查看:5770|回复：19
我原来是负责电脑维护的，现在临时要负责web机房防火墙和路由的配置，前几天断电所有的配置都丢失了，需要重新配置，所以特向大家请教。万分感谢啊
先说一下基本情况：
自建机房（按顺序分别有）：1条电信光纤，1个思科5520防火墙，1个思科2821路由器，1个思科3560交换机，3个服务器（win2003）。
ip地址是这样：
路由器：192.168.3.1
服务器1：192.168.3.2&&，想对应外网电信分配的100.100.100.1（假设）
服务器2：192.168.3.3&&，想对应外网电信分配的100.100.100.2
服务器3：192.168.3.4&&，想对应外网电信分配的100.100.100.3
1、架设3台web网站服务器（因特网，网址的方式访问，DNS解析已经在域名提供商这里做好了）
2、管理员能够对服务器进行远程管理
3、可以在外网用\\100.100.100.1\这种方式访问服务器。
小弟真的是新手，什么都不懂，可是从头学来不及了，哦，连接防火墙和电脑，进入配置界面是会的。
请问一下各位大大，如果要实现这些功能，防火墙和路由器要怎么配置？
万分感谢！小弟在杭州，来杭州玩的话小弟可以做东。谢谢，谢谢！
对了，还想请教一下，每次断电以后配置都会丢失是什么道理？
还有，我觉得这样的机房，似乎路由器没什么用途的吧？能不能跳过？
唉，问题太多了，大家见谅啊
本帖最后由 ieieieie 于
15:25 编辑
对了，外网分配的IP地址是固定的
初级工程师
根据你上面的要求，
1，管理员能够对服务器进行远程管理：只需对服务器开启远程桌面管理就可以了，如果思科5520里有DMZ区域的话，还要做相应的策略允许；
2，在外面访问如果只是用地址的话就不用域名解析了，WEB服务器架设好后，对外王开启防火墙就可以了。
我说的不具体，这个要看你的网络是怎么配置的。
引用:原帖由 jaty0817 于
15:04 发表
根据你上面的要求，
1，管理员能够对服务器进行远程管理：只需对服务器开启远程桌面管理就可以了，如果思科5520里有DMZ区域的话，还要做相应的策略允许；
2，在外面访问如果只是用地址的话就不用域名解析了，WEB服务器架设好后，对外王 ... 能否直接写成命令呢？我朦朦胧胧的道理是明白了。。。:lol
在外面是用网址访问的，不是用ip地址访问
你要是想把ASA防火墙配置成路由模式。路由器确实可以不用，配置成透明模式的话那原来的网络环境就不用改变，还有你每次断电配置丢失是因为没有保存，把你的内网环境说清楚了，是否划隔了DMZ区域， 说清楚了，帮你看看
精通各种主流防火墙技术，搭建安全、快速的科学上网环境。欢迎讨论。
引用:原帖由 xiaobaozi998877 于
15:39 发表
你要是想把ASA防火墙配置成路由模式。路由器确实可以不用，配置成透明模式的话那原来的网络环境就不用改变，还有你每次断电配置丢失是因为没有保存，把你的内网环境说清楚了，是否划隔了DMZ区域， 说清楚了，帮你看看 ... 谢谢！！:lol
嗯，这个内网环境没有办公用机，是纯粹的WEB服务器机房，里面就3台服务器。所以是不是算是整个都是DMZ？
其实要求不高的，就是放网站，远程管理（管理web），以及外网ip地址访问服务器目录（上传文件）。只是我几乎没怎么接触过这方面的东东，论坛里看着，似懂非懂的，迷迷糊糊...
