史上最详细HC路由器NAT典型配置案例

H3C路由器NAT典型配置案列（史上最详细）

神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

? NAT典型配置举例

内网用户通过NAT地址访问外网（静态地址转换）

1.?组网需求

内部网络用户使用外网地址访问Internet。

2.?组网图

图1-5?静态地址转换典型配置组网图

3.?配置步骤

#?按照组网图配置各接口的IP地址，具体配置过程略。

#?配置内网IP地址到外网地址之间的一对一静态地址转换映射。

system-view

#?使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat static enable

[Router-GigabitEthernet1/2] quit

4.?验证配置

#?以上配置完成后，内网主机可以访问外网服务器。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat static

Static NAT mappings:

? There are 1 outbound static NAT mappings.

? IP-to-IP:

Interfaces enabled with static NAT:

? There are 1 interfaces enabled with static NAT.

? Interface: GigabitEthernet1/2

#?通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose

Initiator:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: ICMP(1)

Responder:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: ICMP(1)

State: ICMP_REPLY

Application: INVALID

Start time: 2012-08-16 09:30:49? TTL: 27s

Interface(in) : GigabitEthernet1/1

Interface(out): GigabitEthernet1/2

Initiator->Responder:??????????? 5 packets??????? 420 bytes

Responder->Initiator:??????????? 5 packets??????? 420 bytes

Total sessions found: 1

内网用户通过NAT地址访问外网（地址不重叠）

1.?组网需求

·?????某公司内网使用的IP地址为。

·?????该公司拥有和两个外网IP地址。

需要实现，内部网络中网段的用户可以访问Internet，其它网段的用户不能访问Internet。使用的外网地址为和。

2.?组网图

图1-6?内网用户通过NAT访问外网（地址不重叠）

3.?配置步骤

#?按照组网图配置各接口的IP地址，具体配置过程略。

#?配置地址组0，包含两个外网地址和。

system-view

[Router] nat address-group 0

[Router-nat-address-group-0] quit

#?配置ACL 2000，仅允许对内部网络中网段的用户报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] quit

#?在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 0

[Router-GigabitEthernet1/2] quit

4.?验证配置

以上配置完成后，Host A能够访问WWW server，Host B和Host C无法访问WWW server。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat all

NAT address group information:

? There are 1 NAT address groups.

? Group Number????? Start Address???????? End Address

NAT outbound information:

? There are 1 NAT outbound rules.

? Interface: GigabitEthernet1/2

??? ACL: 2000???????? Address group: 0????? Port-preserved: N

??? NO-PAT: N???????? Reversible: N

NAT logging:

? Log enable : Disabled

? Flow-begin : Disabled

? Flow-end?? : Disabled

? Flow-active: Disabled

NAT mapping behavior:

? Mapping mode: Address and Port-Dependent

? ACL???????? : ---

NAT ALG:

? DNS: Enabled

? FTP: Enabled

? H323: Enabled

? ICMP-ERROR: Enabled

#?通过以下显示命令，可以看到Host A访问WWW server时生成NAT会话信息。[Router]?display nat session verbose

Initiator:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: ICMP(1)

Responder:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: ICMP(1)

State: ICMP_REPLY

Application: INVALID

Start time: 2012-08-15 14:53:29? TTL: 12s

Interface(in) : GigabitEthernet1/1

Interface(out): GigabitEthernet1/2

Initiator->Responder:??????????? 1 packets???????? 84 bytes

Responder->Initiator:??????????? 1 packets???????? 84 bytes

Total sessions found: 1

内网用户通过NAT地址访问外网（地址重叠）

1.?组网需求

·?????某公司内网网段地址为，该网段与要访问的外网Web服务器所在网段地址重叠。·?????该公司拥有和两个外网IP地址。

需要实现，内网用户可以通过域名访问外网的Web服务器。

2.?组网图

图1-7?内网用户通过NAT访问外网（地址重叠）

3.?配置思路

这是一个典型的双向NAT应用，具体配置思路如下。

·?????内网主机通过域名访问外网Web服务器时，首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠，因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现，载荷中的地址转换需要通过DNS ALG功能实现。

