设为首页   锐捷官网
用其他帐号登录:
查看: 4434|回复: 9

[求助] NBR2000路由器设置2段公网IP NAT

[复制链接]

1

主题

6

帖子

29

积分

新手上路

Rank: 1

积分
29
发表于 2015-10-8 15:00:18 | 显示全部楼层 |阅读模式
本帖 * 后由 yfmath 于 2015-10-14 10:30 编辑

公司联通网络,2段公网IP,共10个IP地址,每段都有一个网关,目前网络结构如下图:
2015-10-14_102901.jpg

现在想把服务器组移动三层交换机的位置,路由器里边要怎么设置?求教!
回复

使用道具 举报

197

主题

555

帖子

2772

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
2772
发表于 2015-10-15 21:41:26 | 显示全部楼层
yfmath 发表于 2015-10-15 17:36
问题解决了,谢谢提供帮助的人们!G0/1接口子网掩码太小了,改大点就好了,我直接改成255.255.255.0  并且 ...

太好了~真的要感谢@smshark   你们互加个好友,以后常联系哦~   以后碰到和您一样问题的朋友们也有答疑解惑的地方了!
回复 支持 1 反对 0

使用道具 举报

0

主题

3

帖子

7

积分

新手上路

Rank: 1

积分
7
发表于 2015-10-9 09:03:48 | 显示全部楼层
本帖 * 后由 smshark 于 2015-10-9 09:05 编辑

你可以把服务器群,做成你内网的一个网段,比如192.168.1.0/24,在由器上把内网服务器那几个IP地址做端口映射,或DMZ整机映射,在映射成原公网IP。这样服务器能上公网,公网也能访问服务器群相应的端口。
回复 支持 反对

使用道具 举报

1

主题

6

帖子

29

积分

新手上路

Rank: 1

积分
29
 楼主| 发表于 2015-10-9 11:16:55 | 显示全部楼层
smshark 发表于 2015-10-9 09:03
你可以把服务器群,做成你内网的一个网段,比如192.168.1.0/24,在由器上把内网服务器那几个IP地址做端口映 ...

是的,我知道这样可以实现,关键不知道要在路由器里边怎么设置两段IP地址进行NAT转换,如何设置地址池!有没有这方面的案例?
回复 支持 反对

使用道具 举报

1

主题

6

帖子

29

积分

新手上路

Rank: 1

积分
29
 楼主| 发表于 2015-10-9 11:18:29 | 显示全部楼层
smshark 发表于 2015-10-9 09:03
你可以把服务器群,做成你内网的一个网段,比如192.168.1.0/24,在由器上把内网服务器那几个IP地址做端口映 ...

是的,我知道这个方法可行,但不知道如何在路由器里边进行设置,如何设置两段IP,如何设置地址池,又或者我这个型号的路由器是否支持?
回复 支持 反对

使用道具 举报

0

主题

3

帖子

7

积分

新手上路

Rank: 1

积分
7
发表于 2015-10-10 08:52:09 | 显示全部楼层
NBR2000网关要在这上面的话,可以开子接口比如vlan 10 , 192.168.10.254/24这个做为网关三层交换机与路由器TRUNK连接,服务器接口都做成VLAN 10,服务器要用静态IP不能用动态的,网关就是192.168.10.254。进到路由器端口映射界面,将各个服务器映射成原公网IP。
网关要在三层交换机上,操作一样在交换机上起vlan 10 , 192.168.10.254/24这个做为网关服,务器要用静态IP不能用动态的,网关就是192.168.10.254。路由器上写192.168.10.0的回指路由,进到路由器端口映射界面,将各个服务器映射成原公网IP。
回复 支持 反对

使用道具 举报

1

主题

6

帖子

29

积分

新手上路

Rank: 1

积分
29
 楼主| 发表于 2015-10-14 10:22:18 | 显示全部楼层
smshark 发表于 2015-10-10 08:52
NBR2000网关要在这上面的话,可以开子接口比如vlan 10 , 192.168.10.254/24这个做为网关三层交换机与路由器 ...

