialer1
ip address negotiated
ip mtu 1492
no ip directed-broadcast
ppp chap hostname AD0751115075
ppp chap password 654321
ip nat outside
ip nat mss
ip nat local-service icmp enable
ip nat local-service udp enable
ip nat local-service tcp enable
!
interface FastEthernet0/0
no ip address
no ip directed-broadcast
pppoe-client Dialer 0
!
interface FastEthernet0/1
no ip address
no ip directed-broadcast
pppoe-client Dialer 1
!
interface Ethernet1/0
ip address 192.168.0.251 255.255.255.0
no ip directed-broadcast
duplex full
ip policy route-map celue
ip nat inside
!
interface Serial0/2
no ip address
no ip directed-broadcast
!
interface Serial0/3
no ip address
no ip directed-broadcast
!
interface Async0/0
no ip address
no ip directed-broadcast
!
!
ip route default Dialer1
ip route default Dialer0
!
!
gateway-cfg
Gateway keepAlive 60
shutdown
!
ip access-list standard cl1
permit 192.168.0.0 255.255.255.128
!
ip access-list standard cl2
permit 192.168.0.128 255.255.255.128
!
ip access-list standard nat0
permit 192.168.0.0 255.255.255.0
!
ip access-list standard nat1
permit 192.168.0.0 255.255.255.0
!
!
route-map celue 1 permit
match ip address cl1
set default interface Dialer0 Dialer1
!
route-map celue 2 permit
match ip address cl2
set default interface Dialer1 Dialer0
!
!
ivr-cfg
!
ip nat translation max-links all 300
ip nat inside source list nat0 interface Dialer0
ip nat inside source list nat1 interface Dialer1
!

注意:由于固定ip接入和ADSL线路接入本身的问题,暂时还无法有效实现一个固定ip接入和一个ADSL接入的混合策略!!
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
中兴交换机日志发送至日志服务器,CISCO设备日志发送到log日志服务器
weixin_33603802的博客
07-31 1929
enconf tclock timezone GMT+8 #设置北京时间exitclock set HH:MM:SS DAY MONTH YEAR #设置当前时间service timestamps debug uptime #开启debug调试模式service timestamps log datetime localtime #开启log日志增加时间戳log on #启动log功...
常用路由器模块线缆及详细介绍
12-15
路由器模块线缆及介绍,适合于各种层次的朋友学习,收藏
路由器网吧常用配置2621为例
weixin_33739646的博客
02-04 179
Router_config#show run Building configuration... Current configuration: ! !version 1.3.1Q service times*****ps log date service times*****ps debug date no service password-encryption ...
华为ppoe配置
_Dong的博客
06-15 1750
client dialer-rule dialer-rule 1 ip permit //允许所有用户 interface Dialer0 link-protocol ppp ppp chap user test ppp chap password cipher test ip address ppp-negotiate dialer user test dialer bundle 1 # interface GigabitEthernet0/0/0 pppoe-client dial-bund.
Service timestamps
weixin_34066347的博客
09-15 1168
默认情况下日志消息不包括日期和时间戳。 service timestamps {debug | log } uptime service timestamps {debug | log } datetime [mesc] [localtime] [show-timezone] [year] debug 参数 在调试输出时包括时间戳 log 参数...
路由器 OSPF 路由汇总配置
小小猪的博客
10-08 3956
实训三十八 路由器 OSPF 路由汇总配置 一、 实验目的 1. 掌握 OSPF 的配置 2. 理解 OSPF 路由汇总的意义 二、 应用环境 在大规模网络中,路由表的非常庞大,降低了转发速度,通常在子网边界做汇总,这样可以减 少路由表的长度。 三、 实验设备 1. DCR-2655 三台 2. 网线两条 五. RA RB RC G0/3 .
博达模块化路由器常用配置(2621为例).pdf
09-30
博达模块化路由器,以2621型号为例,提供了丰富的配置选项,以满足网络管理员在企业或商业环境中的各种需求。以下是对该路由器常用配置的详细解释: 1. **静态端口映射**:静态端口映射是将内部网络(局域网)中的...
博达模块化路由器常用配置(2621为例)[文].pdf
10-13
博达模块化路由器,以2621型号为例,是一种广泛应用在网络环境中的设备,主要用于实现数据包的转发和网络间的连接。这篇文档主要讲解了如何配置这种路由器,以实现静态端口映射和特殊NAT功能,从而允许内部网络与...