·?????内网主机得到外网Web服务器的IP地址之后（该地址为临时分配的NAT地址），通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠，因此也需要为其动态分配一个的NAT地址，可以通过出方向动态地址转换实现。·?????外网Web服务器对应的NAT地址在NAT设备上没有路由，因此需要手工添加静态路由，使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。

4.?配置步骤

#?按照组网图配置各接口的IP地址，具体配置过程略。

#?开启DNS的NAT ALG功能。

system-view

[Router] nat alg dns

#?配置ACL 2000，仅允许对网段的用户报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] quit

#?创建地址组1。

[Router] nat address-group 1

#?添加地址组成员。

[Router-nat-address-group-1] quit

#?创建地址组2。

[Router] nat address-group 2

#?添加地址组成员。

[Router-nat-address-group-2] quit

#?在接口GigabitEthernet1/2上配置入方向动态地址转换，允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible #?在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组2中的地址对内网访问外网的报文进行源地址转换，并在转换过程中使用端口信息。[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2

[Router-GigabitEthernet1/2] quit

#?配置静态路由，目的地址为外网服务器NAT地址，出接口为GigabitEthernet1/2，下一跳地址为（为本例中的直连下一跳地址，实际使用中请以具体组网情况为准）。

5.?验证配置

以上配置完成后，Host A能够通过域名访问Web server。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat all

NAT address group information:

? There are 2 NAT address groups.

? Group Number????? Start Address???????? End Address

NAT inbound information:

? There are 1 NAT inbound rules.

? Interface: GigabitEthernet1/2

??? ACL: 2000???????? Address group: 1????? Add route: N

??? NO-PAT: Y???????? Reversible: Y

NAT outbound information:

? There are 1 NAT outbound rules.

? Interface: GigabitEthernet1/2

??? ACL: 2000???????? Address group: 2????? Port-preserved: N

??? NO-PAT: N???????? Reversible: N

NAT logging:

? Log enable : Disabled

? Flow-begin : Disabled

? Flow-end?? : Disabled

? Flow-active: Disabled

NAT mapping behavior:

? Mapping mode: Address and Port-Dependent

? ACL???????? : ---

NAT ALG:

? DNS: Enabled

? FTP: Enabled

? H323: Enabled

? ICMP-ERROR: Enabled

#?通过以下显示命令，可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose

Initiator:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

Responder:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2012-08-15 14:53:29? TTL: 3597s

Interface(in) : GigabitEthernet1/1

Interface(out): GigabitEthernet1/2

Initiator->Responder:??????????? 7 packets?? ?????308 bytes

Responder->Initiator:??????????? 5 packets??????? 312 bytes

Total sessions found: 1

外网用户通过外网地址访问内网服务器

1.?组网需求

某公司内部对外提供Web、FTP和SMTP服务，而且提供两台Web服务器。公司内部网址为。其中，内部FTP服务器地址为，内部Web服务器1的IP地址为，内部Web服务器2的IP地址为，内部SMTP服务器IP地址为。公司拥有至三个公网IP地址。需要实现如下功能：

·?????外部的主机可以访问内部的服务器。

·?????选用作为公司对外提供服务的IP地址，Web服务器2对外采用8080端口。2.?组网图

图1-8?外网用户通过外网地址访问内网服务器

3.?配置步骤

#?按照组网图配置各接口的IP地址，具体配置过程略。

#?进入接口GigabitEthernet1/2。

system-view

[Router] interface gigabitethernet 1/2

#?配置内部FTP服务器，允许外网主机使用地址、端口号21访问内网FTP服务器。#?配置内部Web服务器1，允许外网主机使用地址、端口号80访问内网Web服务器1。#?配置内部Web服务器2，允许外网主机使用地址、端口号8080访问内网Web服务器2。

#?配置内部SMTP服务器，允许外网主机使用地址以及SMTP协议定义的端口访问内网SMTP服务器。

[Router-GigabitEthernet1/2] quit

4.?验证配置

以上配置完成后，外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat all

NAT internal server information:

? There are 4 internal servers.

