interface f0/0 进入接口f0/0, f0/0在这里即是内部的局域网接口
5 g5 R! Z" e9 f! B& b ip address 192.168.100.1 255.255.255.0
" ?( ^- o" \9 P+ `( q 将内部的局域网接口ip设置为 192.168.100.1,子网掩码为24位。
! N% p5 }# S. u- N2 j ip nat inside* \5 r" G" H+ X: u0 m
将此接口指定为收集地址转换的内部接口
# A% `! ?6 u# A interface e0/0
- |9 W2 U6 x. S& ]- l7 A 进入接口 e0/0. e0/0在这里即是外部的局域网接口。0 S9 u9 n; F, t- ^
ip address dhcp9 K9 d0 F" k- y* f. s. L% v
设置外部局域网接口的ip使用dhcp,dhcp由isp供给。
_$ d0 N6 [3 L4 o ip access-group cbac in
4 ?" Q0 h* V u, p: r _. y 打开对内的状况数据包搜检
( ]+ B. {3 b9 m2 h6 f ip inspect cbac out8 T' L( M( I. ~7 O/ r- E4 T, }3 w- W
打开对内的状况数据包搜检,这点对于响应对内通信极为关头。
! u8 D4 ^8 ?$ E2 O7 e1 k ip nat outside
7 G8 \5 h4 x2 o5 n# ~ 将这个接口指定为收集地址转换的内部接口
% u3 \4 K8 `7 l2 M/ Q: { ` mac-address ffff.ffff.ffff$ Z, B5 ]4 M% F9 u) e
可选, 许可用户进行mac地址棍骗。有一些isp会锁定mac地址。( D/ ]5 x* W% Z2 E8 M
ip nat inside source list natacl interface e0/0 overload
5 ~" z( f% N7 Z 它将所有的ip地址年夜natacl acl转换到外部的接口和ip地址
" q6 } [ ]6 j% E) c ip access-list extended cbac# {2 a" g5 @$ N3 ^
界说一个称为cbac的扩展acl,用于对内的防火墙轨则
- G7 K9 r- ? o0 ?" Q0 {) e permit udp any eq bootps any eq bootpc
1 k* u" S, b ^, E5 q M& A2 l$ u 准许对内的dhcp。如不美观不用这个功能,用户的isp就不能为其分配一个dhcp ip地址。 |
发表于 2012-8-3 20:28:11
