上一篇
路由器虚拟主机配置文件
器虚拟主机配置文件用于设置不同域名或IP对应的站点,通常含多个 server 块,每个块定义一个
虚拟主机的相关参数
基础配置参数
| 参数名称 | 作用说明 | 示例值/格式 | 备注 |
|---|---|---|---|
hostname |
设置设备的主机名(便于识别和管理) | R1 | 建议使用有意义的名称,避免默认通用名 |
interface GigabitEthernet0/0 |
定义物理接口属性 | ip address 192.168.1.1 255.255.255.0;no shutdown | 需与实际连接的网络段匹配;no shutdown确保接口激活 |
ip routing |
启用三层路由功能(关键!否则仅作为二层交换机) | 必须全局配置,否则无法转发不同网段的流量 | |
default-gateway |
指定设备的默认网关(指向上级网络的出口) | 168.1.254 | 通常为运营商或核心交换机的IP地址 |
静态路由配置(常用场景)
| 目标网络 | 子网掩码 | 下一跳地址/接口 | 适用场景举例 |
|---|---|---|---|
| 0.0.0/24 | 255.255.0 | 168.1.2(或GigabitEthernet0/1) | 连接内网A与B两个独立子网时的互通需求 |
| 16.1.0/24 | 255.255.0 | GigabitEthernet0/2 | 分支机构通过专线接入总部网络的场景 |
| 0.0.0/0 | 168.1.254 | 所有未明确匹配的流量统一由此网关转发(默认路由) |
注:静态路由需手动维护,适合网络结构稳定的环境;若网络变化频繁(如动态IP分配),建议改用动态路由协议(如OSPF、RIP)。
DHCP服务设置(自动分配IP)
| 功能项 | 说明 | |
|---|---|---|
network 192.168.1.0/24 |
指定可分配的地址池所属网段 | 需与接口IP同一子网 |
excluded-address 192.168.1.1 |
排除不参与自动分配的特殊地址(如网关、服务器) | 避免关键设备因IP冲突导致服务中断 |
default-router 192.168.1.1 |
为客户机设置默认网关 | 确保客户端能访问外部网络 |
dns-server 8.8.8.8 |
指定DNS解析服务器 | 支持多组DNS,用空格分隔(例:8.8.8.8 114.114.114.114) |
lease 3600 |
租约时长(秒),建议设置为较短周期以便及时回收失效地址 | 过长可能导致IP资源浪费,过短会增加客户端重连频率 |
NAT转换规则(内外网互通)
| 类型 | 源区域 | 目的区域 | 映射方式 | 典型应用 |
|---|---|---|---|---|
| 静态NAT | inside | outside | 一对一固定端口映射 | 对外发布内部Web服务器(HTTP→80) |
| 动态NAT(PAT) | inside | outside | 多对一共享公网IP | 办公室多用户同时上网(私网→公网) |
| 端口转发 | inside特定端口→outside指定端口 | 实现特殊服务穿透防火墙 | 远程桌面RDP(3389)、FTP上传(21)等 |
示例:将内网服务器192.168.1.100的80端口映射到公网202.100.1.1的8080端口ip nat inside source static tcp 192.168.1.100 80 interface GigabitEthernet0/0 8080
访问控制列表(ACL)安全策略
| ACL编号/名称 | 动作(permit/deny) | 协议类型 | 源地址范围 | 目的地址范围 | 端口条件 | 应用场景 |
|---|---|---|---|---|---|---|
| access-list 101 | deny | tcp | any | any | eq smtp | 禁止外部主机主动发起邮件传输 |
| access-list 102 | permit | udp | 168.1.0/24 | host 10.0.0.5 | range 1024 65535 | 允许内网用户访问外部DNS服务器 |
| access-list 103 | deny | icmp | any | any | echo-request | 阻止PING探测,增强基础防护 |
应用示例:在接口入方向绑定ACL以过滤流量ip access-group 101 in(应用于GigabitEthernet0/0接口)
QoS流量优先级管理
| 队列类型 | 匹配条件 | 带宽保证率% | 丢包策略 | 适用业务 |
|---|---|---|---|---|
| priority queue | dscp value=EF (46) | 100 | never drop | VoIP语音通话 |
| custom queue | protocol=tcp; port=443 | 70 | tail drop | HTTPS加密网页浏览 |
| best effort | default | fifo | 普通文件下载 |
配置命令参考:class-map match-all SSL-TRAFFICmatch protocol tcpmatch port 443policy-map QOS-POLICYclass SSL-TRAFFICpriority percent 70
常见问题与解答
Q1:配置了静态路由但跨网段仍然无法通信,可能是什么原因?
A:需检查三点:①双方接口是否都处于up状态(执行show interface status确认);②子网掩码是否正确(特别是目标网络的掩码需与对方设备一致);③是否存在ACL拦截了相关流量(使用show access-lists查看是否有拒绝规则),若目标网络是10.0.0.0/24,但错误配置为/32,则会导致路由条目无效。
Q2:内网用户获取不到DHCP分配的IP,如何排查?
A:按顺序验证:①DHCP服务是否启用(show running-config | include ip helper);②排除地址是否误包含可用IP(检查excluded-address范围);③客户端是否发送了DHCP请求(抓包工具如Wireshark监测DHCP Discover报文);④VLAN划分是否正确(若接口属于多个VLAN,需确保DHCP中继配置正常),常见错误是将网关IP设置在排除范围内
