Cisco маршрутизатор нет интернета

Cisco маршрутизатор нет интернета

Сообщения: 73
Благодарности: 2

так вроде работает!
фильтры пока не настраивал

username xxxxx privilege 15 secret xxxxx

interface Fa 4
ip address 192.168.1.1 255.255.255.0
no shutdown

interface Vlan 1
ip address 192.168.0.1 255.255.255.0
no shutdown

interface Fa 0
switchport access vlan 1
no shutdown

ip route 0.0.0.0 0.0.0.0 192.168.1.2

ip access-list standard ACL1
permit 192.168.0.0 0.0.0.255

interface Vlan 1
ip nat inside

interface Fa 4
ip nat outside

ip nat inside source list ACL1 interface fa4

ip domain-lookup
ip dns server
ip name-server 8.8.8.8
ip name-server 8.8.4.4

Последний раз редактировалось TwoThrones, 27-10-2017 в 09:11 . Причина: Изменена конфигурация

Сообщения: 498
Благодарности: 44

R1(config)#ip access-list ext INTERNET_IN R1(config-ext-nacl)#deny ip any any log R1(config-ext-nacl)#exit R1(config)#ip inspect name EST_REL ftp R1(config)#ip inspect name EST_REL tcp router-traffic R1(config)#ip inspect name EST_REL udp router-traffic R1(config)#ip inspect name EST_REL icmp router-traffic R1(config)#ip inspect audit-trail R1(config)#int fa4 R1(config-if)#ip access-group INTERNET_IN in #закрываешь весь трафик извне R1(config-if)#ip inspect EST_REL out #открываешь пакеты со state ESTABLISHED и RELATED

«log» в «deny ip any any log» и audit-trail — опционально. router-traffic включает инспекцию трафика и учет сессий не только проходяшего трафика, но и трафика, сгенерированного маршрутизатором.
Если потребуется добавить другой протокол — просто добавите в ту же политику (EST_REL).
Если ip inspect в вашей модели/версии ios не поддерживается, то для организации stateful fw можно посмотреть в сторону reflexive acl, хотя этот механизм громоздкий и неудобный. Однако, в 800 серии, вроде, CBAC (ip inspect) есть.

Последний раз редактировалось nokogerra, 28-10-2017 в 20:18 .

Сообщения: 1
Благодарности: 0

Всем доброго времени. Есть cisco 871. Не могу настроить.. собственно, провайдер дает адрес по DHCP, никаких особых заморочек.. маршрутизатор сбросил до заводских настроек «erase startup-config».. Настраиваю vlan1 , настраиваю и поднимаю wan, nat. на морде включается линк wan, то есть интернет есть.. но на vlan его нет.. Помогите разобраться, подправить конфиг. С cisco впервые.

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
!
resource policy
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.100
ip dhcp excluded-address 192.168.1.200 192.168.1.254
!
ip dhcp pool lan
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1 8.8.8.8
domain-name yandex.ru
!
!
ip name-server 77.88.8.8
!
!
!
username a%%%% privilege 15 secret 5 $1$tK22$Cbk07kb/0R49v4UFmYRRK0
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list nat interface FastEthernet4 overload
!
ip access-list extended nat
permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
—More—
*May 19 08:50:34.845: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern
et4, changed s! p
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

vaca#
vaca#
vaca#
vaca#
vaca#
vaca#
vaca#
*May 19 08:50:39.965: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern
et4, changed state to down

Источник

Cisco маршрутизатор нет интернета

Сообщения: 73
Благодарности: 2

так вроде работает!
фильтры пока не настраивал

username xxxxx privilege 15 secret xxxxx

interface Fa 4
ip address 192.168.1.1 255.255.255.0
no shutdown

interface Vlan 1
ip address 192.168.0.1 255.255.255.0
no shutdown

interface Fa 0
switchport access vlan 1
no shutdown

ip route 0.0.0.0 0.0.0.0 192.168.1.2

ip access-list standard ACL1
permit 192.168.0.0 0.0.0.255

interface Vlan 1
ip nat inside

interface Fa 4
ip nat outside

ip nat inside source list ACL1 interface fa4

ip domain-lookup
ip dns server
ip name-server 8.8.8.8
ip name-server 8.8.4.4

Последний раз редактировалось TwoThrones, 27-10-2017 в 09:11 . Причина: Изменена конфигурация

Сообщения: 498
Благодарности: 44

R1(config)#ip access-list ext INTERNET_IN R1(config-ext-nacl)#deny ip any any log R1(config-ext-nacl)#exit R1(config)#ip inspect name EST_REL ftp R1(config)#ip inspect name EST_REL tcp router-traffic R1(config)#ip inspect name EST_REL udp router-traffic R1(config)#ip inspect name EST_REL icmp router-traffic R1(config)#ip inspect audit-trail R1(config)#int fa4 R1(config-if)#ip access-group INTERNET_IN in #закрываешь весь трафик извне R1(config-if)#ip inspect EST_REL out #открываешь пакеты со state ESTABLISHED и RELATED

