cisco 交换机和路由器的DHCP和nat的配置

使用Cisco 3620作为IOS DHCP Server，它和内网相连的fastethernet0端口的IP地址为19216814，二层交换机采用两台Cisco 2950，三层交换机采用一台Cisco 3550。

在整个网络中有二个VLAN，为简化描述，假设每个VLAN都采用24位网络地址，其中VLAN1的IP地址为1921681254，VLAN2的IP地址为1921682254。在Cisco设备上实现IOS DHCP Server功能以使各VLAN中的主机自动获得IP地址。

Cisco路由器交换机配置命令详解(1)Cisco路由器安全配置方案CISCO路由器的一般配置与调试在CISCO路由器上配置NAT功能(上)cisco路由器本地密码破解窍门恢复Cisco路由器密码的两种常用方Cisco路由器上配置pppoe拨号Cisco路由器的安全配置简易实例Cisco路由器交换机安全配置在CISCO路由器上配置NAT功能(下) 配置DHCP地址池、附加信息以及租约期限

DHCP服务器的数据库被组织成一个树形结构，树根是用于动态分配的所有网络段的地址池，树枝是子网地址池，树叶是手工绑定给节点的地址。具体操作步骤如下：

首先登陆到Cisco 3640路由器上：

ghq>enable

Password(输入路由器的特权口令)

ghq #config terminal (进入配置模式)

Enter configuration commands one per line End with CNTL/Z

ghq�config # ip dhcp pool global（配置一个根地址池，global是地址池的名称，你可以采用有意义的字符串来表示）

ghq dhcp-config #network 19216800 25525500（动态分配的地址段）

ghq�dhcp-config #domain-name ghqcom（为客户机配置域后缀）

ghq�dhcp-config #dns-server 19216811（为客户机配置DNS服务器）

ghq�dhcp-config #netbios-name-server 19216811（为客户机配置wins服务器）

ghq�dhcp-config #netbios-node-type h-node（为客户机配置h节点模式）

ghq�dhcp-config #lease 30 （地址租用期为30天）

ghq�dhcp-config #ip dhcp pool vlan1 （为VLAN1配置地址池，本池是global池的子池，将从global继续域后缀、DNS服务器、wins服务器等参数）

ghq�dhcp-config #network 19216810 2552552550 （VLAN1动态分配1921681这个网段内可以被分配的地址，没有被排除的地址）

ghq�dhcp-config#default-router 1921681254 （为客户机配置默认的网关，即VLAN1的IP地址）

ghq�dhcp-config #ip dhcp pool vlan2 （为VLAN2配置地址池，本池是global池的子池，将从global继续域后缀、DNS服务器、wins服务器等可继续的参数）

ghq�dhcp-config#network 19216820 2552552550

ghq�dhcp-config #default-router 1921682254

设置不能用于动态分配的IP地址

在整个网络中，有些IP地址需要静态的指定给一些特定的设备，例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。显然，这些静态IP地址是不能用于动态分配的，这就需要将它们排除掉。其步骤如下：

ghq�config #ip dhcp excluded-address 19216811 19216815 （IP地址 19216811至19216815不能用于动态分配）

ghq�config # ip dhcp excluded-address 1921681254

（IP地址1921681254固定为VLAN1的地址，不能用于动态分配）

ghq�config # ip dhcp excluded-address 1921682254

（IP地址1921682254固定为VLAN2的地址，不能用于动态分配)

设置DHCP数据库代理

DHCP数据库代理是用于存储DHCP绑定信息的一台主机，它可以是FTP、TFTP或者是RCP服务器。当然，如有必要，你可以配置多个DHCP数据库代理。同样，不配置DHCP数据库代理也是答应的，但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。假如我们不想配置数据库代理，只要取消掉地址冲突日志的记录功能即可，操作命令如下：

ghq�config # no ip dhcp conflict logging （取消地址冲突记录日志）

配置路由器的静态路由表

要使客户机能从用作DHCP Server的路由器中自动获得IP地址，首要条件就是各个VLAN中的客户机都能和路由器通信，因此首先就需要在路由器中设置一个路由以使路由器能和各个客户机通信。我们可以按如下设置 ：

ghq�config #ip route 19216810 2552552550 FastEthernet0

（FastEthernet0为路由器和内网相连的以太网接口，该命令的作用是在以太网接口和VLAN1 1921681254间建立一条静态路由。）

ghq�config #ip route 19216820 2552552550 FastEthernet0

（该命令在以太网接口和VLAN2 1921682254间建立一条静态路由）

设置好之后，在配置模式中键入EXIT命令回到特权模式下，Ping一下VLAN1和VLAN2的IP地址�1921681254和1921682254 ，假如能够Ping通则表明配置正确，可以直接进入下一步的保存过程。

