博主是个水货
分类: 网络与安全
2014-02-02 22:13:34
一、PPPoE+NAT基础配置
基础拨号上网配置,不做累赘:
!
interfaceDialer0
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer idle-timeout 0
dialer persistent
ppp pap sent-username 【xxxxxx】password 【xxxxxx】
!
interfaceFastEthernet0/0
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1
!
iproute 0.0.0.0 0.0.0.0 Dialer0
!
interfaceFastEthernet0/1
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
ipaccess-list standard NAT
permit 10.0.0.0 0.0.0.255
!
ipnat inside source list NAT interface dialer 0 overload
!
noip dhcp conflict logging
ipdhcp excluded-address x.x.x.x
ipdhcp pool home
network 10.0.0.0 255.255.255.0
default-router 10.0.0.254
dns-server 202.96.134.33 8.8.8.8
lease 3
二、DHCP与DNS优化配置
!!!!一、通过ppp,从ISP获取DNS服务器地址:
interfaceDialer0
ppp ipcp dns request accept
!
!
!
!!!!二、DNS代理转发:
ipdns server
!!!!启用DNS代理功能
!
ipdomain-lookup
ipname-server x.x.x.x
!!!!如果上面配置了从ISP获取DNS服务器地址,可以不用手工指定DNS服务器了
!
ipdhcp pool home
network 10.0.0.0 255.255.255.0
default-router 10.0.0.254
dns-server 10.0.0.254
!!!!注意某些ISP的DNS服务器封杀了DNS代理,这时在路由器上就必须通过ipname-server命令手工指定可用的DNS服务器地址,例如8.8.8.8、114.114.114.114等
!
!
!
!!!!三、DHCP静态(固定)地址分配
ipdhcp pool HTC-One
host 10.0.0.204 255.255.255.0
client-identifier 01e8.99c4.997e.bc
default-router 10.0.0.254
dns-server 10.0.0.254
!
ipdhcp pool ZTE-V960
host 10.0.0.211 255.255.255.0
hardware-address 8474.2adb.00b6
default-router 10.0.0.254
dns-server202.96.134.33 202.96.128.86
!!!!注意设备绑定ip地址的方式有两种,一种是client-id,一种是hardware-address(MAC地址)。如果设备的DHCP请求中带有client-idoption,ios的dhcp服务器就会根据client-id分配固定地址,否则就根据MAC地址分配。
!!!!不同类型的设备或系统,有些会使用client-id有些则不用,目前我没有总结出规律,因此,可以通过debug或抓包来查看你的设备到底是使用何种方式来请求DHCP地址。
!
!
!
!!!!四、在公司用固定IP地址,回到家用DHCP,来回改动很麻烦?
interfaceFastEthernet0/1
ip address 10.0.0.254 255.255.255.0
ip address 10.16.5.88 255.255.255.0secondary
ip address 192.168.107.254255.255.255.0 secondary
ip address 38.38.38.38 255.255.255.0secondary
!!!!接口下加辅助地址解决,回到家中一样可以用公司的固定IP地址了~另外还需要在nat的acl中加入你的固定地址。
三、DDNS
ASDL没有固定IP地址?通过DDNS(动态DNS)解决您的烦恼
一、找一个免费的DDNS提供商(土豪当然可以用付费的),注意该DDNS提供商的更新方式需要是标准的或者是cisco ios支持的。国内知名的花生壳用的是私有的DDNS更新协议,x它妹妹。
以下以国内另一个比较大众的DDNS提供商3322为例:
先到3322的官网注册账号,申请域名,免费的,详细过程不表~
申请完毕后,开配:
!
ipddns update method 3322
HTTP
add http://用户名:密码@/nic/update?system=dyndns&hostname=
!!!!这一段用自己的账号密码替换,其余照打,“?”可以在按ctrl+v后输入
interval maximum 0 0 30 0
!
interfaceDialer0
ip ddns update hostname2611xm.f3322.org
ip ddns update 3322 hostmembers.3322.org
此后,就可以通过域名访问PPPoE动态获取的地址了,公网上也可以通过域名访问内部映射出去的服务了~
四、ipv6隧(fan)道(qiang)
同样,先找一个免费的IPv6服务提供商~
以下以tunnelbroker为例,先到官网注册账号,申请IPv6地址段,找一个延时相对低的服务器,详细过程不表~
IPv6真TM慷慨啊,免费的服务,给了一个/48地址段,一个/64地址段,这里就比全球可用的IPv4地址数量不知多出多少倍了……
申请完毕后,开配:
!
ipv6unicast-routing
ipv6cef
!!!!路由器上启用ipv6
!
interfaceTunnel1
no ip address
ipv6 address 2001:470:C:102C::2/64
tunnel source Dialer0
tunneldestination 66.220.18.42
tunnel mode ipv6ip
!!!!tunnel destination就是你申请的时候选的那个服务器,在tunnelbroker的tunnel详细信息页面中(上面截图)可见
!!!!ipv6 address是固定分配给你的,在tunnel详细信息页面中(上面截图)可见
!
ipv6route ::/0 Tunnel1
!