«log» в «deny ip any any log» и audit-trail — опционально. router-traffic включает инспекцию трафика и учет сессий не только проходяшего трафика, но и трафика, сгенерированного маршрутизатором.
Если потребуется добавить другой протокол — просто добавите в ту же политику (EST_REL).
Если ip inspect в вашей модели/версии ios не поддерживается, то для организации stateful fw можно посмотреть в сторону reflexive acl, хотя этот механизм громоздкий и неудобный. Однако, в 800 серии, вроде, CBAC (ip inspect) есть.

Последний раз редактировалось nokogerra, 28-10-2017 в 20:18 .

Сообщения: 1
Благодарности: 0

Всем доброго времени. Есть cisco 871. Не могу настроить.. собственно, провайдер дает адрес по DHCP, никаких особых заморочек.. маршрутизатор сбросил до заводских настроек «erase startup-config».. Настраиваю vlan1 , настраиваю и поднимаю wan, nat. на морде включается линк wan, то есть интернет есть.. но на vlan его нет.. Помогите разобраться, подправить конфиг. С cisco впервые.

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
!
resource policy
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.100
ip dhcp excluded-address 192.168.1.200 192.168.1.254
!
ip dhcp pool lan
import all
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.1 8.8.8.8
domain-name yandex.ru
!
!
ip name-server 77.88.8.8
!
!
!
username a%%%% privilege 15 secret 5 $1$tK22$Cbk07kb/0R49v4UFmYRRK0
!
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
!
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list nat interface FastEthernet4 overload
!
ip access-list extended nat
permit ip 192.168.1.0 0.0.0.255 any
!
!
!
!
—More—
*May 19 08:50:34.845: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern
et4, changed s! p
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
!
scheduler max-task-time 5000
end

vaca#
vaca#
vaca#
vaca#
vaca#
vaca#
vaca#
*May 19 08:50:39.965: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern
et4, changed state to down

Источник

Как настроить интернет на коммутаторе / маршрутизаторе Cisco для небольшой офисной сети

Рассмотрим, как настроить интернет на коммутаторе / маршрутизаторе Cisco для небольшой офисной сети. Самыми необходимыми для нормальной работы сети офиса являются настройки маршрутизации, коммутации, IP-адресации DHCP, трансляции сетевых адресов NAT (IP Masquerade), проброса (перенаправления) портов (port forwarding).

Топология

Исследуемая топология состоит из одного коммутатора Cisco Catalyst 2960 с операционной системой Cisco WS-C2960-24TT-L с ОС Cisco IOS Release 15.0(2)SE4 (образ C2960-LANBASEK9-M) и одного маршрутизатора Cisco 2911 с операционной системой Cisco IOS версии 15.6(3)M2 (образ C2900-UNIVERSALK9-M)). Допускается использование других коммутаторов и версий Cisco IOS.

Схема топологии следующая:

Сценарий

В небольшой офисной сети (Small Office Home Office, SOHO) есть локальная сеть (частная сеть) и выход в интернет через одного провайдера. В локальной сети находится сервер, который должен быть доступен из публичной сети. Нужно настроить все самые необходимые службы, для того чтобы у пользователей сети был доступ в интернет, а у пользователей из интернета был доступ к серверу, который находится в локальной сети (имеет частный адрес).

Задачи

1. Построение сети и проверка соединения.
2. Настройка базовых параметров коммутатора и маршрутизатора.
3. Настройка сервисов (маршрутизации, коммутации, IP-адресации DHCP, трансляции сетевых адресов NAT (IP Masquerade), проброса (перенаправления) портов (port forwarding)).

Настройки базовых параметров коммутатора и маршрутизатора после выполнения Части 2

Настроим подключение по SSH:

Настройки маршрутизатора после выполнения Части 3

Настроим адресацию на интерфейсах маршрутизатора:

Настроим NAT на маршрутизаторе:

На современных IOSах доступны настройки новой функции — виртуального интерфейса NAT (NAT virtual interface, NVI), — которая устраняет необходимость настройки интерфейса как внутреннего, так и внешнего.

На одном из компьютеров во внутренней сети развернут веб-сервер, и ему присвоен статический адрес.

Для того чтобы http-запросы проходили из внешней сети на веб-сервер, необходимо на маршрутизаторе R1 сделать следующие настройки:

Настроим службу DHCP для внутренней сети:

Источник