Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Cisco 2801 router

1
Skriv svar
Permalänk
Medlem

Cisco 2801 router

hej,
Har försökt få igång min router utan framgång nu i nästan 2 månader. jag kan pinga från routern både till 8.8.8.8 och till google.com men inte från datorerna. har konfigurerat den flera gånger utan framgång. finns de nån som skulle ta en titt på configen o se vad som är felet?

! Last configuration change at 05:47:40 UTC Fri Aug 12 2011
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXX
enable password XXXXX
!
no aaa new-model
ip source-route
!
!
!
ip dhcp pool LAN
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
!
!
ip cef
multilink bundle-name authenticated
!
!
!
license udi pid CISCO2801 sn CCCCCCCCCCCC
!
!
!
!
!
!
interface FastEthernet0/0
 ip address dhcp
 ip access-group 101 out
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.1 255.255.255.0
 ip access-group 101 in
 ip access-group 101 out
 ip nat inside
 ip virtual-reassembly
 speed auto
 full-duplex
 no mop enabled
!
ip forward-protocol nd
!
!
no ip http server
ip nat pool natpool XX.XXX.26.1 XX.XXX.26.31 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 102 interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
!
snmp-server community public RO
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
 password XXXXXX
 login
!
scheduler allocate 20000 1000
end
Redigera
Citera flera Citera
Permalänk
Medlem

Efter att helt snabbt ha läst igenom din conf kan jag komma med två tänkbara lösningar (har ingen ciscoburk tillgänglig på jobbet så kan inte testa tyvärr) och ett förslag..
Tänkbar lösning 1: Jag är inte 110% säker på hur accesslistorna funkar längre så kan inte svära på att dem är rättskrivna (även om logiskt tänkande påpekar att det borde vara rätt), så prova att ta väck dem temporärt och se vad som händer.
Tänkbar lösning 2: du har sagt åt routern att routa ut all trafik den inte har andra rutter till via Fa 0/0, men eftersom Fa 0/0 är ett MA-nät (multiple access) så är jag ytterst tveksam till om det funkar, prova att sätta din isp:s gateway som next-hop istället.

Förslag 3: Sätt en accesslista på din snmp, även om du bara har RO påslaget så kan det bli obehagligt..
var även på den säkra sidan och slå av web-servrarna (både via http och https).. och till sist, en accesslista på dina vty:er för att säkerställa att endast ditt lokala nät kan nå och konfa routern. om du inte har något bättre för dig bör du nog sätta att endast ssh-protokollet har access också..

Lycka till!

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har lite funderingar kring konfigureringen.

ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 102 interface FastEthernet0/0 overload

Dessa rader borde matcha accesslistor, så som 101 som du har.

Som AtreX påpekade skulle jag även använda en IP som next hop i din default-route.

Har du rätt ip-range och nätmask på din IP Nat pool?

Redigera
Citera flera Citera
Permalänk
Medlem

Dina ACL:er är helt tokiga. Som exempel, du specificerar samma accesslista både som in och ut ACL, hur sjutton skall det gå till?
Ta bort alla ip access-group på alla interface så funkar det nog bättre.

Funkar utmärkt att ha ett interface som ut-interface i en default route btw.

Vet inte heller varför du gjort ett NAT entry som är kopplat mot ACL 102 som inte finns, ta bort den.
Ditt NAT entry är kopplat mot ACL 1 som inte heller är definerad, den skall vara en simple access-list så skapa denna.

access-list 1 permit 192.168.1.0 0.0.0.255

Vill du låta en ACL som specificerar både source och destination styra när NAT skall användas så är det policy NAT du skall använda. Kort och gott definera en extended ACL, koppla den mot en route-map och peka ut route-mapen i NAT. Är nog inte vad du vill använda.

Ta även bort nat poolen då den aldrig används. Du vill göra PAT antar jag då kan du strunta i det.

Föreslår att du disablar ip source-route också.
Byt SNMP community samt koppla den mot ACL 1 som skapades ovan.
Dela lämpligtvis även ut DNS servrar i din DHCP pool.
Koppla ACL 1 mot en access-class i vty inställningarna så du inte tillåter telnet utifrån nätet mot din router. (Slå gärna på SSH också).

Senast redigerat
Visa signatur

Networking geek, #28735

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara