搜档网
当前位置:搜档网 › 华为NE40路由器配置

华为NE40路由器配置

整个路由器的系统配置在进入不同的视图时具有不同的配置权限,用户视图和系统视图是其他视图的基础,其他视图必须基于前两者之上,如下:
用户视图:用户登陆到路由器的第一个视图,即
系统视图:在用户视图下输入system-view进入,即[Quidway]
路由协议视图:在系统视图下输入路由名称如ospf进入OSPF视图,即[Quidway-ospf],还有RIP、BGP、IS-IS视图等
接口视图:在系统视图下输入系统接口如interface ethernet0/0/0进入以太网接口视图,即[Quidway-Ethernet0/0/0],还有串口、子接口、loopback接口、ATM接口等视图
用户界面视图:在系统视图下输入user-interface aux 0,即[Quidway-ui-aux0], 此视图用于管理路由器异步和逻辑接口。
基础命令:
切换系统语言命令:language-mode [Chinese|english]
显示历史命令记录:display history-command
显示当前配置:display current-configuration,同等于CTRL+G快捷键
显示路由表:display ip routing-table,同等于CTRL+L快捷键
取消DEBUG:undo debugging all, 同等于CTRL+O快捷键
配置命令行别名:
(1)启用此功能:在系统视图下输入enable command-alias
(2)配置具体的命令行缩写:如在系统视图下输入command-alias d display,作用为输入字符d的功能等同于display
(3)显示当前命令行别名配置:display command-alias
常用命令:
从用户视图进入系统视图:system-view
从系统视图返回到用户视图:quit
从任意的非用户视图返回到用户视图:return或CTRL+Z
设置路由器名:sysname dc-ne40
设置标准时间:clock datetime 13:30:00 2005/06/21
设置欢迎信息:header {incoming|login|shell} text
从低级别进入高级别视图,可以输入以下命令进行配置:super password [level user-level] {simple|cipher} text
切换用户级别:super [level]
当用户暂时离开配置界面时,可锁定用户界面:lock
显示命令:
显示系统版本:display version
显示系统时间:display clock
显示系统调试信息:display debugging
显示当前视图的运行配置:display this
显示当前系统内存使用情况:display memory
显示CPU使用情况:display cpu
显示技术支持信息:display diagnostic-information(包含了上述所有命令显示的信息,非常全面,便于系统诊断)
显示用户界面:display user-interface
显示用户信息:display users
设置VTY访问的安全性:acl acl-number {inbound|outbound}
系统管理与维护:
ping [-a x.x.x.x] [-i interface-type interface-number][ip] [vpn-instance vpn-instance-name] host
tracert [-a x.x.x.x] [-f first_TTL] [-m max_TTL] [-p port] [-q nqueries] [vpn-instance vpn-instance-name] [-w timeout] host
系统重启:reboot
保存当前配置:save [file-name] [safely]
safely参数针对电源环境不稳定

情况,保证配置文件不丢失,系统缺省不使用此参数。
擦除配置文件:reset saved-configuration,主要针对路由器软件升级后或配置文件遭到破坏后。
FTP文件上传下载:
路由器可以作为FTP的CLIENT也可作为SERVER端,作为服务器端需要以下配置步骤:
1、启动FTP SERVER:ftp server enable
2、配置本地用户名与验证密码:local-user local-user password {simple|cipher} password
3、授权用户可以使用FTP:local-user username service-type ftp
4、(可选)设置用户使用的初始目录:local-user local-user ftp-directory directory {目录信息如:flash:/ftp/quidway}
删除FTP用户:undo user username
防止FTP服务的连接时限:ftp timeout minutes
显示FTP服务器信息:display ftp-server
显示flash目录信息:dir
显示FTP用户:display ftp-user
关于利用FTP服务器进行系统升级注意事项:
设置FTP升级方式:ftp update {fast|normal}
缺省为fast,只有fast可以充分保证不影响现有系统的正常运行!
TFTP上传下载系统文件:
用TFTP下载文件:Tftp x.x.x.x get source-filename [destination-filename] [-a ip-address]
采用安全方式下载文件:Tftp x.x.x.x sget source-filename [destination-filename] [-a ip-address] 此方式是将文件保存在FLASH中暂时不生效。
用TFTP上传文件:tftp x.x.x.x put source-filename [destination-filename] [-a ip-address]
用户管理:
1、配置认证用户的方式:authentication-mode {password|local|scheme {scheme-name|default}}
配置不进行用户认证:authentication-mode none
[备注]
(1)VTY、TTY缺省用户认证方式为password,用户登陆时只输口令字;设置口令方法:set authentication password {cipher密文|simple明文} password;
(2)local进行AAA本地认证,登陆时需要输入用户名和口令。设置用户名和口令的方法:local-user local-user password {simple|cipher} password
2、设置用户优先级
用户优先级分为用户界面优先级和用户优先级两种,用户界面优先级仅用于认证方式为password或不认证方式。
注意,用户界面优先级的配置在用户界面视图下:如[quidway-ui-console0]user privilege level 3
用户优先级的配置是在系统视图下:如local-user test level 3
SNMP配置:
1、启动SNMP Agent服务:snmp-agent(缺省关闭)
2、设置SNMP读写字符串:snmp-agent community write 04322-dzgd
3、设置SNMP只读字符串:snmp-agent community read dzgd-04322
BGP/MPLS VPN显示与调试:
从BGP表中显示VPN地址信息:display bgp vpnv4
显示与vpn-instance相关联的IP路由表:display ip routing-table vpn-instance vpn-instance-name [statistics|[ip-address][verbose]]
显示vpn-instance相关信息:display ip vpn-instance [vpn-instance-name|verbose]
显示MPLS l3vpn-lsp的相关信息:display mpls l3vpn-lsp
display bgp routing-tab

