我实际上有一个1800configuration如下。 这个configuration运行良好,所有需要的路由和端口发布都在运行。
分配给接口的Ip:
int ATM0.1:aaaa pointtopoint地址
int VLAN1:192.168.39.247(内部networking地址)作为第二地址
int VLAN1:bbbb公共IP地址
其实内部networking连接到Eth6
interface FastEthernet0 no ip address duplex auto speed auto ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto ! interface ATM0.1 point-to-point ip address aaaa 255.255.255.252 ip nat outside ip virtual-reassembly no snmp trap link-status pvc 8/35 oam-pvc manage oam retry 5 5 1 encapsulation aal5snap ! ! interface Vlan1 ip address 192.168.39.247 255.255.255.0 secondary ip address bbbb 255.255.255.252 ip nat inside ip virtual-reassembly ip tcp adjust-mss 1452 hold-queue 100 out ! ip route 0.0.0.0 0.0.0.0 ATM0.1 ! ! no ip http server no ip http secure-server ip nat inside source list 1 interface Vlan1 overload ip nat inside source static tcp 192.168.39.225 22 interface Vlan1 222 ip nat inside source static tcp 192.168.39.225 443 interface Vlan1 443 ip nat inside source static tcp 192.168.39.225 80 interface Vlan1 80 ! logging trap notifications logging 192.168.39.214 access-list 1 permit 192.168.39.0 0.0.0.255 学习文档我发现其他可能的configuration来完成相同的结果,所以我想知道什么是最正确的,为什么。 我的疑问是关于哪个是最正确的接口使用。
1)将公有IP地址(bbbb)分配给不同的接口,而不是将其分配为vlan1接口上的辅助地址
2)可能使用公共或专用ip的回送接口
3)私有IP可能使用eth0
4)可能使用一个eth(1-8)作为私有ip。 这些接口不能分配Ip,因为是第2层。必须使用vlan或loopback才能使用这些接口?
我同意@ RonMaupin的评论,即二次寻址不太理想。
就我个人而言,我将公共地址bbbb分配给一个回送接口,而不是一个255.255.255.255掩码。
在某些情况下,您甚至可能不需要为接口分配IP地址(如果您只将它用于NAT),因为您通常可以直接在NAT命令中使用IP地址。
即dynamicNAT,你可以这样做:
ip nat pool public-ip bbbb bbbb prefix-length 32 ip nat inside source list 1 pool public-ip overload
而对于静态端口NAT,你可以这样做:
ip nat inside source static tcp 192.168.39.225 22 bbbb 222 ip nat inside source static tcp 192.168.39.225 443 bbbb 443 ip nat inside source static tcp 192.168.39.225 80 bbbb 80
但说实话,我不确定你是否可以合并上面的两个部分。 如果你尝试,让我知道如果它的作品,我会更新这个答案。
请注意,如果您保留分配给某个接口(任何接口)的IP地址,那么路由器也将在该地址上侦听任何启用的服务(telnet,SSH,SNMP等),因此您可能需要在ATM0上放置一个ACL .1接口限制对aaaa和bbbb的访问
Cisco 1800是一个ISR路由器系列,因此它包含几种[types]接口:
最后两种types通常在交换机中遇到(在较大路由器的交换机模块中),所以所有交换机技术都适用于它们。
基本上使用以下方法:
你把广域网链路连接到一个广域网端口(如果你真的没有ADSL的select),并configuration这个接口(这实际上是普通的路由器方法 )。
您将局域网连接连接到任何交换机端口,并将VlanX接口configuration为内部。 这是常规的开关方法 ? 当您使用启用了L3的交换机作为路由器时。
当您有多个WAN链路时,将其连接到交换机端口,为数据库添加更多vlan,添加更多VlanX接口以处理其stream量,并使用switchport mode access命令将相应的交换机端口configuration为访问端口 。
还有其他的复杂性和方法来解决它们,但是恐怕这些超出了这个答案的范围。
从我所看到的,你可能有一个公共IP设置为LAN接口上的辅助。 艰难的这似乎是一个工作configuration,这确实是一个错误。 看起来你有一个错误连接的广域网。 如果我是对的,这会影响到你的内部networking,因为它把你的广域网上行链路放在同一个l2域中。 这为任何types的networking欺诈和/或未经授权的访问打开了各种可能性。