常见OSPFNATRIPDHCP静态路由配置命令#.docx

1、常见OSPFNATRIPDHCP静态路由配置命令#配置启动OSPFv3路由协议步骤1: 在系统视图下使能IPv6协议undo ipv6步骤2: 配置OSPFv3协议并指定Router ID。在系统视图下配置OSPFv3协议 undo ospfv3 process-id在OSPFv3视图下配置Router ID undo router-id router-id步骤3: 在接口视图使能OSPFv3 undo ospfv3 process-id area area-id instance instance-id 接口Cost配置命令 undo ospfv3 cost cost-value 优先级配置

2、命令 undo ospfv3 dr-priority priority DD协商忽略MTU命令 undo ospfv3 mtu-ignore 接口上的Timer配置命令 undo ospfv3 timer hello interval undo ospfv3 timer dead interval undo ospfv3 timer retransmit interval静态绑定地址典型配置举例1. 组网需求Router B和Router C分别作为DHCP客户端和BOOTP客户端，从DHCP服务器Router A获取静态绑定的IP地址、域名服务器、网关地址等信息。其中： Router B上E

3、th1/1接口的客户端ID为：3030-3066-2e65-3230-302e-3030-3032-2d45-7468-6572-6e65-7430-2f30； Router C上Eth1/1接口的MAC地址为：000f-e200-01c0。2. 组网图图2-1 静态绑定地址组网图3. 配置步骤(1 配置接口的IP地址 system-viewRouterA interface ethernet 1/1RouterA-Ethernet1/1 ip address 10.1.1.1 25RouterA-Ethernet1/1 quit(2 配置DHCP服务# 使能DHCP服务。RouterA dh

4、cp enable# 配置DHCP地址池0，采用静态绑定方式为Router B分配IP地址。RouterA dhcp server ip-pool 0RouterA-dhcp-pool-0 static-bind ip-address 10.1.1.5RouterA-dhcp-pool-0 static-bind client-identifier 3030-3066-2e65-3230-302e-3030-3032-2d45-7468-6572-6e65-7430-2f30RouterA-dhcp-pool-0 dns-list 10.1.1.2RouterA-dhcp-pool-0 gat

5、eway-list 10.1.1.126RouterA-dhcp-pool-0 quit# 配置DHCP地址池1，采用静态绑定方式为Router C分配IP地址。RouterA dhcp server ip-pool 1RouterA-dhcp-pool-1 static-bind ip-address 10.1.1.6RouterA-dhcp-pool-1 static-bind mac-address 000f-e200-01c0RouterA-dhcp-pool-1 dns-list 10.1.1.2RouterA-dhcp-pool-1 gateway-list 10.1.1.126(

6、3 验证配置结果配置完成后，Router B和Router C可以从DHCP服务器Router A分别申请到IP地址10.1.1.5和10.1.1.6，并获取相关网络配置参数。通过display dhcp server ip-in-use命令可以查看DHCP服务器为客户端分配的IP地址。2.11.2 动态分配地址典型配置举例1. 组网需求 作为DHCP服务器的Router A为网段10.1.1.0/24中的客户端动态分配IP地址，该地址池网段分为两个子网网段：10.1.1.0/25和10.1.1.128/25； Router A的两个以太网接口，Ethernet1/1和Ethernet1/2的

7、地址分别为10.1.1.1/25和10.1.1.129/25； 10.1.1.0/25网段内的地址租用期限为10天12小时，域名后缀为，DNS服务器地址为10.1.1.2/25，WINS服务器地址为10.1.1.4/25，网关的地址为10.1.1.126/25； 10.1.1.128/25网段内的地址租用期限为5天，域名后缀为，DNS服务器地址为10.1.1.2/25，无WINS服务器地址，网关的地址为10.1.1.254/25。 10.1.1.0/25网段与10.1.1.128/25网段的域名后缀、DNS服务器地址相同，可以只配置10.1.1.0/24网段的域名后缀和DNS服务器地址，10.

