|
1、NBR如何配置自动选路功能(出口双线路以上)?
1)web方式: * 选项 > 接口>自动选路
设备内置了各运营商的地址库,可以根据线路实际所属的运营商,选择线路类型,选择后,相当于下发往该运营商的静态路由,出接口为所选择的接口,下一跳为该线路的网关。
2)命令行方式:route-auto-choose cnii GigabitEthernet 0/1 202.1.1.1
命令行下配置时需要注意一定要要外网网关IP地址,非接口地址。
2、如何在NBR上配置DDNS(动态域名解析)?
DDNS能实现:
1、外网线路是拨号线,外网能够用域名访问路由器;
2、内网有一台服务器需要做映射,在外网可以直接输入申请域名访问到内网的服务器;
注意:目前该款9.X版本的NBR只支持88ip的动态域名解析,新版NBR和EG支持花生壳动态域名解析。
命令配置步骤:
NBR1000(config)#ip domain-lookup
NBR1000(config)#ip name-server 202.101.98.55 ------------------202.101.98.55为DNS服务地址
NBR (config)#ddns 88ip abc-------------------------------------配置在88ip注册的所管理的用户名
NBR(config-ddns)#password 0 abc-----------------------------配置在88ip注册的所管理的密码
NBR(config-ddns)#bind f1/0-------------------------------------关联拨号口
NBR(config)# ip nat inside source static tcp 192.168.1.200 80 interface dialer 0 80
3、NBR如何配置端口映射功能?
端口映射能实现:
内网有一台服务器在外网也能访问到。
(1)WEB方式配置: * 选项-》网络工具-》端口映射 (2)命令行方式配置
NBR2000(config)#ip nat inside source static tcp 192.168.1.200 80 192.168.33.241 80 permit-inside-------内网IP是192.168.1.200,外网接口IP地址
192.168.33.241 ,对应的端口映射:内网口80,外网口80。
注意点:
路由器默认的管理端口是80 ,若要映射80端口,则需要修改路由器的WEB管理端口为非80端口,否则有可能会导致NBR的web从外网登录不了
外网80端口会经常被运营商屏蔽,建议映射到外网端口可以换其他端口,访问时只需在地址后面加上端口即可。
4、NBR路由器的路由优先级情况是什么?
策略路由>静态路由>自动选路>默认路由;
5、端口映射不成功,提示telnet服务器地址和80端口,提示 % Destination unreachable; gateway or host down
telnt 1.1.1.1 80 出现错误提示,则说明服务器没有打开WEB服务,无法连接服务器。
6、配置端口映射后,在外网无法WEB登录管理路由器,可能原因是(之前是可以正常打开)?
1.配置了IP映射后,特别是将服务器的全部端口都映射到路由器的外网接口IP后,外网的访问将被转向内网服务器,所以无法WEB登录管理。
可能的原因是:做了全映射,外网无法管理路由器。
7、是否能将某IP全映射到不同的两个公网IP上
不支持(不支持的主要原因是原理上实现不了,如果外网IP端口已经完全映射到某个公网IP地址,按照这种方式会导致,外网访问内网服务器,数据返回时走错路)
IP映射仅支持映射到某个公网IP,另外一条线路则使用端口映射;
8、NAT的转换的匹配顺序?
匹配顺序为至上而下匹配;
9、permit-inside原理
端口映射仅将数据包的目的IP按端口映射规则转换为对应的私网地址;为了 * 内网用户能使用公网地址来访问映射的服务器,避免来回路径不一致导致TCP三次握手不成功。所以就需要permit-inside的功能,
在进行端口映射时不仅数据包的目的IP按端口映射规则转换为对应的私网地址,同时将数据包的源IP转换为映射的公网IP。
10、如何修改会话连接数
(1) WEB方式: * 选项-》网络工具-》连接数
(2)命令方式: NBR2500(config)#ip nat translation per-ip 0.0.0.0 800 ------------内网所有的IP地址的会话连接数都设置为800
11、动态获得IP时可以在web界面配置反向NAT吗?建议:(反向NAT即为端口映射)
在WEB界面不可以配置动态地址的反向NAT,必须在在命令行下配置:
NBR (config)#ip nat inside source static tcp 192.168.0.4 80 interface dial 0 80 //注意,必须映射dial接口,而非物理接口。
12、主机和WEB服务器都位于同一网段时,主机如何通过域名访问WEB服务器?