le label
display bgp vpnv4
display mpls interface
display mpls lsp
display mpls statistics
reset mpls statistics
display mpls ldp
显示MBGP路由表display bgp multicast routing-table
测试VPN内部IP地址连通性ping –vpn-instance dangzheng 10.153.6.1





















组网:NE40-8下连交换机S3352,3352下连GPON设备,用户通过3352DHCP获取私网地址,在NE40NAt板做NAT转换。
故障:部分用户在ONU上能或到地址,也能ping通网络,就是无法打开网页,奇怪的是自己拿的笔记本却可以上网。
NAT会话如下:
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.0.39:1646->218.200.39.5:17664
Outside : 58.251.60.179:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : UDP State : ESTABLISHED
Inside : 10.40.1.245:1314->218.200.39.6:59853
Outside : 220.175.235.184:8554->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.0.90:15497->218.200.39.4:44880
Outside : 125.39.101.26:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.2.221:1441->218.200.39.5:20509
Outside : 112.90.140.152:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.1.21:4788->218.200.39.6:58462
Outside : 220.181.126.137:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : UDP State : ESTABLISHED
Inside : 10.40.2.139:16001->218.200.39.7:31083
Outside : 213.167.5.230:54336->10.40.2.237:4041
********************************************************************************
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.0.72:1493->218.200.39.6:49079
Outside : 221.130.23.245:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.1.245:1284->218.200.39.6:59673
Outside : 119.42.233.243:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.1.6:2333->218.200.39.5:14313
Outside : 95.211.104.3:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protoc

ol : UDP State : ESTABLISHED
Inside : 10.40.1.13:7000->218.200.39.6:59602
Outside : 125.112.52.25:14850->10.40.108.40:5041
********************************************************************************
Vpn-Instance : (null) Protocol : TCP State : TIME_WAIT
Inside : 10.40.1.13:1198->218.200.39.6:58767
Outside : 123.125.115.126:80->0.0.0.0:*
********************************************************************************
Vpn-Instance : (null) Protocol : UDP State : ESTABLISHED
Inside : 10.40.2.227:7000->218.200.39.7:35730
Outside : 113.69.206.228:7627->10.40.108.40:5041
********************************************************************************
Vpn-Instance : (null) Protocol : UDP State : ESTABLISHED
Inside : 10.40.1.8:5000->218.200.39.7:22991

搜索更多相关主题的帖子: 华为

发起人walnut555 论坛详细资料 新新人类 开始时间2010-10-27 09:13 采纳率- / - 结帖率1帖 / - 帖子33 精华0 无忧币9 注册时间2009-3-28 最后登录2011-2-12