8、1.1.0/25网段与10.1.1.128/25网段继承10.1.1.0/24网段的配置。在本例中，建议从Ethernet1/1接口申请IP地址的客户端数目不要超过122个；从Ethernet1/2接口申请IP地址的客户端不要超过124个。2. 组网图图2-2 DHCP组网图3. 配置步骤(1 配置各接口的IP地址 配置DHCP服务# 使能DHCP服务。 system-viewRouterA dhcp enable# 配置不参与自动分配的IP地址DNS服务器、WINS服务器和网关地址）。RouterA dhcp server forbidden-ip 10.1.1.2RouterA dhcp

9、server forbidden-ip 10.1.1.4RouterA dhcp server forbidden-ip 10.1.1.126RouterA dhcp server forbidden-ip 10.1.1.254# 配置DHCP父地址池0的共有属性地址池范围、客户端域名后缀、DNS服务器地址）。RouterA dhcp server ip-pool 0RouterA-dhcp-pool-0 network 10.1.1.0 mask 255.255.255.0RouterA-dhcp-pool-0 domain-name RouterA-dhcp-pool-0 dns-list

10、 10.1.1.2RouterA-dhcp-pool-0 quit# 配置DHCP子地址池1的属性地址池范围、网关、地址租用期限、WINS服务器地址）。RouterA dhcp server ip-pool 1RouterA-dhcp-pool-1 network 10.1.1.0 mask 255.255.255.128RouterA-dhcp-pool-1 gateway-list 10.1.1.126RouterA-dhcp-pool-1 expired day 10 hour 12RouterA-dhcp-pool-1 nbns-list 10.1.1.4RouterA-dhcp-po

11、ol-1 quit# 配置DHCP子地址池2的属性 验证配置结果配置完成后，10.1.1.0/25和10.1.1.128/25网段的客户端可以从DHCP服务器Router A申请到相应网段的IP地址和网络配置参数。通过display dhcp server ip-in-use命令可以查看DHCP服务器为客户端分配的IP地址。2.11.3 自定义选项典型配置举例1. 组网需求DHCP客户端Router B从DHCP服务器Router A获取IP地址和PXE引导服务器地址信息： IP地址所在网段为10.1.1.0/24； PXE引导服务器地址为1.2.3.4和2.2.2.2。DHCP服务器需要通过

12、自定义选项的方式配置Option 43的内容，从而实现为客户端分配PXE引导服务器地址。Option 43和PXE服务器地址列表的格式分别如图1-5和图1-7。DHCP服务器上配置的Option 43选项内容为80 0B 00 00 02 01 02 03 04 02 02 02 02，其中80为子选项类型Sub-option type），0B为子选项长度Sub-option length），00 00为PXE服务器类型PXE server type），02为服务器数目 配置接口Ethernet1/1的IP地址 配置DHCP服务# 使能DHCP服务。 system-viewRouterA dh

13、cp enable# 配置DHCP地址池0。RouterA dhcp server ip-pool 0RouterA-dhcp-pool-0 network 10.1.1.0 mask 255.255.255.0RouterA-dhcp-pool-0 option 43 hex 80 0B 00 00 02 01 02 03 04 02 02 02 02(3 验证配置结果配置完成后，Router B可以从DHCP服务器Router A获取到10.1.1.0/24网段的IP地址和PXE引导服务器地址。通过display dhcp server ip-in-use命令可以查看DHCP服务器为客户端

14、分配的IP地址。私网访问公网典型配置举例1. 组网需求一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网址为10.110.0.0/16，需要实现如下功能： 内部网络中10.110.10.0/24网段的用户可以访问Internet，其它网段的用户不能访问Internet。使用的公网地址为202.38.1.2和202.38.1.3。 对源地址为10.110.10.100的用户按目的地址进行统计，限制用户连接数的上限值为1000，下限值为200，即要求与外部服务器建立的连接数不超过1000，不少于200。2. 组网图图1-5 私网访问公网典型配置组网3. 配置

15、步骤# 配置IP地址池1，包括两个公网地址202.38.1.2和202.38.1.3。 system-viewRouter nat address-group 1 202.38.1.2 202.38.1.3# 配置访问控制列表2001，仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。Router acl number 2001Router-acl-basic-2001 rule permit source 10.110.10.0 0.0.0.255Router-acl-basic-2001 rule denyRouter-acl-basic-2001 quit#

16、 在出接口GigabitEthernet1/2上配置ACL 2001与IP地址池1相关联。Router interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat outbound 2001 address-group 1Router-GigabitEthernet1/2 quit# 配置连接限制策略1，对源地址为10.110.10.100的用户按照目的地址进行统计，限制用户连接数的上限值为1000，下限值为200。Router acl number 2002Router-acl-basic-2002 rule permit sourc

17、e 10.110.10.100 0.0.0.0Router-acl-basic-2002 rule denyRouter-acl-basic-2002 quitRouter connection-limit policy 1Router-connection-limit-policy-1 limit 0 acl 2002 per-destination amount 1000 200Router-connection-limit-policy-1 quit# 配置连接限制策略1与NAT模块绑定。Router nat connection-limit-policy 11.13.2 私网访问公网典