? Interface: GigabitEthernet1/2

??? Protocol: 6(TCP)

? Interface: GigabitEthernet1/2

??? Protocol: 6(TCP)

? Interface: GigabitEthernet1/2

??? Protocol: 6(TCP)

? Interface: GigabitEthernet1/2

??? Protocol: 6(TCP)

NAT logging:

? Log enable : Disabled

? Flow-begin : Disabled

? Flow-end?? : Disabled

? Flow-active: Disabled

NAT mapping behavior:

? Mapping mode: Address and Port-Dependent

? ACL???????? : ---

NAT ALG:

? DNS: Enabled

? FTP: Enabled

? H323: Enabled

? ICMP-ERROR: Enabled

#?通过以下显示命令，可以看到Host访问FTP server时生成NAT会话信息。[Router] display nat session verbose

Initiator:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

Responder:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: FTP

Start time: 2012-08-15 14:53:29? TTL: 3597s

Interface(in) : GigabitEthernet1/2

Interface(out): GigabitEthernet1/1

Initiator->Responder:??????????? 7 packets??????? 308 bytes

Responder->Initiator:??????????? 5 packets??????? 312 bytes

Total sessions found: 1

外网用户通过域名访问内网服务器（地址不重叠）

1.?组网需求

·?????某公司内部对外提供Web服务，Web服务器地址为。

·?????该公司在内网有一台DNS服务器，IP地址为，用于解析Web服务器的域名。·?????该公司拥有两个外网IP地址：和。

需要实现，外网主机可以通过域名访问内网的Web服务器。

2.?组网图

图1-9?外网用户通过域名访问内网服务器（地址不重叠）

3.?配置思路

·?????外网主机通过域名访问Web服务器，首先需要通过访问内网DNS服务器获取Web 服务器的IP地址，因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。

·?????DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址，因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可

以通过出方向动态地址转换功能实现，转换载荷信息可以通过DNS ALG功能实现。4.?配置步骤

#?按照组网图配置各接口的IP地址，具体配置过程略。

#?开启DNS协议的ALG功能。

system-view

[Router] nat alg dns

#?配置ACL 2000，允许对内部网络中的报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] quit

#?创建地址组1。

[Router] nat address-group 1

#?添加地址组成员。

[Router-nat-address-group-1] quit

#?在接口GigabitEthernet1/2上配置NAT内部服务器，允许外网主机使用地址访问内网DNS服务器。

[Router] interface gigabitethernet 1/2

#?在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以

及允许反向地址转换。

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible

[Router-GigabitEthernet1/2] quit

5.?验证配置

以上配置完成后，外网Host能够通过域名访问内网Web server。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat all

NAT address group information:

? There are 1 NAT address groups.

? Group Number????? Start Address???????? End Address

NAT outbound information:

? There are 1 NAT outbound rules.

? Interface: GigabitEthernet1/2

??? ACL: 2000???????? Address group: 1????? Port-preserved: N

??? NO-PAT: Y???????? Reversible: Y

NAT internal server information:

? There are 1 internal servers.

? Interface: GigabitEthernet1/2

??? Protocol: 17(UDP)

NAT logging:

? Log enable : Disabled

? Flow-begin : Disabled

? Flow-end?? : Disabled

? Flow-active: Disabled

NAT mapping behavior:

? Mapping mode: Address and Port-Dependent

? ACL???????? : ---

NAT ALG:

? DNS: Enabled

? FTP: Enabled

? H323：?Enabled

? ICMP-ERROR: Enabled

#?通过以下显示命令，可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose

Initiator:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

Responder:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2012-08-15 14:53:29? TTL: 3597s

Interface(in) : GigabitEthernet1/2

Interface(out): GigabitEthernet1/1

Initiator->Responder:??????????? 7 packets??????? 308 bytes

Responder->Initiator:??????????? 5 packets??????? 312 bytes

Total sessions found: 1

外网用户通过域名访问内网服务器（地址重叠）

1.?组网需求

·?????某公司内网使用的IP地址为。

·?????该公司内部对外提供Web服务，Web服务器地址为。

·?????该公司在内网有一台DNS服务器，IP地址为，用于解析Web服务器的域名。·?????该公司拥有三个外网IP地址：、和。

需要实现，外网主机可以通过域名访问与其地址重叠的内网Web服务器。

2.?组网图

图1-10?外网用户通过域名访问内网服务器（地址重叠）

3.?配置思路

这是一个典型的双向NAT应用，具体配置思路如下。

·?????外网主机通过域名访问Web服务器，首先需要访问内部的DNS服务器获取Web 服务器的IP地址，因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。