NBR2000#show run

Building configuration...
Current configuration : 11146 bytes

!
version 9.17 (building 9)
enable secret level 1 5 $1$Lhrk$uwz2xpyrtyArC5zy
enable secret 5 $1$fCsd$2yv20ByA37wFAuAw
enable password 7 050a1337092610
!
nbr-comm enable
!
permit-server-ip 192.168.17.209
!
!
http update mode auto-update
http update server 0.0.0.0 port 80
http update time daily 0:13
co-operate enable sw-config
no co-operate enable security
sntp enable
sntp interval 120
sntp server rdate.darkorb.net
!
time-range 白天
!
time-range 晚上
!
!
!
!
!
!
route-map ruijie permit 0
match ip address 3101
set ip next-hop 125.46.X.209
!
access-list 3101 deny ip 192.168.1.1 192.168.1.254 any
access-list 3198 deny tcp any any eq 135
access-list 3198 deny tcp any any eq 445
access-list 3198 permit ip any any
access-list 99 permit any
dialer-list 1 protocol ip permit
mirror master lan 0 slave wan 0 all
!
!
!         
service sequence-numbers
service timestamps debug datetime
service timestamps log datetime
no service dhcp
no service password-encryption
!
no ip domain-lookup
ip name-server 202.102.0.0
!
!
!
interface FastEthernet 0/2
ip nat outside
no ip redirects
no ip mask-reply
no ip proxy-arp
no fair-queue
no arp trust-monitor enable
duplex auto
speed auto
bandwidth 2000
!
interface Null 0
!
interface GigabitEthernet 0/0
ip policy route-map ruijie
ip nat inside
ip access-group 3198 in
no ip redirects
no ip mask-reply
no ip proxy-arp
ip address 10.1.1.2 255.255.255.248
arp gratuitous-send interval 1 5
arp trust-monitor enable
duplex auto
speed auto
hold-queue 150 in
hold-queue 150 out
carrier-delay 60
!
interface GigabitEthernet 0/1
ip nat outside
no ip redirects
no ip mask-reply
no ip proxy-arp
ip address 125.46.X.210 255.255.255.248
no arp trust-monitor enable
duplex auto
speed auto
hold-queue 150 in
hold-queue 150 out
carrier-delay 60
bandwidth 100000
!         
ip netflow
ip bandwidth-auto-adjust total-bandwidth inbound 2000 outbound 2000 interface FastEthernet 0/2
ip bandwidth-auto-adjust total-bandwidth inbound 100000 outbound 100000 interface GigabitEthernet 0/1
ip bandwidth-auto-adjust auto-config interface GigabitEthernet 0/1
ip bandwidth-auto-adjust uptight-percent 80 interface GigabitEthernet 0/1
!
ip nat pool nbr_setup_build_pool prefix-length 24
address interface GigabitEthernet 0/1 match interface GigabitEthernet 0/1
address interface FastEthernet 0/2 match interface FastEthernet 0/2
!
ip nat inside source static tcp 192.168.1.152 2202 125.46.X.210 2202 permit-inside
ip nat inside source static tcp 192.168.19.6 3389 125.46.X.195 3389 permit-inside
ip nat inside source static tcp 192.168.17.247 1883 125.46.X.210 1883 permit-inside
ip nat inside source static tcp 192.168.19.249 2209 125.46.X.210 2209 permit-inside
ip nat inside source static tcp 192.168.17.248 1111 125.46.X.210 1111 permit-inside
ip nat inside source static tcp 192.168.20.34 10811 125.46.X.210 10811 permit-inside
ip nat inside source static tcp 192.168.1.156 2206 125.46.X.210 2206 permit-inside
ip nat inside source static tcp 192.168.19.7 9999 125.46.X.210 9999 permit-inside
ip nat inside source static tcp 192.168.19.246 2246 125.46.X.210 2246 permit-inside
ip nat inside source static tcp 192.168.17.251 88 125.46.X.210 88 permit-inside
ip nat inside source static tcp 192.168.17.251 5872 125.46.X.210 5872 permit-inside
ip nat inside source static tcp 192.168.1.154 2204 125.46.X.210 2204 permit-inside
ip nat inside source static tcp 192.168.1.156 8088 125.46.X.210 8088 permit-inside
ip nat inside source static tcp 192.168.1.156 8081 125.46.X.210 8081 permit-inside
ip nat inside source static tcp 192.168.1.156 8080 125.46.X.210 8080 permit-inside
ip nat inside source static tcp 192.168.17.161 11111 125.46.X.210 11111 permit-inside
ip nat inside source static tcp 192.168.19.243 10003 125.46.X.210 10003 permit-inside
ip nat inside source static tcp 192.168.19.244 10004 125.46.X.210 10004 permit-inside
ip nat inside source static tcp 192.168.19.245 10005 125.46.X.210 10005 permit-inside
ip nat inside source static tcp 192.168.19.242 10002 125.46.X.210 10002 permit-inside
ip nat inside source static tcp 192.168.19.247 10001 125.46.X.210 10001 permit-inside
ip nat inside source static tcp 192.168.19.249 8083 125.46.X.210 8083 permit-inside