对了，如果把ASA防火墙配置成路由模式，然后去掉路由，会不会影响整体性能？想来减少了一层，应该快些吧？
再次感谢！
那你路由器就别用了吧， ASA外网口一个公网ip地址（200.1.1.2）， 做一个回程路由
route inside 192.168.3.0 255.255.255.0 192.168.2.2（三层交换机与ASA连接的接口地址）
route outside 0.0.0.0 0.0.0.0 200.1.1.1(ISP给你的网关地址)
三层交换机上做一条默认路由去ASA
ip route 0.0.0.0 0.0.0.0 192.168.2.1（ASA与交换机的接口地址）
三台服务器如果都想访问外网
nat (inside) 1 192.168.3.0 255.255.255.0
global (outside) 1 interface
static(inside,outside) tcp interface .3.1 3389
static(inside,outside) tcp interface .3.2 3389
static(inside,outside) tcp interface .3.3 3389
static(inside,outside) tcp interface .3.1 80
static(inside,outside) tcp interface .3.2 80
static(inside,outside) tcp interface .3.3 80
acc-list outside-in extended permit icmp any any echo-reply
acc-list outside-in extended permit tcp any host 200.1.1.2 eq 2000
acc-list outside-in extended permit tcp any host&&200.1.1.2 eq 2001
acc-list outside-in extended permit tcp any host&&200.1.1.2 eq 2002
acc-list outside-in extended permit tcp any host&&200.1.1.2 eq 3000
acc-list outside-in extended permit tcp any host&&200.1.1.2 eq 3001
acc-list outside-in extended permit tcp any host&&200.1.1.2 eq 3002
acc-group outside-in in interface outside
这只是我假设的例子， 管理人员可以通过外网地址200.1.1.2来远程连接三台服务器，
外网也可以访问3台服务器的web服务
精通各种主流防火墙技术，搭建安全、快速的科学上网环境。欢迎讨论。
恩，有些地方还是不懂
现在外网有3个固定ip，都是想单独访问的（都想要web服务、远程管理和ip地址访问目录）。现在的命令，应该只针对一个地址。
还有这一句：
route inside 192.168.3.0 255.255.255.0 192.168.2.2（三层交换机与ASA连接的接口地址）
192.168.2.2是三层交换机？
这只是举一个例子， 你有多余的公网地址，可以在static转换的时候用多余的公网地址一一对应，
192.168.2.2就是你cisco 3560交换机和ASA防火墙连接的接口地址
精通各种主流防火墙技术，搭建安全、快速的科学上网环境。欢迎讨论。
提示: 作者被禁止或删除 内容自动屏蔽
昏,防火墙似乎进入了rommon模式,还要先恢复系统,掺
中级工程师
一和二我都尝试可以 。。第三我就不知道了。。 求高手 。。
需要一份坚持的责任心
各位大大，进入rommon模式是不是一定要刷机才行啊，841.bin那个文件我都已经下载下来了，但是不知道怎么刷
初级工程师
1、架设3台web网站服务器（因特网，网址的方式访问，DNS解析已经在域名提供商这里做好了）
答：如果所以的设备都部署上去的话，物理连接方法： 电信的线路进入防火墙，防火墙连接路由器，路由器连接三层交换机，所有的WEB服务器连接到三层交换机。 设备大致的设计思路是这样的，防火墙配置成透明面试，有什么策略可以在这上面做，路由器上面配置静态NAT把3台服务器映射出去， 在写一条默认路由指向链接公网的接口。三层交换机可以配置也可以不配置没关系的。
2、管理员能够对服务器进行远程管理
答：web服务器是windows系统可以开启远程桌面，linux系统 可以开启SSH 或者telnet都可以，在路由器上面映射的时候一定要把相关的端口映射出去。
3、可以在外网用\\100.100.100.1\这种方式访问服务器。
答：这种方式是在同一个网段进行访问的，公网上是不行的，你可以用windows系统搭建ftp服务器或者serv-u搭建。
4、你所说的断电之后配置丢失，可能是以前你们调试完设备没有保存配置文件。或者设备你们修改过寄存器的值，导致在启动的时候绕过了配置文件。
引用:原帖由 xiaobaozi998877 于
09:29 发表