主题回复
dhqlx 2010-10-27 09:21 沙发 配置发上来,大家帮你看看!
walnut555 2010-10-27 09:54 板凳 nat address-group 1 pat 218.200.39.4 218.200.39.7 mask 255.255.255.252 slot 3
nat service-class 8 connections 65000
nat enable address-group 1
#
acl number 2000
rule 0 permit source 10.0.0.0 0.0.0.255
rule 5 permit source 192.168.0.0 0.0.0.255
rule 10 permit source 10.40.0.0 0.0.255.255
#
acl number 10050
rule ip source 10.40.0.0 0.0.255.255
traffic classifier c1
if-match acl 10050
traffic behavior b1
nat address-group 1 service-class 8
traffic policy p1
classifier c1 behavior b1 precedence 0
interface GigabitEthernet2/1/1
description TO-WuQiDaJiuDian-S3352
undo shutdown
portswitch
port trunk allow-pass vlan 40 70 166 168 803 1004
traffic-policy p1 inbound vlan 40
#
ip route-static 10.40.109.0 255.255.255.0 120.192.194.131
ip route-static 218.200.39.4 255.255.255.255 NULL0
ip route-static 218.200.39.5 255.255.255.255 NULL0
ip route-static 218.200.39.6 255.255.255.255 NULL0
ip route-static 218.200.39.7 255.255.255.255 NULL0
walnut555 2010-10-27 09:54 地板 这是NE40的相关配置
dhqlx 2010-10-28 08:57 4# 我不会,没用过这样的设备,请教了几个人也不会,不知道楼主折腾的怎么了,如何解决的?
eslystone 2010-10-28 09:11 5# nat address-group 1 pat 218.200.39.4 218.200.39.7 mask 255.255.255.252 slot 3

你把这个改一下试,
nat address-group 1 pat 218.200.39.6 mask 255.255.255.252 slot 3
dhqlx 2010-10-29 08:11 6# 楼上这个只是把NAT的地址范围缩小了,估计没用的。
yourland 2010-10-30 10:53 7# 该配置不全,端口配置不全,静态路由表不全。没有配默认路由?你说的ping通指的是ping那个地址是通的?dhcp分配的地址又是哪些?我看你vlan挺多的。把全部ne配置和3552配置都

贴出来看看。我用的设备是ne20,不过没配nat板,这板子太贵了。




















211.100.10.66-70用作地址池。71给服务器做反向nat

nat address-group 1 211.100.10.66 211.100.10.70 mask 255.255.255.248 slot 5
nat address-group 2 211.100.10.71 211.100.10.71 mask 255.255.255.255 slot 5 no-pat

nat server global 211.100.10.71 inside 192.168.10.71

nat-policy number 1 ip 211.100.10.65nat address-group 1

nat enable address-group 1
nat enable address-group 2






















NE40 NAT 双出口2008-01-05 14:54 先说些废话,发现一些东西,自己认为已经明白了。可是到自己动手去做时,却是另外一种景象。自己看了NE40的NAT配置,认为理解的还可以。可要把地址的一个地址拿出来再配置时,确花了很多时间才弄出来!
NE40的nat配置,操作手册第三分册的安全操作已经讲的很清楚了。这里只是接合学校网络中心的一些具体情况来说一下。
出口: 1:教育网 202.194.X.0/28
2:百灵地址池:218.98.X.52-218.98.X.61
3:网通地址池:124.128.X.240/28
要求:1:学校一些服务器不做nat。从外网访问服务器用教育网地址。
2:其余做nat
步骤: 1:配置路由器各个接口地址。
2:配置地址池
nat address-group beelink 218.98.X.52 218.98.X.61 mask 255.255.255.240 slot 2
nat address-group wangtong 124.128.X.243 124.128.X.253 mask 255.255.255.240 slot 2
nat板在插槽2上!
3: 配置到地址池的静态路由。ip route-static 黑洞路由。
4:配置nat策略:
nat -policy number 1 ip 202.194.96.X //地址为教育网出口的下一跳,不做nat,只做策略路由
nat-policy number 2 i p 124.128.X.241 nat address-group wantong
nat -policy number 3 ip 218.98.X.1 nat address-group beelin
5:当出接口地址与地址池地址在同一个网段时,需要配置nat enable命令。
nat enable address-group beelink
nat aenable address-group wangtong //将指定地址池中的地址拆分成 32 位掩码的静态路由。
6:配置流分类规则。
rule-map intervlan r49 ip 202.194.X.198 0.0.0.0 any //www服务器
rule-map intervlan r50 ip 202.194.X.0 255.255.255.240 0.0.0.0 any
7:nat策略动作
flow-action nat nat 2 service-class 4
flow-action unnat nat 2
flow-action bai nat 3 service-class 4
8:流分类规则和nat策略动作建立关联 eacl
eacl two r49 unnat
eacl two r50 nat
9:在内部网络流量的内接口上应用eacl (分几种情况)
一个交换式接口上应用 EACL :access-group switch eacl two vlan all
10:nat match-host
如果一个地址池的地址与某个以太网接口的接口地址处于同一网段时,且该以太网接口与外部网络相连,此时需要使该以太网接口响应目的地址为地址池中的地址的 ARP请求。
在网通出口上: nat match-host wa

ngtong
在百灵出口上: nat match-host beelink
故障排除:
1:几个display命令:
display nat address-group
display nat-policy
display flow-acton
display nat session
display nat staticstics
2:几个易出错的地方
nat match-host命令 以太网出口地址在地址池时,需配置。解释是:nat网关向外建立连接时,外网路由器找不到反向nat的报文的目的地。外网路由器发出目的为地址池的报文时,nat网关认为不是自己的ip地址,所以不回复arp请求。display nat session中nat state(状态)为SYN 没有ESTABLISHED(建立连接)。


