ip nat inside source static tcp 192.168.19.78 85 125.46.X.210 85 permit-inside
ip nat inside source static tcp 192.168.19.144 8091 125.46.X.210 8091 permit-inside
ip nat inside source static tcp 10.1.1.3 443 125.46.X.210 56670
ip nat inside source static 192.168.19.80 125.46.X.210 permit-inside
ip nat inside source list 99 pool nbr_setup_build_pool
ip nat application qq 1024
ip nat translation per-ip 0.0.0.0 800
ip nat translation udp-timeout 150
ip nat translation icmp-timeout 30
ip nat translation tcp-timeout 600
ip nat translation finrst-timeout 20
ip nat translation dns-timeout 30
arp attacker-detect enable
security anti-wan-attack level high
security anti-lan-attack drop
security anti-igm-dog alarm
security deny wan-ping
no security deny wan-web
route-auto-choose cnc GigabitEthernet 0/1 125.46.X.209
!
ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 125.46.X.209
ip route 172.16.0.0 255.255.0.0 GigabitEthernet 0/0 10.1.1.1
ip route 192.168.0.0 255.255.0.0 GigabitEthernet 0/0 10.1.1.1
!
snmp-server community public ro
line con 0
line vty 0
login
password 7 0121474e3e16
line vty 1
login
password 7 06073a0e261b
line vty 2
login
password 7 154b092c1b25
line vty 3
login
password 7 073f07221c1c
line vty 4
login
password 7 06073a0e261b
!
!
end


帮我看下我路由器设置有问题吗?我配置了映射,为什么没作用 呢?现在路由器WAN口IP是125.46.X.210,ISP分配的IP两段❶ 125.46.X.210-214 网关125.46.X.209 ❷125.46.X.194-198 网关125.46.X.193 子网掩码都是:255.255.255.248    我配置了 * 条映射195端口3389不管用.有几个问题:
1、如果这样配置的话是不是前边接入交换机就不能用了,必须撤掉,光纤收发器出来的网线必须接路由器WAN口!
2、如果195这上IP有服务器在用,在路由器上映射是不是就不管用了
由于生产环境,不能随便断网,请指教!
回复 支持 反对

使用道具 举报

1

主题

6

帖子

29

积分

新手上路

Rank: 1

积分
29
 楼主| 发表于 2015-10-14 11:45:08 | 显示全部楼层
smshark 发表于 2015-10-10 08:52
NBR2000网关要在这上面的话,可以开子接口比如vlan 10 , 192.168.10.254/24这个做为网关三层交换机与路由器 ...

我按上边设置以后,内网可以通过公网IP访问,外网无法访问,是什么情况?
回复 支持 反对

使用道具 举报

197

主题

555

帖子

2772

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
2772
发表于 2015-10-15 10:09:28 | 显示全部楼层
专业、格物致知,赞!@smshark @yfmath   
回复 支持 反对

使用道具 举报

1

主题

6

帖子

29

积分

新手上路

Rank: 1

积分
29
 楼主| 发表于 2015-10-15 17:36:03 | 显示全部楼层
问题解决了,谢谢提供帮助的人们!G0/1接口子网掩码太小了,改大点就好了,我直接改成255.255.255.0  并且公网IP还不可以有服务器使用!已经好了!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则