这只是举一个例子， 你有多余的公网地址，可以在static转换的时候用多余的公网地址一一对应，
192.168.2.2就是你cisco 3560交换机和ASA防火墙连接的接口地址 ... 恩，再问一下，这个192.168.2.2是需要事先手工分配的地址吗？在哪里设置？
真不好意思，第一次真正的接触这方面
提示: 作者被禁止或删除 内容自动屏蔽
引用:原帖由 oyfsystem 于
09:25 发表
所以说，平时要养成备份配置的好习惯。。。关健时候可以恢复~~！ 大哥，我是半路莫名其妙接手，而且说实话，就算有备份，我也不会恢复，目前真的是小白
你的内网没有办公用机，那干脆直接配公网的ＩＰ不是好了？？？个人见解。为什么还要搞一个内外网。
论坛炮官，专发炮！
楼主家设备和我单位差不多 也是思科的三层交换机3560
不管断电为什么不丢失配置，咱多备份备份配置，下次断电直接还原。
当然很建议配个足够牛逼的UPS来稳定电与充足电把！Cisco 2504 Wireless Controller - Cisco
Cisco 2504 Wireless Controller
Product ID:
View All PIDs
AIR-AP1702I-A-WLCAIR-AP1702I-B-WLCAIR-AP1702I-C-WLCAIR-AP1702I-D-WLCAIR-AP1702I-E-WLCAIR-AP1702I-F-WLCAIR-AP1702I-H-WLCAIR-AP1702I-I-WLCAIR-AP1702I-K-WLCAIR-AP1702I-N-WLCAIR-AP1702I-Q-WLCAIR-AP1702I-S-WLCAIR-AP1702I-T-WLCAIR-AP1702I-Z-WLCAIR-AP2702E-Q-WLCAIR-AP2702E-UX-WLCAIR-AP2702I-Q-WLCAIR-AP2702I-UX-WLCAIR-AP3702E-Q-WLCAIR-AP3702E-UX-WLCAIR-AP3702I-Q-WLCAIR-AP3702I-UX-WLCAIR-CTAIR-CT++AIR-CTAIR-CT++AIR-CTZAIR-CTAIR-CT++AIR-CT-RFAIR-CT-WSAIR-CTZAIR-CTAIR-CT++AIR-CT2504-50PROMAIR-CTAIR-CT2504-CA-K9AIR-CT2504-CCBLAIR-CT2504-CCBL=AIR-CT2504-HA-K9AIR-CT2504-HA-K9++AIR-CT2504-K9AIR-CT2504-RMNTAIR-CT2504-RMNT=AIRCTI-A5AIRCTI-B5AIRCTI-C5AIRCTI-E5AIRCTI-I5AIRCTI-K5AIRCTI-N5AIRCTI-Q5AIRCTI-S5AIRCTI-T5AIRCTI-Z5AIRCTI-A5AIRCTI-B5AIRCTI-C5AIRCTI-E5AIRCTI-I5AIRCTI-K5AIRCTI-N5AIRCTI-Q5AIRCTI-R5AIRCTI-S5AIRCTI-T5AIRCTI-Z5C1-AIR-CT2504-K9C1-AIRCT2504-K9++C1F1PAIRSPC1K9=C1F1UAIRK9=C1F2UAIRK9=L-LIC-CT2504-1A=L-LIC-CT2504-UPGLIC-CT2504-UPGPWR-2504-AC=PWR-3504-AC=
Compatibility:
Compatible Interfaces and Modules
End-of-Sale Date:
None Announced
End-of-Support Date:
None Announced
More Specifications
Release Date:
08-APR-2011
Maximum throughput: 1 Gbps
Link Aggregation Group (LAG): Yes
Form factor: Desktop
Flexconnect + mesh: Yes
Max WLANs: 16
Maximum access point: 75
Interfaces or network I/O: Four 1 GE
Access control lists (ACLs): Yes
Radio Resource Management (RRM): Yes
Bonjour Gateway: Yes
Max Power consumption: 80W
Cisco VideoStream: Yes
OfficeExtend: Yes
Rendundant power: No
Guest anchor: Yes
Workgroup bridge: Yes
Max Number of Flex Groups: 30
Guest services (wireless): Yes
Minimum access points: 5
Maximum RF Tag support: 500
Application Visibility and Control (AVC): Yes
HA with Client SSO: No - only N+1 HA
Guest services (wired): Yes