在交换机上为不同的VLAN指定DHCP服务器地址

这一步骤只须在不同的VLAN中通过设置IP HELPER-ADDRESS即可搞定，指令如下：

switch>enable （进入交换机的特权模式）

Password�

switch #config t （进入配置模式）

Enter configuration commands�one per line End with CNTL/Z

switch �config #interface vlan1 （配置VLAN1）

switch �config-if #ip helper-address 19216814（指定DHCP服务器的地址，即路由器的地址）

ghq�config-if #interface vlan2 （配置VLAN2）

ghq�config-if #ip helper-address 19216814

对所有直接连到客户机的二层访问端口开启Portfast功能

要使客户机正确获得IP地址，就需要将和客户机相连的交换机端口的Portfast功能打开（Cisco 2950）。这里需要非凡注重的是，只能在连接一个单一客户机的二层端口上开启该功能，假如在一个连接到交换机或集线器的端口上开启该功就有可能引起广播风暴或“地址学习”问题。开启Portfast功能的步骤如下：

switch #configure terminal

switch �config #interface interface-id

switch �config-if #spanning-tree portfast （开启portfast功能）

switch�config-if #end

经过以上规划与设置操作后，在路由器和交换机上的设置全部完成，剩下的工作只要在客户机上打开“自动获得IP地址”功能即可（如图2所示）。对于Windows 2000/2003 Server系统，还需要将“DHCP CLIENT”服务启用（如下图3所示），否则在Windows 2000/2003 Server中将不能自动得到IP地址。

至此，通过启用Cisco路由器的DHCP Server功能与客户端DHCP的配合使用，使局域网VLAN中的主机自动获得IP地址，真正实现了DHCP服务全部功能。相比在服务器上用windows/Linux 操作系统实现的DHCP服务器，从稳定性和功能上看，路由器实现的DHCP服务器要优越得多。

CISCO路由器配置手册任务命令设置用户名和密码username username password password

设置用户的IP地址池ip local pool {default | pool-name low-ip-address [high-ip-address]}

指定地址池的工作方式ip address-pool [dhcp-proxy-client | local]

基本接口设置命令：任务命令设置封装形式为PPPencapsulation ppp

启动异步口的路由功能async default routing

设置异步口的PPP工作方式async mode {dedicated | interactive}

设置用户的IP地址peer default ip address {ip-address | dhcp | pool [pool-name]}

设置IP地址与Ethernet0相同ip unnumbered ethernet0line

拨号线设置：任务命令设置modem的工作方式modem {inout|dialin}

自动配置modem类型modem autoconfig discovery

设置拨号线的通讯速率speed speed

设置通讯线路的流控方式flowcontrol {none | software [lock] [in | out] | hardware [in | out]}连通后自动执行命令autocommand command

思科路由器的配置文件应该怎么

迪巴格公司认为网管在配置思科路由器后都想将配置文件保存起来，以防止以后路由器出现问题需要重新配置时太过麻烦，只要将保存的配置文件重新恢复到路由器就可以了，相当方便，本篇以思科路由器为大家如何保存路由器的配置。

一、思科路由器 把它的系统软件存放在Fiash memory里，每次打开路由器时，从Flash memory里调出系统并执行它。打开机器后进入初始化配置或用configer和setup做配置后，所做的配置要保存起来以便下一次启到直接打开运行，这就是配置文件。

二、配置文件存在于非常易丢失的NVRAM 中，一旦丢失则会使整个网络出现故障。因此我们需要做好配置文件的备份工作，以便丢失时能够在第一时间内快速恢复。

三、把系统文件的配置文件保存在网中的服务器上是一个非常好的做法，帮助在系统或配置文件丢失时，以最快速度恢复系统工作。

1、复制系统映像到网络服务器，首先显示IOS文件的文件名，命令为show flash；

2、复制系统文件到TFTP Server，命令为copy flash tftp；

3、复制配置文件到网络服务器，把配置文件保存在TFTP Server中。

四、升级系统映像和配置文件

1、当系统出现故障、系统升级和配置文件拷贝时，我们需把服务器里软件复制到路由器里。把系统映像从网络服务器复制到Flash Memory，网络上要一台计算机做TFTP Server，用TFTP把系统文件复制到路由器的Flash Memory中，建议大家在做系统升级时，为防止错误的操作等引起的升级失败，请先把路由器原有的系统留一备份下来，包括Flash中IOS和NVRAM中的配置文件。

