相关学习文章： 

【中小型企业网络实战案例 一】规划、需求和基本配置 
【中小型企业网络实战案例 二】配置网络互连互通
【中小型企业网络实战案例 三】配置DHCP动态分配地址 
【中小型企业网络实战案例 四】配置OSPF动态路由协议
【中小型企业网络实战案例 五】配置可靠性和负载分担 
【中小型企业网络实战案例 六】配置链路聚合
【中小型企业网络实战案例 七】配置限速

---

配置映射内网服务器

随着业务的发展，内网的WWW服务器和FTP文件服务器不能仅限于内网用户访问，对外也要提供服务，公网和内网用户都要通过公网地址来访问服务器提供的服务。

1.配置内部服务器，使公网用户通过公网地址访问内网服务器。

[Router] interface GigabitEthernet 0/0/0

[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-interface www inside 192.168.50.20 www

Warning:The port 80 is well-known port. If you continue it may cause function failure.

Are you sure to continue?[Y/N]:y

[Router-GigabitEthernet0/0/0] nat server protocol tcp global current-interface ftp inside 192.168.50.10 ftp

[Router-GigabitEthernet0/0/0] quit

2.由于FTP是一个多通道协议，需要在出口路由器使能ALG功能。

[Router] nat alg ftp enable

3.配置内网用户使用公网地址访问内网服务器。

[Router] acl 3333

[Router-acl-adv-3333] rule permit ip source 192.168.10.0 0.0.0.255 destination 203.0.113.0 0.0.0.0

[Router-acl-adv-3333] rule permit ip source 192.168.20.0 0.0.0.255 destination 203.0.113.0 0.0.0.0

[Router-acl-adv-3333] quit

4.在内网接口做NAT转换。

[Router] interface GigabitEthernet 0/0/1

[Router-GigabitEthernet0/0/1] nat outbound 3333

[Router] interface GigabitEthernet 0/0/2

[Router-GigabitEthernet0/0/2] nat outbound 3333

[Router-GigabitEthernet0/0/2] quit

5.分别在内网接口下面做内部服务器映射。

[Router] interface GigabitEthernet 0/0/1

[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface GigabitEthernet 0/0/0 www inside 192.168.50.20 www

[Router-GigabitEthernet0/0/1] nat server protocol tcp global interface GigabitEthernet 0/0/0 ftp inside 192.168.50.10 ftp

[Router-GigabitEthernet0/0/1] quit

内网接口GigabitEthernet0/0/2的配置同上。

配置公网多出口

刚开始企业在运营商只申请了一条链路，随着业务的发展，一条链路不能满足企业的网络带宽，需要在原有链路的基础上再申请一条链路，由原来的单出口改为双出口，对内网不同的网段进行控制让其走指定的链路上网。

配置GigabitEthernet0/0/10通过PPPoE拨号上网。

配置策略路由实现不同网段通过不同运营商上网。

1.配置需要进行NAT的ACL。

[Router] acl 2015

[Router-acl-basic-2015] rule permit source 192.168.10.0 0.0.0.255

[Router-acl-basic-2015] rule permit source 192.168.20.0 0.0.0.255

[Router-acl-basic-2015] quit

2.配置拨号访问控制列表。

[Router] dialer-rule

[Router-dialer-rule] dialer-rule 1 ip permit

[Router-dialer-rule] quit

3.配置拨号接口。

[Router] interface Dialer 0

[Router-Dialer0] ip address ppp-negotiate

[Router-Dialer0] ppp chap user Router

[Router-Dialer0] ppp chap password cipher Router@123

[Router-Dialer0] dialer user user

[Router-Dialer0] dialer bundle 1

[Router-Dialer0] dialer-group 1

[Router-Dialer0] ppp ipcp dns request

[Router-Dialer0] ppp ipcp dns admit-any

[Router-Dialer0] quit

4.配置使用接口IP地址进行NAT转换。

[Router] interface Dialer 0

[Router-Dialer0] nat outbound 2015

[Router-Dialer0] quit

5.配置TCP最大报文段长度为1200，如果使用默认的1460可能会出现访问网站慢的情况。

[Router] interface Dialer 0

[Router-Dialer0] tcp adjust-mss 1200

[Router-Dialer0] quit

6.在连接运营商线路的物理接口启用PPPoE功能。

[Router] interface GigabitEthernet 0/0/10

[Router-GigabitEthernet0/0/10] pppoe-client dial-bundle-number 1

[Router-GigabitEthernet0/0/10] quit

7.配置到公网的缺省静态路由，指定出接口为Dialer 0。

[Router] ip route-static 0.0.0.0 0 Dialer 0

8.配置ACL匹配数据流，需要把内网互访的数据流不要做重定向。

[Router] acl 3000

[Router-acl-adv-3000] rule permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