基本功:用NE40作NAT上网配置
一.通过路由式接口与内部网连接实现NAT地址转换

1.1组网需求

如下图所示,一个公司内部网络的计算机通过路由器的网络地址转换功能连接到广域网。路由器的NAT板插在4号槽位上。路由器通过路由式以太网接口Ethernet2/0/0与内部网连接。路由器通过路由式以太网接口Ethernet2/0/1与Internet相连,要求内部网段192.168.1.0/24的计算机可以访问Internet,其它网段的计算机则不能访问Internet。

1.2组网图


Lanswitch----------------NE40--------------internet


1.3 NE40路由器的配置



1.3.1 NAT地址池中的地址和外网接口地址在同一网段



路由器提示视图
配置命令,重要的命令红色突出显示
简单说明

[Quidway]
sysname NE40


[NE40]
nat address-group 1 200.200.200.129 200.200.200.254 mask 255.255.255.128 slot 4
配置地址池。该地址池地址从200.200.200.129到200.200.200.254,掩码25位,与外网接口在同一网段,NAT板在4号槽位。

[NE40]
rule-map intervlan abcde ip 192.168.1.0 0.0.0.255 any
配置允许进行NAT转换的内网地址段

[NE40]
nat service-class 4 connections 0
服务级别采用4,连接数没有限制

[NE40]
flow-action internet nat address-group 1 service-class 4
配置NAT动作,地址池为刚配置的address-group 1,服务级别采用4

[NE40]
eacl eacl1 abcde internet
配置EACL,将流分类规则与NAT动作关联

[NE40]
nat enable address-group 1
当出接口地址与地址池地址在同一个网段时,需要配置此命令:将指定地址池中的地址拆分成32位掩码的静态路由

[NE40]
interface Ethernet 2/0/0


[NE40-Ethernet

2/0/0]
undo shutdown


[NE40-Ethernet

2/0/0]
ip address 192.168.1.254 255.255.255.0


[NE40-Ethernet

2/0/0]
access-group router eacl eacl1
在入接口上应用EACL

[NE40]
interface Ethernet 2/0/1


[NE40-Ethernet

2/0/1]
undo shutdown


[NE40-Ethernet

2/0/1]
ip address 200.200.200.1 255.255.255.0


[NE40-Ethernet

2/0/1]
nat match-host 1
路由器通过以太网接口与外网连接,且NAT地址池中的IP地址与对外以太网接

口的IP地址处于同一网段,需要配置此命令:配置响应针对地址池的ARP请求

[NE40]
ip route-static 0.0.0.0 0.0.0.0 200.200.200.2 preference 60





需要注意点:

1、 地址池中的掩码长度必须比外网口的掩码长,即网段更小。

2、 地址池的地址与地址池掩码所掩到的网段尽量不要包含外网口地址或对端设备地址,如果包含,需要加到对端网关的主机路由 ip rout 200.200.200.2 255.255.255.255 200.200.200.2

3、 eacl是应用在内网口,外网口则必须加 nat match-host命令

4、 nat enable address-group 1命令是在2317及以后版本才有此命令,如果是之前版本,如3.10 r2232,需要手动加空接口路由。命令ip rout 200.200.200.128 255.255.255.128 null 0;这里的掩码和网段必须和地址池精确匹配





1.3.2 NAT地址池中的地址和外网接口地址不在同一网段(napt)



路由器提示视图
配置命令,重要的命令红色突出显示
简单说明

[Quidway]
sysname NE40


[NE40]
nat address-group 1 202.38.160.100 202.38.160.105 mask 255.255.255.0 slot 4
配置地址池。该地址池地址从202.38.160.100到202.38.160.105,掩码24位,与外网接口不在同一网段,NAT板在4号槽位。

[NE40]
rule-map intervlan abcde ip 192.168.1.0 0.0.0.255 any
配置允许进行NAT转换的内网地址段

[NE40]
nat service-class 4 connections 0
服务级别采用4,连接数没有限制

[NE40]
flow-action internet nat address-group 1 service-class 4
配置NAT动作,地址池为刚配置的address-group 1,服务级别采用4