2、升级过程还需要注意到以下几点：

（1）配置路由器的计算机最好使用串口接到路由器的CONSOLE口上，TFTP服务器软件安装在此计算机上，以利于IOS文件可靠地传送。

（2）TFTP服务器的IP地址要和路由器的以太网口在一个网段上。

（3）在升级IOS时要注意，升级新版本IOS文件如果大于Flash内存容量时，应增加Flash容量。

（4）千万要记住升级时要谨慎，以防丢失操作系统文件，不能启动系统。

看完上面的介绍，相信你应该知道如何进行路由器的配置备份了吧，只要有了备份，即使路由器的配置丢失，我们也只需几分钟就能够轻松的恢复，相当方便。

如果你还有什么问题可以点击迪巴格官网在线咨询。

　　1分别定义outside、inside、dmz的安全级别　　nameif ethernet0 outside security0 #定义E0口为非信任端口，security0代表此端口安全级别最低　　nameif ethernet1 inside security100 #定义E1口为信任端口，security100代表此端口安全级别最高　　nameif ethernet2 dmz security50 #定义E2口为DMZ端口，security50代表此端口安全级别介于信任与非信任端口之间　　这里的数字0、50、100可自行调整，但需要注意数字之间的大小关系不能混淆。　　2设置dmz接口IP　　ip address dmz 1002001 2552552550 #设置DMZ接口IP地址，设置好后可以按拓扑结构图测试从PIX上ping 1002002检查连通性。　　3允许dmz区域的主机通过icmp数据包以及访问外网的80端口　　access-list acl_dmz permit icmp any any #允许DMZ主机访问外部网络icmp协议　　4把acl_dmz规则邦定到dmz端口上使之生效　　access-group acl_dmz in interface dmz #应用策略到DMZ接口　　5设置静态的因特网、局域网、dmz区的访问关系　　static （dmz，outside） 218104XXXX 1002002 netmask 255255255255 0 0 #发布DMZ服务器到因特网　　6允许outside区域访问dmz区域特定的某个端口　　access-list 100 permit tcp any host 218104XXXX eq www #设置策略允许因特网访问DMZ服务器80端口

设置时间及时区命令如下：

1设置时区：Router(config)#CLOCK Timezone beijing +08 //设置为北京的时区为东8区

2设置时间：Router# clock set 10:00:00 Aug 4 2015 //设置时间为2015年8月4日10时整

3设置网络时间：Router(config)#ntp server s1btimeeducn //清华大学NTP服务器

由于路由器在交互时对时间的匹配要求严格，所以在配置路由器时不推荐使用手动设置时间， 我们一般借助专门的时间同步服务器来配置网络设备的时间。

Network Time Protocol（NTP）是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源（如石英钟，GPS等等)做同步化，

它可以提供高精准度的时间校正（LAN上与标准间差小于1毫秒，WAN上几十毫秒），且可介由加密确认的方式来防止恶毒的协议攻击。

NTP可以利用多个途径和来源的时间服务器来更加精确的校正时间。

现在绝大部分的操作系统都支持NTP，比如在Unix和Windows中都有他们自己的NTP服务。比如在Windows中的SNTP。

由于各个系统厂商会根据自己的系统情况对NTP来进行优化和设置，

更加适合他自己的系统，对于其他系统的兼容性就会差很多。还有不同时期的系统会使用不同版本的NTP服务。最新版本位V4，由于每个版本都要他自己的一些特征。

所以在设置NTP服务器时会有一些兼容性问题。

因此，在多类型操作系统的环境中，尽量使用NTP官方组织提供的软件进行设置而不使用其他厂商在系统中默认提供的NTP服务器。NTP官方组织为

wwwntporg。

Server一般用于服务器端，该服务器不会去同步其他服务器时间，一般server后可以跟 12712710 该地址代表本级的时钟，

如果Server后跟其他服务器IP，表示会去同步其他时间服务器的地址。