Max Access Points per Group: 25
Datagram Transport Layter Security (DTLS): Yes
Cisco Compatible Extensions Call Admission Control (CAC)/Wi-Fi Multimedia (WMM): Yes
HA with AP SSO: No - only N+1 HA
Bi-directional rate limiting: Yes
Max VLANs: 16
Rendundant fans: Built-in Fan
Integrated Wireless Policy Engine: Yes
Maximum client support: 1,000
Central Mode (formerly Local Mode): Yes
Max Number of access point groups: 30
Mobililty: L2 & L3
FlexConnect: yes
Documentation
${imageDetails.releaseVersion}
Release&nbspDate
${imageDetails.publishDate}
File&nbspName
${imageDetails.fileName}
${imageDetails.fileSize}
MD5&nbspChecksum
${imageDetails.md5}
SHA512&nbspChecksum
<%sha512=sha512.replace(/(.{35})/g,"$1");%>
for (var index = 0; index
for (var index1 = 0; index1
for (var index2 = 0; index2
Community Content
My Devices (Beta)
Related Information
Let Us Help
Technical Support
US/Canada 800-553-2447
Technical Sales Questions
Call 1-866-425-5351
US/CAN | 5am - 5pm Pacific
Cisco ServicesWLC 锟斤拷签_51CTO锟斤拷锟斤拷锟斤拷锟斤拷
搜索推荐文章
搜索原创文章
搜索近期文章
&&&&以下是我的无线网络环境1、两台CiscoWLC5508热备2、两台ACS，其中一台ACS在其它站点，ACS是新采购的硬件3、生产网络部分采用WPA2+MAC地址认证的方式4、办公网络部分使用802.1X，使用CiscoLEAP协议，结合WindowsAD，利用windows账号登录无线网络。欢迎对无线网络有兴趣的朋友一同讨..
&&&&内容完善中，敬请期待……..
&&&&一、lvs-natLVS是LinuxVirtualServer的简写，意即Linux虚拟服务器。是由章文嵩博士开发的一个在内核层面的负载均衡调度器。lvs是在netfilter的INPUT链上根据我们制定的调度规则将特定目标地址和端口的数据包转发到后面的特定主机的，由于是工作于内核空间，所以工作效率高，经过优..
&&&&前几天用户打电话过来，说是重启WLC4402之后，https进不去了，于是让其通过console线接入看看，用户反应，系统在内存检测处停止下来，并提示内存检测错误。后来用户让IT部的人把4402拿走，并打开，发现在4402里面就插了一根DDR一代的内存512M，费了一翻周折，找到一条DDR1代256M的..
&&&&其实升级WLC方法很简单：1、下载相应的系统版本。2、搭建一个FTP服务器，如果文件小可以用TFTP，把下载的系统放在FTP的目录之下。3、打开WLC的WEB管理界面进行升级。如下图所示：点击Download之后会自动从FTP服务器下载系统，并进行安装，安装完成后会提示重启。在这里我说一下我..
&&&&AP不往WLC上注册今天排错的时候发现一个AP不往WLC上注册。搞了半天，用一条命令找出了原因。debuglwappeventsenable发现*Mar100:51:04.203:LWAPP_CLIENT_EVENT:spamSendDiscoveryRequest:sendingdiscoverytype0to255.255.255.255*Mar100g:51:04.206:LWAPP_CLIENT_EVENT:spamDecode..
&&&&接口：
virtualinterface：（二三层漫游）
用于支持移动性管理需求(客户端漫游时的网关)
嵌入式三层安全
guestweb认证（web认证重定向地址）
客户端在不同控制器和客户端之间通信
在一个网络里其他设备不同配置和virtualinterface相同的地址不能..
&&&&三层广播；
AP在NVRAM中关于WLCIP维护列表；
DHCPoption43；
DNS名称CISCO-CAPWAP-XXXX
向WLC发起CAPWAPdiscoveryREQUEST请求
CAPWAPdiscoveryrequest信息包含：
WLC容量及AP负载
MASTERWLCflag
AP-managerip地址
CAPWAP控制信息udp端口52..
