思科 1921 路由器上的单个接口上是否可以有多个 WAN IP?(这是与另一位工程师的实际争论,哈哈)。
据我了解,您需要引入额外的模块或 WIC 才能在 Cisco 1921 上获得更多的 WAN IP(假设内置的两个千兆以太网接口已用完)。
答案1
IP 地址就是 IP 地址。WAN 地址和 LAN 地址之间实际上没有区别。
Cisco 路由器允许您在接口上使用辅助 IPv4 地址。当然,您也可以在接口上同时拥有 IPv4 和 IPv6 地址,并且 IPv6 特别允许甚至要求在接口上使用多个地址。
此外,根据您计算接口的方式,每个物理接口可以有多个子接口,每个子接口都有不同的 IP 地址。使用帧中继时,您可以为同一接口上的不同 DLCI 分配不同的地址。
答案2
简短的回答是肯定的。除非您专门使用多个物理链路,否则您不需要额外的 WIC。如果您使用 1 个物理链路,则可以在一个接口上使用多个公共 IP。
但是,如果不知道您的公共 IP 如何转换为您的内部网络,那么给您明确的指示就会很困难。
您可以使用 WAN 接口上的 NAT 过载以及使用路由映射和 ACL 来确定单个子网的哪些流量流向何处。例如,这是我的 WAN 接口的基本条目,其中 是a.b.c.d来自我的可用池的公共 IP,255.255.255.240是关联的子网掩码。我还在这里使用 ACL 来确定允许哪些流量进入:
interface GigabitEthernet0/0
ip address a.b.c.d 255.255.255.240
ip access-group ACLINCOMING in
这是我为传入流量定义 ACL 的地方,其中,,,a.b.c.d是我的可用池中的不同公共 IP:a.b.c.xa.b.c.ya.b.c.z
ip access-list extended ACLINCOMING
permit tcp any host a.b.c.d eq 22
permit tcp any host a.b.c.d eq telnet
permit tcp any host a.b.c.x eq 443
permit tcp any host a.b.c.x eq www
permit udp any host a.b.c.y isakmp
permit udp any host a.b.c.y eq non500-isakmp
permit tcp any host a.b.c.z eq ftp-data
permit tcp any host a.b.c.z eq ftp
这是主机到公网 IP 定义的基本 NAT 配置,其中a.b.c.x,,a.b.c.y是a.b.c.z我的可用池中的不同公网 IP
ip nat inside source list ACLNATOVERLOAD interface GigabitEthernet0/0 overload
ip nat inside source static 10.10.10.100 a.b.c.x route-map RMAPSTATICNAT
ip nat inside source static 10.10.10.101 a.b.c.y route-map RMAPSTATICNAT
ip nat inside source static 10.10.10.102 a.b.c.z route-map RMAPSTATICNAT
此扩展 ACL 阻止任何内容访问特定主机、和10.10.10.100,除非在 ACLINCOMING ACL 中定义10.10.10.10110.10.10.102
ip access-list extended ACLNATOVERLOAD
deny ip host 10.10.10.100 any
deny ip host 10.10.10.101 any
deny ip host 10.10.10.102 any
permit ip 10.10.10.0 0.0.0.255 any
这条路线图负责翻译
route-map RMAPSTATICNAT permit 10
match ip address ACLSTATICNAT
这允许这些主机使用上面的路由图来路由流量
ip access-list extended ACLSTATICNAT
permit ip host 10.10.10.100 any
permit ip host 10.10.10.101 any
permit ip host 10.10.10.102 any
其他人可能有更好的方法,但这就是我基本设定的。