我实际上有一个 1800 配置如下。此配置运行良好,并且所有需要的路由和端口发布均正常运作。
接口的 IP 分配:
int ATM0.1:aaaa 点对点地址
int VLAN1:192.168.39.247(内部网络地址)作为辅助地址
int VLAN1:bbbb 公共 IP 地址
实际上内部网络连接到Eth6
interface FastEthernet0
no ip address
duplex auto
speed auto
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address a.a.a.a 255.255.255.252
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
oam-pvc manage
oam retry 5 5 1
encapsulation aal5snap
!
!
interface Vlan1
ip address 192.168.39.247 255.255.255.0 secondary
ip address b.b.b.b 255.255.255.252
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
hold-queue 100 out
!
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
!
no ip http server
no ip http secure-server
ip nat inside source list 1 interface Vlan1 overload
ip nat inside source static tcp 192.168.39.225 22 interface Vlan1 222
ip nat inside source static tcp 192.168.39.225 443 interface Vlan1 443
ip nat inside source static tcp 192.168.39.225 80 interface Vlan1 80
!
logging trap notifications
logging 192.168.39.214
access-list 1 permit 192.168.39.0 0.0.0.255
通过研究文档,我发现其他可能的配置可以实现相同的结果,因此我想知道哪种配置最正确以及原因。我怀疑哪个接口最合适。
1) 将公共 IP 地址 (bbbb) 分配给不同的接口,而不是将其分配为 vlan1 接口上的辅助地址
2) 可能将环回接口用于公共或私有 IP
3) 可能将 eth0 用于私有 IP
4) 可能将一个 eth (1-8) 用于私有 IP。这些接口无法分配 IP,因为它们是第 2 层。必须使用 vlan 或环回才能使用这些接口吗?
答案1
我同意@RonMaupin 的评论,认为二次寻址并不理想。
我个人会将公共地址 bbbb 分配给环回接口,并使用 255.255.255.255 掩码。
在某些情况下,您甚至不需要将 IP 地址分配给接口(如果您仅将其用于 NAT),因为您通常可以在 NAT 命令中直接使用 IP 地址。
对于动态 NAT,你可以执行以下操作:
ip nat pool public-ip b.b.b.b b.b.b.b prefix-length 32
ip nat inside source list 1 pool public-ip overload
对于静态端口 NAT,您可以执行以下操作:
ip nat inside source static tcp 192.168.39.225 22 b.b.b.b 222
ip nat inside source static tcp 192.168.39.225 443 b.b.b.b 443
ip nat inside source static tcp 192.168.39.225 80 b.b.b.b 80
但说实话,我不确定你是否可以把上面的两个部分结合起来。如果你尝试了,请告诉我它是否有效,我会更新这个答案。
请注意,如果您保留分配给接口(任何接口)的 IP 地址,则路由器还将侦听该地址上的任何启用的服务(telnet、SSH、SNMP 等),因此您可能需要在 ATM0.1 接口上放置一个 ACL,以限制对 aaaa 和 bbbb 的访问
答案2
Cisco 1800 是 ISR 路由器系列,因此它包含几种[类型]接口:
- WAN 接口、ADSL 和以太网
- 交换机端口接口
- 虚拟 LAN 接口。
最后两种类型通常出现在交换机中(或更大路由器的交换模块中),因此所有的交换技术都适用于它们。
基本上采用以下方法:
您将 WAN 链路连接到 WAN 端口(如果是 ADSL,您真的没有选择)并配置此接口(这实际上是常规路由器方法)。
您可以将 LAN 链路连接到任意交换机端口,并将 VlanX 接口配置为内部接口。这是常规切换方法? 当您使用支持 L3 的交换机作为路由器时。
当您有多个 WAN 链路时,您可以将其连接到交换机端口,向数据库添加更多 VLAN,添加更多 VlanX 接口来处理其流量,并将适当的交换机端口配置为接入端口使用
switchport mode access
命令。
还有其他复杂情况和解决方法,但恐怕这些超出了本答案的范围。
据我所知,您可能在 LAN 接口上设置了一个公共 IP 作为辅助 IP。虽然这似乎是一个有效的配置,但这确实是一个错误。看起来您的 WAN 连接错误。如果我没记错的话,这会危及您的内部网络,因为它将其置于与您的 WAN 上行链路相同的 l2 域中。这为任何类型的网络欺诈和/或未经授权的访问提供了各种可能性。