&&&&最近在实施瘦AP项目，7个1240AGAP作为瘦AP连到控制器2504上集中管理。
首先1240AG默认为胖AP模式，需要用到cisco提供的转换工具和IOS版本，网上搜下，比较多。
然后配置控制器，配置interface，wlan等，将交换机与AP相连的口设为trunk口，并trunknativevlanxxx(xxx同时也要在AP..
&&&&思科AP与交换机端口的配置。思科AP可以分IOSAP和LAP。
1、IOSAP中如果AP上需要创建多个SSID，连接的交换机端口则需要：
switch(config-interfa)#swmodtrunk
switch(config-interfa)#swtrunkallowvlan1,x,x,x(SSID对应的VLAN)
另外注意：AP的nativevlan一般为1，要与交换机接口..
原文链接：/k_hunter/blog/static//
本文档介绍有关Cisco无线LAN控制器(WLC)的最常见问题解答(FAQ)。
有关文档规则的详细信息，请参阅Cisco技术提示规则。
一般常见问题解答
Q.什么是无线LAN控制器(WLC)？
答：如今，无线..
&&&&最近我在研究CCNAWireless，突然想到两年前我录制的胖AP和WLC安全配置录像，在我正式开讲CCNAWireless之前提前预预热，把这些录像共享给大家，这些录像我认为还是很实用的，把基本能够实现的无线安全技术都过了一遍，希望大家能够喜欢。送大家一句话&没有安全的无线是没意义..
&&页数 ( 1/2 )
Copyright&
版权所有 未经许可 请勿转载查看:4945|回复：19
有一台cisco2611xm的路由器，请教下各位如何配置它才能上网，就是把它放在出口，公司有固定公网IP？
在路由器外口配个公网IP,然后配个nat地址转换，就差不多了。
白袍大法师
interface FastEthernet0/0
description Uplink
ip address 226.223.238.19 255.255.255.248
nat outside
duplex full
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex full
ip nat inside source list 1 pool Internet overload
ip route 0.0.0.0 0.0.0.0 226.223.238.9
access-list 1 permit 192.168.1.0 0.0.0.255
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
中级工程师
外网接口配置外网IP，内网接口配置内网IP，然后配置NAT（PAT），具体命令搜索一下就可以了。
提示: 作者被禁止或删除 内容自动屏蔽
像仙人掌一样的坚强。
助理工程师
唐老师总是这么给力、大家要学习；
但是LZ不要看一个单词敲一个单词、理解的基础上在去配置。
谢谢版主的解答，我有点不明白的是，最后为什么还加上一条访问控制列表
白袍大法师
引用:原帖由 JiayouEveryday 于
11:11 发表
谢谢版主的解答，我有点不明白的是，最后为什么还加上一条访问控制列表 这个列表是定义 允许哪个上网的。。如果你想限制的话，就可以在这里允许或禁止
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
后面的问号是什么意思，路由器不能连网外网，那还如集线器呢（接口太少）
助理工程师
那家的运营商啊，服务太差了，我们给人家公司做专线接入，还得帮人在路由器上配置好这些才让走，要不投诉我们说，未把网络调通走人了。
助理工程师
唐老师写的很详细
提示: 作者被禁止或删除 内容自动屏蔽
高级工程师
进来学习。
初级工程师
最后那个防控是必须写的，默认是deny&&deny&&，！！！&&要非常的感谢唐老师哦！
助理工程师
最后的那个套路还是必须要写出来的
引用:原帖由 小侠唐在飞 于
21:23 发表
interface FastEthernet0/0
description Uplink
ip address 226.223.238.19 255.255.255.248
nat outside
duplex full
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
d ... 对，就按照这个命令桥，就好了！
入则恳恳以尽忠，出则谦谦以自悔...
助理工程师
不会思科的 学习了
初级工程师
楼主想方便管理的话，就用SDM吧
受教了，多谢各位的热心解答}