原文2005年9月1日写在MSN SPACE上
几天来心情烦。公司精编人员,精成只有本人一个人做事了。钱没加,工作量到要加,这是什么世道啊。也好,把别人留下的遗产给整理一下。发现了一台CISCO路由器,学习一下吧。这CISCO认证不是很吃香吗。看了一天,哈,差不多懂了一半。再看几天我也能去跳槽了,朋友需要用人的请回话啊,本人正在等饭吃。
以下是为公司在CISCO上写的,不是为了路由,而是为了比较实用的NAT与访问表管理。机上有两个端口,分别为向外的Ethernet0/0与向内的Ethernet0/1。
! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname isgod <--本机名 ! boot system flash no logging buffered enable secret 5 $1$x178$CakJRLZIrFmpnfA2gv0jX1 ! ip subnet-zero ! interface Ethernet0/0 <--向外端口 ip address 111.111.111.20 255.255.255.0 <--端口IP ip nat outside <--表记向外NAT ! interface Ethernet0/1 <--向内端口 ip address 192.168.101.3 255.255.254.0 secondary <--端口的第二个IP,可设多个 ip address 192.168.101.1 255.255.254.0 <--主IP ip nat inside <--表记向内NAT ! ip nat translation tcp-timeout 1200 <-当客户端多时,加上此句(20分钟关闭tcp端口)否则端口满时,有些会连不上。缺省为24小时 ip nat pool nat-1 111.111.111.20 111.111.111.20 netmask 255.255.255.0 <--设置一个公网上的IP池,在这里只有一个公用IP,它的别名为nat_1。 ip nat inside source list 100 pool nat-1 overload <--对内端口使用NAT,并使用访问表1 ! 注意如果只有一个对外的IP,以上两行也可用此行代替:ip nat inside source list 100 interface Ethernet0/0 overload ip classless ip route 0.0.0.0 0.0.0.0 111.111.111.11 <--缺省路由 no ip http server <--不提供机上的HTTP服务 ! !设端口输入时运用扩展访问表组,组号100。普通访问表组为1-99,扩展的为100-199。两者区别为扩展的能使用端口号 access-list 100 permit ip 192.168.100.32 0.0.0.7 any <-- 对访问表100,192.168.100.32后8个地址向外能访问 access-list 100 permit tcp 192.168.100.0 0.0.1.255 any eq www <-- 192.168.100.0/23能访问HTTP access-list 100 permit tcp 192.168.100.0 0.0.1.255 any range ftp-data smtp <--能访问FTP,发邮件等,端口20-25 access-list 100 permit tcp 192.168.100.0 0.0.1.255 any eq pop3 <--能收邮件 access-list 100 permit tcp 192.168.100.0 0.0.1.255 any eq 443 <--能HTTPS access-list 100 permit udp 192.168.100.0 0.0.1.255 any eq domain <--能DNS access-list 100 permit icmp 192.168.100.0 0.0.1.255 any <--能对外PING ! line con 0 password XXXX login transport input none line aux 0 line vty 0 4 password XXXX login ! end
2007.10.10修改,关于这个路由器的流量控制,以后再添上。 下面是常用语句: show run show ip nat translations [verbose] show ip nat statistics