思科路由器作为企业网络的核心设备,其配置上网的能力是网络工程师的基础技能,本文将系统性地介绍如何通过命令行界面(CLI)配置一台思科路由器,使其能够连接到互联网,并为内部网络(LAN)提供网络地址转换(NAT)服务,整个过程将遵循逻辑清晰、步骤分明的原则,旨在为初学者和需要复习的专业人士提供一份详实的参考指南。
前期准备与核心概念
在开始配置之前,确保您已具备以下条件:
配置过程中将涉及几个核心概念:
详细配置步骤
以下配置将以一个典型的场景为例:WAN口使用静态IP地址,LAN口为内部网络提供DHCP和NAT服务。
基本设备配置
进入全局配置模式,进行一些基础安全和管理设置。
Router> enableRouter# configure terminalEnter configuration commands, one per line.End with CNTL/Z.Router(config)# hostname Core-RouterCore-Router(config)# enable secret 5 $1$mERr$vh2aVh4h1qV8mP7pK5wYJ0Core-Router(config)# service password-encryptionCore-Router(config)# ip domain-name mylab.localCore-Router(config)# crypto Key generate rsaThe name for the keys will be: Core-Router.mylab.localChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.How many bits in the modulus [512]: 2048% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]Core-Router(config)# line vty 0 4Core-Router(config-line)# login localCore-Router(config-line)# transport input ssh配置WAN口(外部接口)
假设ISP分配的静态IP信息为:,子网掩码
255.255.252
,网关。
Core-Router(config)# interface GigabitEthernet0/0Core-Router(config-if)# description Connection to ISPCore-Router(config-if)# ip address 203.0.113.10 255.255.255.252Core-Router(config-if)# ip nat outsideCore-Router(config-if)# no shutdownCore-Router(config-if)# exit配置LAN口(内部接口)
为内部网络指定一个私有IP网段,例如
168.1.0/24
。
Core-Router(config)# interface GigabitEthernet0/1Core-Router(config-if)# description Internal LAN NetworkCore-Router(config-if)# ip address 192.168.1.1 255.255.255.0Core-Router(config-if)# ip nat insideCore-Router(config-if)# no shutdownCore-Router(config-if)# exit配置网络地址转换(NAT)
这是实现多台设备共享上网的关键。
配置默认路由
指向ISP的网关,确保所有去往互联网的流量都有明确的下一跳。
Core-Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.9配置DHCP服务(可选)
为内部客户端自动分配网络参数。
Core-Router(config)# ip dhcp pool LAN_POOLCore-Router(dhcp-config)# network 192.168.1.0 255.255.255.0Core-Router(dhcp-config)# default-router 192.168.1.1Core-Router(dhcp-config)# dns-server 8.8.8.8 114.114.114.114Core-Router(dhcp-config)# domain-name mylab.localCore-Router(dhcp-config)# lease 7Core-Router(dhcp-config)# exit保存配置
所有配置都在“运行配置”(running-config)中,重启后会丢失,必须将其保存到“启动配置”(startup-config)中。
Core-Router# endCore-Router# write memoryBuilding configuration...[OK]验证与排错
配置完成后,需要进行验证。
相关问答FAQs
问题1:我的路由器配置完成后,内网PC可以ping通公网IP地址(如8.8.8.8),但无法解析域名(如www.baidu.com),这是什么原因?
解答
:这个问题通常指向DNS(域名系统)配置错误,可能的原因有两点:第一,在路由器的DHCP池配置中,
dns-server
参数填写错误或未填写,请检查该配置是否为您ISP提供的DNS地址或可靠的公共DNS(如8.8.8.8),第二,如果PC是手动配置IP,请确保其“首选DNS服务器”和“备用DNS服务器”地址填写正确,您也可以在路由器上执行
ping www.baidu.com
来测试路由器自身的DNS解析能力,如果路由器也无法解析,请检查路由器是否有指向DNS服务器的路由,或者在全局配置模式下使用
ip name-server 8.8.8.8
命令为路由器自身指定DNS服务器。
问题2:为了安全,我想只允许内网特定IP(如192.168.1.100)访问互联网,其他所有IP都不能上网,该如何配置?
解答
:这需要修改用于NAT的访问控制列表(ACL),当前配置
access-list 10 permit 192.168.1.0 0.0.0.255
允许了整个网段,您需要将其改为更精确的规则,进入全局配置模式,首先删除旧的ACL,然后创建新的:
! 删除旧的ACLCore-Router(config)# no access-list 10! 创建新的ACL,只允许192.168.1.100Core-Router(config)# access-list 10 permit host 192.168.1.100! 注意:NAT规则 ip nat inside source list 10 interface GigabitEthernet0/0 overload 无需更改,因为它引用的是ACL 10这样修改后,只有IP地址为192.168.1.100的设备发出的数据包会被ACL 10匹配,进而被NAT转换并允许访问互联网,其他所有内网设备的数据包因为不匹配NAT规则,无法被转换,自然也就无法通过路由器访问外网了,这是一种简单而有效的基于源IP的访问控制方法。
发表评论