常见模块化路由器的分类
08-15
模块化路由器是网络通信中的重要组成部分,它们以其灵活性和可扩展性在企业级网络和骨干网络中占据着核心地位。本文将深入探讨模块化路由器的分类及其特点。 首先,我们根据路由器的性能档次来区分,这通常是根据...
佳讯飞鸿推出FHR2621模块化路由器.pdf
10-09
佳讯飞鸿推出FHR2621模块化路由器.pdf 本文档介绍了佳讯飞鸿推出的FHR2621模块化路由器,讨论了该路由器的架构、功能特点和优势。下面是相关知识点的总结: 一、MSR主要拓扑结构与系统组成 MSR主要拓扑结构包括三...
路由器NAT回流实施
weixin_34129696的博客
09-11 1327
此文原载于本人百度博客:http://hi.baidu.com/oldfile 刚才主任让我配置一下路由器,好使我们的校内也能通过域名访问,本校的主页。原来我们的主页在校外可以通过域名访问,而在校内却只能通过IP地址。因为,我在配置NAT的时候,没有发现内网不能访问,所以这个问题一直到今天才迫切需要解决,呵呵,现在得以解决了。 输入以下两条新命令【便可以搞...
博达路由器常见功能教学11
weixin_33790053的博客
01-04 492
宽带接入应用的核心-NAT配置模版 近期论坛中很多用户都在询问关于NAT的相关配置和问题,事实上,这也是绝大多数宽带接入用户会面临的问题。 注:虽然我们后来提供的1705等宽带路由器是可以通过Web界面来设置的,但本帖还是以CLI命令行来说明问题。 配置模版: NAT的配置分为四段: 1、指定接口 通常需要至少两个以太网接口,分别设定为inside...
博达路由器上实现端口映射
10-29 1004
    加入三句 实现端口映射,让内网的机子的某服务可以被外网访问.    先config,然后    ip nat service privateservice    ip nat translation max-entries 300    做映口映射    ip nat inside source static tcp 内网IP 5555 interface FastEthernet
路由器常用NAT命令
weixin_33869377的博客
03-03 951
路由器常用NAT命令 在外网通过公网IP访问 静态映射: 在全局模式下:ip nat inside source static 服务器IP 公网IP 例:ip nat inside source static 192.168.1.1 202.108.33.34 端口映射:ip nat inside sou...
cisco 路由器时间戳service timestamps
weixin_33698043的博客
07-02 2838
默认情况下日志消息不包括日期和时间戳。 service timestamps {debug | log } uptime service timestamps {debug | log } datetime [mesc] [localtime] [show-timezone] [year] debug 参数 在调试输出时包括时间戳 log...
路由器简介以及基本的配置
不见风雨怎能见彩虹
11-03 3212
1、路由器简介 路由器:是一台特殊的计算机,有自己的CPU,MEMORY,IOS等。(CPU可能多个,每个模块有一个,无DISK。靠内存存储)。无输入,输出设备,通过外接键盘,显示器进行配置路由器的用途: (1)连接异构网络(广域网接入) (2)网络间路径选择(路由) (3)屏蔽广播,给网络分段(划分子网) 2、路由器的组成 CPU:执行程序,负责路由器的运转。 R...
PPPOE拨号下MTU设置
热门推荐
积累与分享
02-14 3万+
<br />由于以太网传输电气方面的限制,每个以太网帧都有最小的大小64bytes最大不能超过1518bytes,对于小于或者大于这个限制的以太网帧我们都可以视之为错误的数据帧,一般的以太网转发设备会丢弃这些数据帧。(注:小于64Bytes的数据帧一般是由于以太网冲突产生的“碎片”或者线路干扰或者坏的以太网接口产生的,对于大于1518Bytes的数据帧我们一般把它叫做Giant帧,这种一般是由于线路干扰或者坏的以太网口产生)<br />以太网帧长范围为64-1518。这是由以太网的物理特性决定的,以太网中的
cisco 交换机设置时区、时间、同步日志本地时间等操作
jibing57的学习摘录
05-21 6249
转自: http://blog.chinaunix.net/uid-12427199-id-2745041.html Core-Switch-1#show clock Core-Switch-1#show ntp status Core-Switch-1#conf t Core-Switch-1(config)# clock timezone GMT +8 Core-Switch-1
路由器配置详解:常用命令与操作系统结构
路由器系统管理中,配置是至关重要的一步,它涉及到路由器的基本信息设置和网络连接的初始化。本文主要介绍了路由器的几种常见配置方法: 1. **终端或串口配置**:通过路由器的console接口,用户可以直接通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值