cisco两家公司互ping_百度知道
cisco两家公司互ping
两家公司已经完成了DHCP自动获取IP地址，现在想两家公司互通，请各路大神帮忙下最好把命令写一下！
我有更好的答案
边缘路由器做nat被。。。
CNBC gm kg BC sf DVD JFK
为您推荐：
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。查看:6055|回复：19
配置交换机
Switch#vlan database
Switch(vlan)#vlan 10 name caiwu
Switch(vlan)#vlan 20 name renshi
Switch(vlan)#exit
Switch&enable
Switch#config terminal
Switch(config)#interface f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access allowed vlan 10
//同样的方法，将f0/3接口分配给VLAN 20
Switch#interface f0/1
Switch(config-if)#switchport mode trunk
配置路由器
Router(config)#interface f0/0
Router(config-if)#no shutdown
Router(config-if)#interface f0/0.1& &//配置子接口，注意后面的.1，这是配置单臂路由的关键步骤。
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#encapsulation dot1q 10 //为该接口配置802.1Q协议，关键步骤
Router(config-subif)#exit
Router(config)#interface f0/0.2& &&&//配置第二个子接口
Router(config-subif)#ip address 192.168.20.1 255.255.255.0
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#end
最后配置PC0和PC1的IP地址和子网掩码，PC0主机 ping&&PC1主机。实验结果能Ping通，配置成功。
我已经照足以上的命令配置了，为什么两台主机还是不能ping通？？快疯了！！
实验使用Packet Tracer 5.0软件：
(18.41 KB)
11:48, 下载次数: 207
本帖最后由 mysunglow 于
11:48 编辑
金吾卫大将军
我都写在附件中。
下载次数: 460
初级工程师
PC机的网关对吗？
助理工程师
之前有个单臂路由的帖子 很详尽&&如果是实验 先照那帖子做遍&&然后再配 再比较
肯定是细节上出问题了:(bofu19):
助理工程师
trunk没有配
助理工程师
Switch#interface f0/1
Switch(config-if)#switchport mode trunk
//要是你设置了switchport mode trunk默认封装的协议是ISL
Router(config-subif)#encapsulation dot1q 10
然而你在路由器端口上却配置了dot1q 协议
封装了两种不同的协议不能通信！！！！！！
看多原理！！边做实验！
中级工程师
Router(config-subif)#encapsulation dot1q 10
错就错在你两句都是这命令
正确是这样的
Router(config-subif)#encapsulation dot1q 10
Router(config-subif)#encapsulation dot1q 20
pc1 PC0 的网关分别是路由的接口IP 不要搞错！
助理工程师
针对楼上说的 switchport mode trunk& && &其实要看设备了&&默认为802.1Q的也很多
问题还是在路由器上只配了 子接口的地址&&trunk呢
fa/0.2 这个的dot1q封装错了 应该是20
初级工程师
楼上说对，路由器上的二个子接口加入到通一个vlan了，这样怎么可能ping通？
多谢大家的意见！！已经解决了！！
Router(config)#interface f0/0.n& &&&//配置第二个子接口
Router(config-subif)#ip address 192.168.20.1 255.255.255.0
Router(config-subif)#encapsulation dot1q m
n和VLAN无关，m和对于的Vlan有关。
中级工程师
看来问题已经解决啦，我可是这方面的高手啊，哈哈:lol
在路由器的配置中两个子接口都是配置的vlan10：encapsulation dot1q 10
应该一个是vlan10，一个是vlan20才可以
主机上没有配置网关&&我就ping同了
助理工程师
dot1q封装 trunk模式一定不要忘记配置 注意：Cisco中两个自动就是接入模式...别的模式区分超简单
配置第二个子接口封装错了。
我一开始也是，所以指令都是正确的，做了很多排查。最后才想起来网关没有设置。
你上面有个指令打错了。Cisco&ASA&5500&不同安全级别区域实现互访实验
5500 不同安全级别区域实现互访实验
一、实验拓扑
二、 实验环境
ASA 防火墙 eth0 接口定义为 outside
区，Security-Level:0，接 Router F0/0；ASA 防火墙 eth1 接口定义为 insdie
区，Security-Level:100，接 Switch 的上联口；ASA 防火墙 Eth2 接口定义为 DMZ
区，Security-Level:60，接 Mail Server。
三、 实验目的
实现 inside 区域能够访问 outside，即
Switch 能够 ping 通 Router 的 F0/0（202.100.10.2）；dmz 区能够访问 outside，即
Mail Server 能够 ping 通 Router 的 F0/0（202.100.10.2）；outside 能够访问
insdie 区的 Web Server 的 http 端口(80)和 dmz 区的 Mail Server 的 pop3
端（110）、Smtp 端口（25）.