interfaceFastEthernet0/1
ipv6 address 2001:470:F477::1/64
!!!!分配给你使用的地址段,随便用
ipv6 address FE80::1 link-local
ipv6 dhcp server dhcpv6
!!!!在接口上启用DHCPv6服务,否则光靠ND(默认启用的),客户端只可以获取到ipv6地址
ipv6 nd other-config-flag
!!!!告知客户端可以从DHCPv6服务器获取其他信息
!
ipv6dhcp pool dhcpv6
dns-server 2001:470:20::2
!!!!ipv6的DNS服务器使用服务商提供的,在tunnel详细信息页面中(上面截图)可见
Windows配置,傻瓜式的,将ipv6的勾勾上就行,全自动获取
能上有土鳖了~
五、PPPoE双拨(n拨),在某些ips没有限制的地区,实现带宽最多翻n倍的效果
!
interfaceFastEthernet0/0
pppoe enable group global
pppoe-client dial-pool-number 1
pppoe-clientdial-pool-number 2
!!!!物理接口多关联一个dial-pool(要n拨就关联n个)
!
interfaceDialer0
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer idle-timeout 0
dialer persistent
ppp pap sent-username 【xxxxxx】password 【xxxxxx】
!
interfaceDialer2
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 2
!!!!关联另一个dial-pool,其余配置和第一个dial口一样
dialer idle-timeout 0
dialer persistent
ppp pap sent-username 【xxxxxx】password 【xxxxxx】
!
interfaceFastEthernet0/1
ip address 10.0.0.254 255.255.255.0
ip nat inside
!
iproute 0.0.0.0 0.0.0.0 Dialer0
iproute 0.0.0.0 0.0.0.0 Dialer2
!双默认路由负载均衡
!
ipaccess-list standard NAT
permit 10.0.0.0 0.0.0.255
!
ipnat inside source route-map nat0 interface Dialer0 overload
ipnat inside source route-map nat2 interface Dialer2 overload
!!!!多出口NAT配置
!
route-mapnat2 permit 10
match ip address NAT
match interface Dialer2
!
route-mapnat0 permit 10
match ip address NAT
match interface Dialer0
!
ipnat inside source route-map nat0 interface Dialer0 overload
ipnat inside source route-map nat2 interface Dialer2 overload
两个Dial接口都有数据流通
六、Cisco ezvpn,随时连接回家
!
cryptoisakmp policy 10
encr 3des
authentication pre-share
group 2
!
cryptoisakmp client configuration group home
key 【xxxxxx】
pool ezvpn
acl ezvpn-home
save-password
!
iplocal pool ezvpn 192.168.38.1 192.168.38.15
!
ipaccess-list extended ezvpn-home
permit ip 10.0.0.0 0.0.0.255 any
permit ip host 2.6.1.1 any
!!!!隧道分割列表,定义访问哪里要跑vpn
!
cryptoisakmp profile ezvpn
match identity group home
client authentication list ezvpn
isakmp authorization list ezvpn
client configuration address respond
!
aaaauthentication login ezvpn local
aaaauthorization network ezvpn local
!
username【xxxxxx】password 【xxxxxx】
!
cryptoipsec transform-set ezvpn esp-3des esp-md5-hmac
!
cryptodynamic-map ezvpn 10
set transform-set ezvpn
set isakmp-profile ezvpn
reverse-route
!
cryptomap ipsec-vpn 10 ipsec-isakmp dynamic ezvpn
!
interfaceDialer0
crypto map ipsec-vpn
windows配置:
客户端网上可下,有64bit和32bit的
Host里写vpn服务器的地址,动态地址的可以使用DDNS申请的域名~
Name一定要和isakmpprofile里的group对应
七、使用基于NVI的NAT ——实现内网用户使用“服务器映射出去的公网IP地址”访问内部设备
将内网的设备映射出公网了,却发现在内网不能用公网的ip地址访问你的设备?传统方法可以通过代理dns方式让内网用户通过域名访问解决,这里通过NVI的NAT实现,适应性更广,不管是公网地址和域名都行!
!
interfaceFastEthernet0/1
ip nat enable
!
interfaceDialer0
ip nat enable
!
ipaccess-list standard NAT
permit 10.0.0.0 0.0.0.255
!
ip nat source list NAT interface dialer 0 overload
!!!!内网设备上网,注意没有“inside”关键字了
!
eventmanager applet nvi
!!!!由于某些ios要在dialer口up后配置NVINAT才能生效,因此使用EEM解决。如果使用的ios没有这个“bug”,只需要下面action3那条NAT语句即可,就不需要EEM了
event syslog pattern "InterfaceVirtual-Access2, changed state to up"
action 1 cli command"enable"
action 2 cli command "conft"
action 3 cli command "ip natsource static tcp 10.0.0.253 80 interface dialer0 80"
!!!!自行修改要映射出公网的地址与端口
未完,不知道还会不会续:
一、比任何家用路由器都强大的QoS功能
二、不但是路由器,还是防火墙:Cisco IOS Zone-Base Firewall
三、上网行为管理:全自动的NBAR,还有更强大FPM,FPM可以匹配数据包中每一个bit,手工打造最强大的上网行为过滤器~