18、型配置举例1. 组网需求一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网址为10.110.0.0/16。通过配置NAT使得仅内部网络中10.110.10.0/24网段的用户可以访问Internet。2. 组网图图1-6 私网访问公网典型配置组网3. 配置步骤# 配置IP地址池1，包括两个公网地址202.38.1.2和202.38.1.3。 system-viewRouter nat address-group 1 202.38.1.2 202.38.1.3# 配置访问控制列表2001，仅允许内部网络中10.110.10.0/24网段的用户可以访问Int

19、ernet。Router acl number 2001Router-acl-basic-2001 rule permit source 10.110.10.0 0.0.0.255Router-acl-basic-2001 rule denyRouter-acl-basic-2001 quit# 在出接口GigabitEthernet1/2上配置ACL 2001与IP地址池1相关联。Router interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat outbound 2001 address-group 1Router-Gigab

20、itEthernet1/2 quit1.13.3 普通内部服务器典型配置举例1. 组网需求某公司内部对外提供Web、FTP和SMTP服务，而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中，内部FTP服务器地址为10.110.10.3/16，内部Web服务器1的IP地址为10.110.10.1/16，内部Web服务器2的IP地址为10.110.10.2/16，内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1/24至202.38.1.3/24三个IP地址。需要实现如下功能： 外部的主机可以访问内部的服务器。 选用202.38.1.1作为

21、公司对外提供服务的IP地址，Web服务器2对外采用8080端口。2. 组网图图1-7 普通内部服务器典型配置组网3. 配置步骤# 进入接口GigabitEthernet1/2。 system-viewRouter interface gigabitethernet 1/2# 设置内部FTP服务器。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp# 设置内部Web服务器1。Router-GigabitEthernet1/2 nat server protoco

22、l tcp global 202.38.1.1 80 inside 10.110.10.1 www# 设置内部Web服务器2。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www# 设置内部SMTP服务器。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtpRouter-GigabitEthernet1/2 quit1.

23、13.4 NAT DNS mapping典型配置举例1. 组网需求某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中，Web服务器地址为10.110.10.1/16，FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1/24至202.38.1.3/24三个合法的IP地址。另外公司在公网有一台DNS服务器，IP地址为202.38.1.4/24。需要实现如下功能： 选用202.38.1.2作为公司对外提供服务的IP地址。 公网用户可以通过域名或IP地址访问内部服务器。 私网用户可以通过域名访问内部服务器。2. 组网图图1-8 NAT DNS

24、 mapping典型配置组网3. 配置步骤 system-viewRouter interface gigabitethernet 1/2# 配置内部Web服务器。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 www# 配置内部FTP服务器。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftpRouter-GigabitEthernet1/2

25、 quit# 配置两条DNS mapping表项：Web服务器的域名对应IP地址202.38.1.2；FTP服务器的域名对应IP地址202.38.1.2。Router nat dns-map domain protocol tcp ip 202.38.1.2 port wwwRouter nat dns-map domain protocol tcp ip 202.38.1.2 port ftpRouter quit4. 验证配置结果# 上述配置完成后，可以用display命令查看DNS mapping的配置情况。 display nat dns-mapNAT DNS mapping info

26、rmation: There are currently 2 NAT DNS mapping(s Domain-name: Global-IP : 202.38.1.2 Global-port: 80(www Protocol : 6(TCP Domain-name: Global-IP : 202.38.1.2 Global-port: 21(ftp Protocol : 6(TCP私网Host A和公网Host B均可通过域名访问私网内的Web服务器，以及通过域名访问私网内的FTP服务器。1.13.5 NAT日志输出至信息中心配置举例1. 组网需求 私网上的Host通过Device A访问

27、公网上的设备Device B； Device A开启NAT转换功能，它对私网用户和公网设备之间往来的报文做NAT转换，并将NAT日志转化成系统日志送到信息中心； 通过查看信息中心的记录，实现对私网用户的监控。2. 组网图图1-9 NAT日志输出到信息中心组网图3. 配置步骤下面只列出了与NAT日志相关的配置，各设备的IP地址及NAT网关NAT功能的配置略。# 设置Device A的NAT日志输出到信息中心。 system-viewDeviceA userlog nat syslog# 在Device A上开启NAT日志功能。DeviceA nat log enable# 通过查看日志缓冲区监视私网用户的访问记录。DeviceA quit dirDirectory of cf:/ 0 -rw- 16850028 Aug 07 2009 04:02:42 mainpack.bin 1 drw- - Aug 07 2005 05:13:48 logfile 2 -rw- 1747 Aug 07 2009 04:05:38 vrpcfg.cfg 3 -rw- 524288 Aug 13 2009 01:27:40 basicbtm.bin