思科路由器配置后无法出外网

weng200504546

         目前，有一条家用宽带，光猫自带拨号功能，DHCP自动分配私有的192.168.1.1/24的地址，但因电信限制，不能超过5个客户端的限制，因此我计划下面再接一台路由器，再连接设备上网（此处功能和家用是一样，相信大家在家里都是这样做的）。
         首先，使用一台普通的TP-link家用或者企业路由器（就是比家用的好一点点），WAN配置为动态获取IP地址，内网DHCP分配在网页配置好后，路由器内网口的电脑可以正常出外网；但现在我换成思科的2901路由器后，正常配置好默认路由以及NPT后，路由器内网口的电脑无法出外网；可以ping 通光猫，也能登陆光猫；是否有大神解决此问题，感谢！
        再说明一下，我使用一条需要拨号的宽带测试过，当连接电信的口配置为pppoe，网络正常，所以我的DNSi没有问题，所以不要说什么要配置pppoe与DNS的问题，不知道大家有没有使用过家用宽带与思科路由器配置上网的情况。
       现附路由器配置：
sh run
Building configuration...
Current configuration : 3428 bytes
!
! Last configuration change at 05:28:29 UTC Wed Jul 5 2017
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CTF-WiFi
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 vEseET6ijn28Vq5LT5TtOLd626rHigtL3lS9AZDMfjs
!
no aaa new-model
!
ip cef
!
!
!
ip dhcp excluded-address 10.16.1.1 10.16.1.254
!
ip dhcp pool Lan
network 10.16.0.0 255.255.254.0
dns-server 202.103.44.150
default-router 10.16.1.1
!
!
!
no ip domain lookup
no ipv6 cef
multilink bundle-name authenticated
!
!
!
crypto pki trustpoint TP-self-signed-465943054
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-465943054
revocation-check none
rsakeypair TP-self-signed-465943054
!
!
crypto pki certificate chain TP-self-signed-465943054
certificate self-signed 01
  30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 34363539 34333035 34301E17 0D313730 37303530 35303132
  365A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3436 35393433
  30353430 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
  9E187A55 A4483BBA 13BCB9FA DA152F5B 1DBC438F 7CAD7F10 68BD7B98 87A1C4C0
  AA481933 0663C189 A413F7D1 AA39C27F 3A7568FB F649426C 1BD6D7B9 EFF618AF
  52E690BE 27B2DB30 133E97B4 FA7194EF 6F5731F3 ECF37AB0 ED665C43 4B700482
  850677D2 1132EF02 E1B0E479 75C88D9A 3F674520 AD056424 96F20F0C 44654D35
  02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D
  23041830 16801406 7FF84D10 84AE7952 590E51D6 1F26B4C3 E9BB2A30 1D060355
  1D0E0416 0414067F F84D1084 AE795259 0E51D61F 26B4C3E9 BB2A300D 06092A86
  4886F70D 01010505 00038181 007564E0 B9043771 773D79FB 590BD4C5 03D3F57C
  5ADAC423 D9B7B0B8 877D0D9B AD63656F 435A8B8E 1EC6A81C 77189487 8FAE806A
  9CCC3152 6CEE7FE8 AFEEBF7B 03811223 36E0C074 D847CDE6 AEEFF8B6 D90ABAB5
  9AE9509F 62585B0A 6FB58DAD 3CA2CF9D 237E8925 38A85A96 822267ED 60ADB2A8
  9BE97407 E191A369 17619C55 2F
        quit
license udi pid CISCO2901/K9 sn FGL174821G5
!
!
username wh@ctf secret 4 rG0ZxHevubODJ4GGXyNZfnXTVGq2vmL5SI4UN.JWZqg
!
!
!
class-map match-all 102
match access-group 102
!
policy-map 102
class 102
  police 2560000 8000 conform-action transmit  exceed-action drop
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 10.16.1.1 255.255.254.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
service-policy input 102
service-policy output 102
!
ip forward-protocol nd
!
ip http server
ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0
!
access-list 1 permit 10.16.0.0 0.0.1.255
access-list 102 permit ip 10.16.0.0 0.0.0.255 any
access-list 102 permit ip any 10.16.0.0 0.0.0.255
!         
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 5 0
logging synchronous
login local
transport input all
!
scheduler allocate 20000 1000
!
end      

zhurx

zhurx 发表于 2017-7-6 15:29
==== DHCP自动分配私有的192.168.1.1/24的地址=====
下面这条默认路由不能丢掉G0/0算完事，必须要指定为到 ...

你看看限制为5个连接的192.168.1.X 自动获得的gateway 是哪个IP?

然后将2901路由器上的默认路由Gi0/0 换成gateway IP 192.168.1.X.

2号

小白一个，凑热闹，

zhurx

==== DHCP自动分配私有的192.168.1.1/24的地址=====
下面这条默认路由不能丢掉G0/0算完事，必须要指定为到192.168.1.X上光猫接口的IP。。。。
-X----ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0----

李壑彝

你们都是大神，我来膜拜下哈，没这样玩过，不过觉得楼上说的有道理哈

weng200504546

zhurx 发表于 2017-7-6 15:35
你看看限制为5个连接的192.168.1.X 自动获得的gateway 是哪个IP?

然后将2901路由器上的默认路由Gi0/0  ...

为什么不能指向自己的外网出口？这两条命令有什么区别？ip router 0.0.0.0 0.0.0.0 192.168.1.1
ip router 0.0.0.0 0.0.0.0 gi0/0

weng200504546

更新一下，我目前已经搞定了。
理论与实际的确有区别，在GNS3和PT模拟测试没有问题，但在实际中，在出外网的端口要加一条IP MTU 1492的命令，另外PPPOE拨号与动静态分配IP在配置默认路由是不一样的，PPPOE拨号的路由，发出去的数据可以是自己出端口（也就是GI0/0），但动静态分配IP，却不能使用这样的默认路由，必须要使用出口对端的网关地址，原因想不通，理论上这两者是一样的。

weng200504546

zhurx 发表于 2017-7-6 13:29
你看看限制为5个连接的192.168.1.X 自动获得的gateway 是哪个IP?

然后将2901路由器上的默认路由Gi0/0  ...

虽然不完整，但还是给选你了！如果能说出理由来更好！

zhurx

解释的拓扑见附件。
NAT路由器上的static route 指向gi0/0口没有任何意义，因为上网猫与你的NAT路由器之间没运行路由协议。
来自NAT路由器上10.1.1.X 数据包被NAT成IP 192.168.1.12,  NAT路由器只有流量明确指向192.168.1.1, 上网猫才会处理这个数据流量，再做一次NATl成 IP 202.100.1.2 流量outbound to internet.