[Router-acl-adv-3000] rule permit ip source 192.168.20.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

[Router-acl-adv-3000] quit

[Router] acl 3001

[Router-acl-adv-3001] rule permit ip source 192.168.10.0 0.0.0.255

[Router-acl-adv-3001] quit

[Router] acl 3002

[Router-acl-adv-3002] rule permit ip source 192.168.20.0 0.0.0.255

[Router-acl-adv-3002] quit

9.配置流分类c0、c1和c2，分别匹配ACL3000、ACL3001和ACL3002。

[Router] traffic classifier c0

[Router-classifier-c0] if-match acl 3000

[Router-classifier-c0] quit

[Router] traffic classifier c1

[Router-classifier-c1] if-match acl 3001

[Router-classifier-c1] quit

[Router] traffic classifier c2

[Router-classifier-c2] if-match acl 3002

[Router-classifier-c2] quit

10.配置流行为，对内网互访的数据流不做重定向操作，对内网192.168.10.0网段的数据重定向到下一跳1.1.1.1，对内网192.168.20.0网段的数据重定向到出接口Dialer0。

[Router] traffic behavior b0

[Router-behavior-b0] permit

[Router-behavior-b0] quit

[Router] traffic behavior b1

[Router-behavior-b1] redirect ip-nexthop 1.1.1.1

[Router-behavior-b1] quit

[Router] traffic behavior b2

[Router-behavior-b2] redirect interface Dialer 0

[Router-behavior-b2] quit

11.配置流策略，分别将流分类和流行为组合起来。

[Router] traffic policy test

[Router-trafficpolicy-test] classifier c0 behavior b0

[Router-trafficpolicy-test] classifier c1 behavior b1

[Router-trafficpolicy-test] classifier c2 behavior b2

[Router-trafficpolicy-test] quit

12.将流策略应用到出口路由器互联内网交换机的接口。

[Router] interface GigabitEthernet 0/0/1

[Router-GigabitEthernet0/0/1] traffic-policy test inbound

[Router-GigabitEthernet0/0/1] quit

[Router] interface GigabitEthernet 0/0/2

[Router-GigabitEthernet0/0/2] traffic-policy test inbound

[Router-GigabitEthernet0/0/2] quit

配置完策略路由之后，内网192.168.10.0网段的数据访问互联网走的是GigabitEthernet0/0/0接口，而192.168.20.0网段的数据访问互联网走的是GigabitEthernet0/0/10接口，通过PPPoE拨号上网。

业务验证和保存配置

业务验证

1.从两个部门内各选一台PC进行ping测试，验证部门之间通过VLANIF实现三层互通是否正常。以部门A和部门B为例， PC1和PC2是通过CORE1（或CORE2）实现三层互通的。如果PC1和PC2之间互ping测试正常则说明三层互通正常。

<PC1> ping 192.168.20.254           //假设PC2通过DHCP自动获取的IP地址为192.168.20.254

PING 192.168.20.254 data bytes, press CTRL_C to break

   Reply from 192.168.20.254  : bytes=56 Sequence=1 ttl=253 time=62 ms

   Reply from 192.168.20.254 : bytes=56 Sequence=2 ttl=253 time=16 ms

   Reply from 192.168.20.254 : bytes=56 Sequence=3 ttl=253 time=62 ms

   Reply from 192.168.20.254 : bytes=56 Sequence=4 ttl=253 time=94 ms

   Reply from 192.168.20.254 : bytes=56 Sequence=5 ttl=253 time=63 ms

--- 192.168.20.254 ping statistics ---  

   5 packet(s) transmitted

   5 packet(s) received    //能Ping通，说明PC1与PC2之间三层互通正常

2.部门内部选两台PC进行ping测试，验证部门内部二层互通是否正常。部门A的用户是通过ACC1实现二层互通的。如果部门A的用户之间互ping测试正常则说明部门A内二层互通正常。ping测试命令与步骤1类似。

3.每个部门各选一台PC进行ping公网地址测试，验证公司内网用户访问Internet是否正常。以部门A为例，一般可以通过在PC1上ping公网网关地址（即与出口路由器对接的运营商设备的IP地址）来验证是否可以访问Internet，如果ping测试正常则说明内网用户访问Internet正常。ping测试命令与步骤1类似。

保存配置

通过命令行配置的数据是临时性的。如果不保存，交换机重启后这些配置都会丢失。

如果要使当前配置在交换机重启后仍然有效，需要将当前配置保存为配置文件。

以CORE1为例：

<CORE1> save

The current configuration will be written to the device.

Are you sure to continue?[Y/N]y

Now saving the current configuration to