网络工程 - Cisco 1921 路由器 LAN 网络无法访问任何 WAN 路由 - 吾爱随笔录

Cisco 1921 路由器 LAN 网络无法访问任何 WAN 路由

网络工程思科路由

2022-02-12 15:14:41

思科在这里毫无头绪。我有一个 1921 路由器，它使用子接口连接到多个外部网络，G0/0并且有一个 LAN 网络G0/1：

Interface                  IP-Address      OK? Method Status                
Protocol
Embedded-Service-Engine0/0 unassigned      YES NVRAM  administratively down down    
GigabitEthernet0/0         unassigned      YES NVRAM  up                    up      
GigabitEthernet0/0.1       10.10.0.1       YES NVRAM  up                    up      
GigabitEthernet0/0.2       10.20.0.2       YES NVRAM  up                    up      
GigabitEthernet0/0.3       172.60.74.102   YES NVRAM  up                    up      
GigabitEthernet0/1         192.168.2.252   YES NVRAM  up                    up      
NVI0                       10.10.0.1       YES unset  up                    up

我试图让 LAN 网络192.168.2.0/24网络到达每个子接口上的任何路由。

我试过跑步ip default-network，ip route 0.0.0.0 0.0.0.0 192.168.2.0但他们没有帮助。

每个 LAN IP 地址都可以到达所有外部子网 IP 地址，但无法到达那些子接口可以到达的任何网络。

请问我做错了什么？

我的路由器配置：

    ip dhcp excluded-address 10.10.10.1
!         
!         
!         
ip domain name usiswe.com
ip cef    
no ipv6 cef
!         
multilink bundle-name authenticated
!         
cts logging verbose
!         
crypto pki trustpoint TP-self-signed-1652834681
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1652834681
 revocation-check none
 rsakeypair TP-self-signed-1652834681
ip ssh rsa keypair-name mem.usiswe.com
ip ssh version 2
!         
!         
!         
!         
!         
!         
!         
!         
!         
!         
interface Embedded-Service-Engine0/0
 no ip address
 shutdown 
!         
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 no ip address
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!         
interface GigabitEthernet0/0.1
 encapsulation dot1Q 10
 ip address 10.10.0.1 255.255.255.0
!         
interface GigabitEthernet0/0.2
 encapsulation dot1Q 20
  ip address 10.20.0.2 255.255.255.0
!         
interface GigabitEthernet0/0.3
 encapsulation dot1Q 802
 ip address 172.60.74.102 255.255.255.252
!         
interface GigabitEthernet0/1
 description QriosLAN
 ip address 192.168.2.252 255.255.255.0
 ip flow ingress
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
 no mop enabled
!         
ip forward-protocol nd
!         
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!         
ip nat inside source list 10 interface GigabitEthernet0/1 overload
ip route 172.18.254.90 255.255.255.255 172.60.74.101
ip route 172.26.4.21 255.255.255.255 172.60.74.101
ip route 172.26.90.5 255.255.255.255 172.60.74.101
ip route 172.26.90.6 255.255.255.255 172.60.74.101
ip route 172.26.96.62 255.255.255.255 172.60.74.101
ip route 172.26.96.64 255.255.255.255 172.60.74.101
ip route 172.26.96.74 255.255.255.255 172.60.74.101
ip route 172.26.98.155 255.255.255.255 172.60.74.101
ip route 172.26.98.157 255.255.255.255 172.60.74.101
ip route 172.26.98.167 255.255.255.255 172.60.74.101
ip route 172.26.176.229 255.255.255.255 172.60.74.101
!         
!         
!         
access-list 10 permit 192.168.2.0 0.0.0.255
!         
control-plane
!

1个回答

您没有正确配置 NAT。您将外部 NAT 应用于GigabitEthernet0/0没有分配网络的接口 ( )，并且不会在该接口上路由任何流量。

我认为您正在尝试将所有子接口设置为外部 NAT 接口，但我认为在所有子接口上进行 NAT 的理由并不多，您必须单独进行。该GigabitEthernet0/0.3接口是唯一具有公共 IPv4 地址的接口，因此将其作为外部 NAT 接口是有意义的，但我认为没有理由让其他子接口使用 NAT，除非它们是内部接口。

只要您进行了ip routing配置，路由器就会在所有接口之间进行路由。

如果您确实希望所有子接口都位于 NAT 接口之外，那么您需要执行以下操作：

interface GigabitEthernet0/0
 no ip nat outside
!         
interface GigabitEthernet0/0.1
 ip nat outside
!         
interface GigabitEthernet0/0.2
 ip nat outside
!         
interface GigabitEthernet0/0.3
 ip nat outside
!         
interface GigabitEthernet0/1
 ip address 192.168.2.252 255.255.255.0
 ip nat inside
!         
ip nat inside source list 10 interface GigabitEthernet0/1.1 overload
ip nat inside source list 10 interface GigabitEthernet0/1.2 overload
ip nat inside source list 10 interface GigabitEthernet0/1.3 overload
!
access-list 10 permit 192.168.2.0 0.0.0.255
!

NAT 的一个问题是所有对话都必须从内部发起。例如，您将无法从外部网络 ping 到您的内部网络。

此外，为了使网络能够访问这些接口另一侧的所有网络，必须告知路由器如何访问这些网络。路由器通过三种方式了解路由：

直连网络
静态配置的路由
动态路由协议

您实际上只能使用单个默认路由 ( 0.0.0.0/0)，因为它是在没有其他路由到目的地时使用的路由。通常，您使用通向公共 Internet 的默认路由，因为 Internet 路由表太大，以至于许多路由器根本无法处理所有路由。

静态路由无法扩展。

理想的方法是在您的路由器和相邻路由器之间运行路由协议。

其它你可能感兴趣的问题

上一篇无法从第二个子网上的主机 ping 互联网下一篇为什么我在 Linux 中看不到 TCP 流的丢弃