(因为客户机通过DNS获得的WEB服务器地址是WEB服务器的公网IP地址,而客户机访问同处于内网的WEB服务器,
需要WEB服务器的内网地址,因此在路由器上配置WEB服务器的静态NAT条目时,增加一个参数:permit-inside。)
举例配置如下: ip nat inside source static 192.168.1.254 123.127.244.77 permit-inside
这样同处于192.168.1.0/24网段的主机就可以通过WEB服务器的域名直接访问WEB服务器了。
//我们分析一下不加perimit-inside ,数据是怎么走的呢
1.内网A访问服务器B时,数据经过路由器的时候,源地址不转换,目的地址转换为服务器B(我们要知道,NAT的优先级哈:端口映射>整机映射>源NAT)
2.数据到了服务器B,需要返回,这时候源地址是服务器B,目的地址是内网A地址,数据到A的时候,A认为没有访问过B,就丢弃了哦
3.permit-inside的作用,参见9---permit-inside的原理哈
13、NBR1200 每秒新建连接数是多少?
1500左右
14、NBR 9.16b3web页面支不支持配置端口映射
不支持,web页面无此选项,需要升级到9.17以上版本或者命令行下配置
15、NBR * 多可以添加多少条端口映射条目?
建议不超过100条,否则会影响NBR性能
16、公网模式加入NAT模式的配置
access-list 10 permit any
相关配置:interface GigabitEthernet 0/0
ip nat inside(内网口配置为ip nat inside)
ip access-group 3198 in
no ip redirects
no ip mask-reply
no ip proxy-arp
ip address 60.195.126.129 255.255.255.0
ip address 192.168.1.1 255.255.255.0 secondary (配置secondary地址作为私网网段的网关)
arp gratuitous-send interval 1 1
arp trust-monitor enable
interface GigabitEthernet 0/1
ip nat outside (外网口配置为ip nat outside)
no ip redirects
no ip mask-reply
no ip proxy-arp
ip address 172.29.1.46 255.255.255.252
no arp trust-monitor enable
duplex auto
speed auto
media-type baset
bandwidth 30000
ip nat pool nat_add prefix-length 24 (配置NAT地址池,用公网地址中的其中一个或一些地址作为NAT地址池)
address 60.195.126.129 60.195.126.129 match interface GigabitEthernet 0/1(match的接口为外网口)
ip nat inside source list 10 pool nat_add 配置NAT地址池与ACL的映射!
13、NBR是否支持PPTP或者L2TP的NAT穿越?
支持
14、NBR拨号口idle-timeout参数如何使用?
当一个端口呼叫建立后,使用dialer idle-timeout命令设定端口空闲时间。使用no dialer idle-timeout命令恢复缺省间隔时间。
当一条链路建立后,idle-timeout 定时起作用。若设定的时间内没有 interesting 数据包从此链路发送,DDR挂断链路;若idle-timeout设定为0,则相应的链路在建立后,将永远不被挂断(即使一直无interesting数据包从此链路发送)。
缺省空闲时间为1200秒。一般建议拨号空闲时间设置小点。
NBR1100E(config)#int dialer 0
NBR1100E(config-if)#d
NBR1100E(config-if)#di
NBR1100E(config-if)#dialer id
NBR1100E(config-if)#dialer idle-timeout ?
<1-2147483> Idle timeout in seconds
NBR1100E(config-if)#dialer idle-timeout 30 | 
发表于 2015-6-1 17:56:48