四、 详细配置步骤
1、端口配置
CiscoASA(config)# interface ethernet 0
CiscoASA(config)#nameif ouside
CiscoASA(config-if)# security-level 0
CiscoASA(config-if)# ip address 202.100.10.1
255.255.255.0
CiscoASA(config-if)# no shut
CiscoASA(config)# interface ethernet 1
CiscoASA(config)#nameif inside
CiscoASA(config-if)# security-level 100
CiscoASA(config-if)# ip address 192.168.1.1
255.255.255.0
CiscoASA(config-if)# no shut
CiscoASA(config)# interface ethernet 2
CiscoASA(config)#nameif dmz&
CiscoASA(config-if)# security-level 50
CiscoASA(config-if)# ip address 172.16.1.1
255.255.255.0
CiscoASA(config-if)# no shut
2.路由配置
CiscoASA(config)#route outside 0.0.0.0 0.0.0.0
202.100.10.2 1
CiscoASA(config)#route inside 10.0.0.0 255.0.0.0
192.168.1.2 1
3.定义高安全接口区域需要进行地址转换的IP范围
CiscoASA(config)# nat (inside) 1 0 0
CiscoASA(config)# nat (dmz) 1 0 0
4.定义低安全接口区域用于高安全接口区域进行IP转换的地址范围
CiscoASA(config)# global (outside) 1 interface
CiscoASA(config)# global (dmz) 1 interface
5、定义静态IP映射（也称一对一映射）
CiscoASA(config)# static (inside,outside) tcp
202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255
实现从 outside 区访问 inside 区
10.1.1.1 的 80 端口时，就直接访问 10.1.1.1:80 对 outside
区的映射202.100.10.1:80
CiscoASA(config)# static (dmz,outside) tcp
202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255
实现从 outside 区访问 dmz 区
172.16.1.2 的 110 时，就直接访问 172.16.1.2:110 对 outside
区的映射202.100.10.1:110
CiscoASA(config)# static (dmz,outside) tcp
202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255
实现从 outside 区访问 dmz 区
172.16.1.2 的 25 时，就直接访问 172.16.1.2:25 对 outside
区的映射202.100.10.1:25
6、定义 access-list
CiscoASA(config)# access-list 101 extended permit
ip any any
CiscoASA(config)# access-list 101 extended permit
icmp any any
CiscoASA(config)# access-list 102 extended permit
tcp any host 10.1.1.1 eq www
CiscoASA(config)# access-list 102 extended permit
icmp any any
CiscoASA(config)# access-list 103 extended permit
tcp any host 172.16.1.2 eq pop3
CiscoASA(config)# access-list 103 extended permit
tcp any host 172.16.1.2 eq smtp
7、在接口上应用 access-list
CiscoASA(config)# access-group 101 in interface
CiscoASA(config)#access-group 102 in interface
CiscoASA(config)#access-group 103 in interface
五、实验总结
1、当流量从高权限区域流向低权限区域时
1、只要路由配通了，无须配置 nat/global，也无须配置 access-list，就可以直接
telnet 低权限区域主机;
2、只要路由配通了，同时配置了 access-list，无须配置 nat/global，就可以直接
ping 通低权限区域主机；
3、只要路由配通了，同时配置了 nat/global/access-list，此时
telnet/ping 均会执行地址转换
2、当流量从低权限区域流向高权限区域时
1、即使路由已经配通了，也不能成功访问；
2、路由已经配通了，同时必须正确配置了 static IP 地址映射及
access-list，才能成功访问；
3、调通路由是基础，同时只跟 static/access-list 有关，而跟 nat/global
毫无关系。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。技术解决方案
提供从规划到建设、运维，全周期的服务产品。
客户成功案例
查看锐捷网络解决方案在各行业的成功应用，了解客户对锐捷的评价。
销售与订单
售后及服务
营销资料平台
【交换机】两设备直连，互ping管理地址，规律性丢包
S86#ping 192.168.33.253 ntimes 1000
Sending -byte ICMP Echoes to 192.168.33.253, timeout is 2 seconds:
& & press Ctrl+C to break &
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 99 percent (991/1000), round-trip min/avg/max = 1/1/20 ms
可以看出，ping规律性丢包，大约是每100个包丢一个，1%的丢包率；
在RGOS10.4及以后的软件中，NFPP中的icmp-guard的功能默认开启，这样保护cpu不受攻击，所以如果执行长ping会规律性丢包，项目实施或者测试中需要注意。
该现象是我们软件实现上的正常结果，如果需要关闭icmp-guard，实现100%不丢包，参考如下命令：
S86#conf t
S86(config)#nfpp
S86(config-nfpp)#no icmp-guard enable
S86(config-nfpp)#end
注意：如果双方都是我司设备，需要两边设备都关闭icmp-guard。
营销资料平台
售前咨询热线
售后咨询热线
睿易产品咨询热线