[NE40]
eacl eacl1 abcde internet
配置EACL,将流分类规则与NAT动作关联

[NE40]
interface Ethernet 2/0/0


[NE40-Ethernet

2/0/0]
undo shutdown


[NE40-Ethernet

2/0/0]
ip address 192.168.1.254 255.255.255.0


[NE40-Ethernet

2/0/0]
access-group router eacl eacl1
在入接口上应用EACL

[NE40]
interface Ethernet 2/0/1


[NE40-Ethernet

2/0/1]
undo shutdown


[NE40-Ethernet

2/0/1]
ip address 200.200.200.1 255.255.255.0


[NE40]
ip route-static 0.0.0.0 0.0.0.0 200.200.200.2 preference 60


[NE40]
ip route-static 202.38.160.0 255.255.255.0 NULL 0 preference 60



1、版本 v3.10 release 2226
是不是不管地址池是否和出口ip在同一网段,都要配置那条到地址池,下一跳为null 0的路由?
2、上面那条路由会不会使得内网主机不能通过公网地址访问nat server指定的内部服务器?
3、能否提供一个nat server的配置?
谢谢



















NE40-8 NAT配置问题!
NE40(VRP5.3 0238.07)接两条出口线路:电信和教育网,内网使用教育网公网IP地址,共有两段16C的ip(X.X.X.X/20),32C。我们想从电信出去时做NAT,从教育网出去时不做NAT,走哪条线路有策略路由决定(已知道教育网

所有IP段),请教大家该如何做?


可以调整10001中的rule来实现对需要做NAT的数据的选择。
步骤 1 配置NAT地址池



# 配置地址池。该地址池地址从202.38.160.100/24到202.38.160.105/24,NAT板在3号槽位。



system-view



[RouterA] nat address-group n1 no-pat 202.38.160.100 202.38.160.105 prefix-length 24 slot 3



配置完成后,在Router A上可以查看到配置结果:



[RouterA] display nat address-group



步骤 2 配置流分类规则、NAT动作和NAT策略,并将NAT策略应用到路由器与内部网连接的接口上



# 配置基于ACL流分类规则,可以访问Internet的是地址为10.110.10.0/24的主机。



[RouterA] acl 10001



[RouterA-acl-simple-10001] rule 1 source 10.110.10.0 0.0.0.255 destination any



[RouterA] traffic classifier c1



[RouterA-classifier-c1] if-match acl 10001



[RouterA-classifier-c1] quit



# 定义动作,地址池为刚配置的address-group n1,服务级别采用缺省值2,限制用户数最多为100。



[RouterA] traffic behavior b1



[RouterA-behavior-b1] nat address-group n1



[RouterA-behavior-b1] quit



# 定义NAT 策略,将该规则和动作进行关联。



[RouterA] traffic policy p1



[RouterA-trafficpolicy-p1] classifier c1 behavior b1



[RouterA-trafficpolicy-p1] quit



# 配置与私网连接的接口地址,并使NAT策略在该接口生效。



[RouterA] interface Ethernet 2/0/0



[RouterA-Ethernet2/0/0] undo shutdown



[RouterA-Ethernet2/0/0] ip address 10.110.10.1 255.255.255.0



[RouterA-Ethernet2/0/0] traffic-policy p1 inbound



[RouterA-Ethernet2/0/0] quit



我发现是这样的:
1.配置NAT地址池 tel
2.配置ACL
acl1000
rule ip destination 1.1.1.1 0.0.0.255
acl 10001
rule ip destination 2.2.2.2 0.0.0.255
..............
acl n
rule ip destination n.n.n.n 0.0.0.255
###配置n个ACL,目标为教育网地址段;
acl 20000
rule ip any #
匹配目标为非教育的IP
3.配置流分类规则
traffic classifier c1
if-match acl 10000
traffic classifier c2
if-match acl 10001
........
traffic classifier cn
if-match acl n #匹配第n个acl
traffic classifier chinanet
if-match acl 20000

4.定义动作
traffic behavior to-cernet
redirect nexthop x.x.x.x #重定向路由为教育网出口
traffic behavior NAT-to-chinanet #
在电信出口做NAT
nat address-group tel

5.定义策略
traffic policy p1
classifier c1 behavior to-cernet
classifier c2 behavior to-cernet
classifier c3 behavior to-cernet
.....
classifier cn behavior to-cernet
classifier chinnet behavior NAT-to-chinanet

6.将内网接口上应用策略,并使其生效。
#######################



相关主题