cisco 路由器接防火墙再到核心交换机的网络映射问题

Posted 2023-04-01

公司的网络结构是
电信-》2820路由器-》5520防火墙-》4506核心交换机-》2960接入层交换机

路由器GigabitEthernet0/0：为公网ip地址
路由器GigabitEthernet0/1：10.0.0.2/255.255.255.0

防火墙GigabitEthernet0/0：10.0.0.1/255.255.255.0(接路由器)
防火墙GigabitEthernet0/1：10.0.8.2/255.255.255.0(接核心交换机)

核心交换机Vlan1
ip address 10.0.8.1 255.255.255.0

其他2960交换机管理ip均为10.0.8.0地址段

现在的问题是，有一台10.0.8.200的服务器，用2800路由器做静态路由映射，将3389端口映射到服务器，外网是可以连接的。但是换成映射80端口就不行，不知道问题出在哪里？是不是映射80端口的时候，跟防火墙的设置还有关系？

请大家帮忙看看！下面是配置文件：
2800 路由器部分配置：
!
interface GigabitEthernet0/0
description $ETH-WAN$
ip address 113.106.195.94 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map cisco
!
interface GigabitEthernet0/1
description $ES_LAN$$ETH-LAN$
ip address 10.0.0.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip local pool ezvpn-pool 192.168.158.10 192.168.158.100
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 113.106.195.89
ip route 10.0.0.0 255.255.0.0 10.0.0.1
ip route 192.168.0.0 255.255.0.0 GigabitEthernet0/0
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
!
ip nat inside source list 100 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.0.8.200 80 113.106.195.90 80 extendable
access-list 100 permit ip 10.0.8.0 0.0.0.255 any

参考技术A show ip nat translations
看到下面的情况，后面两项是空的。

Pro Inside global Inside local Outside local Outside global
tcp 113.106.195.94:80 10.0.8.200:80 --- --- 参考技术B 感觉映射应该成功了。。你追踪下访问情况，看看哪里卡住了 参考技术C 看防火墙设置是否拒绝out到in的80端口访问本回答被提问者采纳

思科学习网络基础Cisco路由交换——VLAN

【思科学习】网络基础Cisco路由交换——VLAN

VLAN概述
　　Virtual LAN（虚拟局域网）是物理设备上链接的不受物理位置限制的用户的一个逻辑组，。
　　引用VLAN：
　　交换机分割了冲突域，但是不能分割广播域，随着交换机端口数量的增多，网络中广播增多，降低了网络的效率，为了分割广播域，引入了VLAN。
　　VLAN的优点：
　　广播控制。
　　宽带利用。
　　延迟降低。
　　安全提高。
　　VLAN种类：
　　静态VLAN：基于端口划分的静态VLAN。
　　动态VLAN：基于MAC地址划分的动态VLAN。
　　配置VLA方法N两种：
　　Switch#vlan database （进入vlan数据库）
　　Switch(vlan)#vlan 2 name xxx（创建vlan2 并改名字为xxx）
　　————————————————————
　　Switch(config)#vlan 3（创建vlan 3）
　　Switch(config-vlan)#name x（改名字为x）
　　删除vlan：
　　Switch#vlan database （进入vlan数据库 或者Switch(config)# no vlan2（全局变量直接删除））
　　Switch(vlan)#no vlan 2（删除vlan2）
　　批量接口加入vlan：
　　Switch(config)#interface range f0/1 - 2（选中1.2端口号）
　　Switch(config-if-range)#switchport access vlan 3（把1.2端口接入vlan3）
　　接口加入vlan：
　　Switch(config)#interface fastEthernet 0/1（进入1号接口）
　　Switch(config-if)#switchport access vlan 2（把1号接口配置进vlan2）
　　Trunk中继链接：
　　实现跨交换机之间的vlan通信
　　中继链路可以承载多个vlan
　　Vlan的标识：
　　ISL（cisco私有的标记方法）
　　ISL外部封装头部26个字节，尾部4个字节，共30个字节
　　IEEE 802.1q（公有的标记方法）
　　内部封装在标准以太网帧内插入了4个字节，其中12位vlan标识。
　　ISL和802.1q异同：
　　同：都是显示了vlan的信息。
　　异：
　　IEEE 802.1q是公有的标记方法，ISL是cisco私有的。
　　ISL采用外部标记的方法，802.1q采用内部标记的方法。
　　ISL标记的长度为30个字节，8021q标记的长度为4字节。
　　Trunk配置
　　Switch(config)#interface fastEthernet 0/15（进入0/15接口）
　　Switch(config-if)#switchport mode trunk （配置为trunk模式）
　　Switch(config)#interface fastEthernet 0/15 （进入0/15接口）
　　Switch(config-if)#switchport mode dynamic desirable （配置为动态企望）
　　Switch(config)#interface fastEthernet 0/15 （进入0/15接口）
　　Switch(config-if)#switchport mode dynamic auto（动态自动）
　　在trunk链路上移除某个vlan：
　　Switch(config-if)#（进入接口）
　　Switch(config-if)#switchport trunk allowed vlan remove 2（中继链路不允许传送vlan2的数据）
　　在teunk链路上添加某vlan：
　　Switch(config-if)#（进入接口）
　　Switch(config-if)#switchport trunk allowed vlan add 2（添加vlan2）
　　查看接口模式：
　　Switch#show interfaces f0/5 switchport （查看5号端口）
　　以太网通道：
　　也称为以太端口捆绑，端口聚集或以太链路聚集，英文名EtherChannel，
　　以太网通道为交换机提供了端口捆绑技术，允许两个交换机之间通过连个或多个端口并行链接，同时传输数据，以提高更高的带宽。
　　多线条负载均衡，当一条线路失效时，其他线路通信，不会丢包，
　　以太网通道的配置：
　　Switch(config)#interface range f0/x - x（选中x-x的端口）
　　Switch(config-if-range)#switchport mode trunk （将端口配置为trunk模式）
　　Switch(config-if-range)#channel-group 1 mode on（开启通道）
　　在路由器上配置DHCP服务
　　Router(config)#
　　Router(config)#ip dhcp pool hydra（定义一个地址池）
　　Router(dhcp-config)#network 192.168.1.0 255.255.255.0（动态分配ip地址段）
　　Router(dhcp-config)#default-router 192.168.1.254（动态分配网关地址）
　　Router(dhcp-config)#dns-server 202.106.0.20（动态分配DNS服务器地址，次命令后可以跟多个备用的DNS地址）
　　Switch(config)#ip dhcp excluded-address 192.168.1.1（预留已静态分配的ip地址）