現有客戶需要使用思科的2811路由器上網，用戶為100M光纖，申請了13個固定IP，IP為58.240.160.2—58.240.160.14, 默認網關是58.240.160.1。内網IP段192.168.1.0，客戶要實現192.168.1.10-192.168.1.20之間的IP可以上網，其餘的不可以。路由器e1/0接口為WAN外網接口，e1/1為LAN内網接口

拓撲圖如下：

Cisco2811#configure terminal

Cisco2811(config)#interface ethernet 1/0 //進入ethernet 1/0接口（該端口直接連接Internet）

Cisco2811(config-if)#ip address 58.240.160.2 255.255.255.240 //設置端口IP//這裡可以使用58.240.160.2-14地址中的任意一個，這裡就用2

Cisco2811(config-if)#full-duplex //設置端口雙工模式為全雙工

Cisco2811(config-if)#no shutdown //啟用端口

Cisco2811(config-if)#interface ethernet 1/1 //進入ethernet 1/1接口（該端口為内部網絡）

Cisco2811(config-if)#ip address 192.168.1.1 255.255.255.0 //設置端口IP

Cisco2811(config-if)#exit

配置訪問列表

Cisco2811(config)#no access-list 1 先取消出廠狀态下的訪問控制列表1

Cisco2811(config)#access-list 1 permit host 192.168.1.10 單獨允許一台主機訪問

Cisco2811(config)#access-list 1 permit host 192.168.1.11

Cisco2811(config)#access-list 1 permit host 192.168.1.12

Cisco2811(config)#access-list 1 permit host 192.168.1.13

Cisco2811(config)#access-list 1 permit host 192.168.1.14

Cisco2811(config)#access-list 1 permit host 192.168.1.15

Cisco2811(config)#access-list 1 permit host 192.168.1.16

Cisco2811(config)#access-list 1 permit host 192.168.1.17

Cisco2811(config)#access-list 1 permit host 192.168.1.18

Cisco2811(config)#access-list 1 permit host 192.168.1.19

Cisco2811(config)#access-list 1 permit host 192.168.1.20

//如果需要允許一個網段訪問命令為：access-list 1 permit 192.168.1.0 0.0.0.255允許192.168.1.0/24的網段訪問

配置動态nat

Cisco2811(config)#interface ethernet 1/0

Cisco2811(config-if)#ip nat outside //設置該端口為nat地址映射的外部接口

Cisco2811(config-if)#interface ethernet 1/1

Cisco2811(config-if)#ip nat inside //設置該端口為nat地址映射的内部接口

Cisco2811(config-if)#exit

Cisco2811(config)# ip nat pool natout 58.240.160.2 58.240.160.14 netmask 255.255.255.240

//定義從ISP供應商哪裡申請到的公網IP地址，這裡定義了一個nat地址池，名稱為"natout",在這個地址池裡所定義的IP地址（58.240.160.2到58.240.160.14）将被内網的用戶任意選擇可用的外網IP上網。如果ISP服務商隻給了一個IP地址（如58.240.160.2），那這裡可以寫成"ip nat pool natout 58.240.160.2 58.240.160.2 netmask 255.255.255.240"

Cisco2811(config)#ip nat inside source list 1 pool natout overload

//将訪問控制列表1與地址池'natout'進行對應式綁定。意思是說所有的"192.168.1.10-192.168.20"内的主機在上網時，它的内網地址都将被轉換為"58.240.160.2-58.240.160.14"中的任意一個外網地址。後面的"overload"則表示如果有多于地址池中定義的地址數量（比如原來有10個用戶上網，他們各自用的外網地址是58.240.160.2、58.240.160.3、58.240.160.4、58.240.160.5、58.240.160.6、58.240.160.7、58.240.160.8、58.240.160.9、58.240.160.10、58.240.160.11）。如果現在突然有30多個用戶上網了，這是就會按照上面的命令執行一個任務，那就是讓多個内網用戶使用同一個外網地址，如果說如果有很多用戶需要上外網就必須加上overload命令，否則将導緻隻能同時允許公網IP地址數的用戶上網。

Cisco2811(config)#ip route 0.0.0.0 0.0.0.0 58.240.160.1

//設置默認網關，即外網IP地址的網關地址為下一跳地址。這樣配置後就可以上網了，但是客戶端必須設置固定IP，配置DNS，如果不配置，因為沒有開啟DHCP服務，所以必須設置固定IP。

配置DHCP

Cisco2811(config)#ip dhcp pool DHCP-test //定義一個DHCP地址池名稱

Cisco2811(dhcp-config)#network 192.168.1.0 //定義DHCP地址池的網絡地址範圍

Cisco2811(dhcp-config)#default-router 192.168.1.1 //設定默認路由（即網關）

Cisco2811(dhcp-config)#dns-server 221.6.4.66 //設定DNS地址（此處為移動的DNS地址）

Cisco2811(dhcp-config)#ip dhcp excluded-address 192.168.1.1 //DHCP動态地址池中需要除去網關的地址，否則網關地址也會被動态分配，從而造成沖突了。

溫馨提示：如果沒有ip的限制，就是單純的整個子網都可以上網，删除那個access-list 1 permit host 192.168.1.10 至access-list 1 permit host 192.168.1.20增加 access-list 1 permit 192.168.1.0 0.0.0.255就可以了。

歡迎關注“運維小哥”，更多幹貨技術文章，不定期更新....

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!