·?????DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址，该地址与外网主机地址重叠，因此在出方向上需要为内网Web服务器动态分配一个NAT 地址，并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现，转换载荷信息可以通过DNS ALG功能实现。

·?????外网主机得到内网Web服务器的IP地址之后（该地址为NAT地址），使用该

地址访问内网Web服务器，因为外网主机的地址与内网Web服务器的真实地址重叠，

因此在入方向上也需要为外网主机动态分配一个NAT地址，可以通过入方向动态地址

转换实现。

·?????NAT设备上没有目的地址为外网主机对应NAT地址的路由，因此需要手工添加静态路由，使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。

4.?配置步骤

#?按照组网图配置各接口的IP地址，具体配置过程略。

#?开启DNS协议的ALG功能。

system-view

[Router] nat alg dns

#?配置ACL 2000，允许对内部网络中网段的报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] quit

#?创建地址组1。

[Router] nat address-group 1

#?添加地址组成员。

[Router-nat-address-group-1] quit

#?创建地址组2。

[Router] nat address-group 2

#?添加地址组成员。

[Router-nat-address-group-2] quit

#?在接口GigabitEthernet1/2上配置NAT内部服务器，允许外网主机使用地址访问内网DNS服务器。

[Router] interface gigabitethernet 1/2

#?在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以

及允许反向地址转换。

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible

#?在接口GigabitEthernet1/2上配置入方向动态地址转换，允许使用地址组2中的地址对外网访问内网的报文进行源地址转换，并在转换过程中使用端口信息。

[Router-GigabitEthernet1/2] nat inbound 2000 address-group 2

[Router-GigabitEthernet1/2] quit

#?配置到达地址的静态路由，出接口为GigabitEthernet1/2，下一跳地址为（为本例中的直连下一跳地址，实际使用中请以具体组网情况为准）。

5.?验证配置

以上配置完成后，外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat all

NAT address group information:

? There are 2 NAT address groups.

? Group Number????? Start Address???????? End Address

NAT inbound information:

? There are 1 NAT inbound rules.

? Interface: GigabitEthernet1/2

??? ACL: 2000???????? Address group: 2????? Add route: N

??? NO-PAT: N???????? Reversible: N

NAT outbound information:

? There are 1 NAT outbound rules.

? Interface: GigabitEthernet1/2

??? ACL: 2000???????? Address group: 1????? Port-preserved: N

??? NO-PAT: Y???????? Reversible: Y

NAT internal server information:

? There are 1 internal servers.

? Interface: GigabitEthernet1/2

??? Protocol: 17(UDP)

NAT logging:

? Log enable : Disabled

? Flow-begin : Disabled

? Flow-end?? : Disabled

? Flow-active: Disabled

NAT mapping behavior:

? Mapping mode: Address and Port-Dependent

? ACL???????? : ---

NAT ALG:

? DNS: Enabled

? FTP: Enabled

? H323：?Enabled

? ICMP-ERROR: Enabled

#?通过以下显示命令，可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose

Initiator:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

Responder:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2012-08-15 14:53:29? TTL: 3597s

Interface(in) : GigabitEthernet1/2

Interface(out): GigabitEthernet1/1

Initiator->Responder:??????????? 7 packets?? ?????308 bytes Responder->Initiator:??????????? 5 packets??????? 312 bytes

Total sessions found: 1

内网用户通过NAT地址访问内网服务器

1.?组网需求

·?????某公司内部网络中有一台FTP服务器，地址为。

·?????该公司拥有两个外网IP地址：和。

需要实现如下功能：

·?????外网主机可以通过访问内网中的FTP服务器。

·?????内网主机也可以通过访问内网中的FTP服务器。

2.?组网图

图1-11?内网用户通过NAT地址访问内网服务器

3.?配置思路

该需求为典型的C-S模式的NAT hairpin应用，具体配置思路如下。

·?????为使外网主机可以通过外网地址访问内网FTP服务器，需要在外网侧接口配置NAT内部服务器。

·?????为使内网主机通过外网地址访问内网FTP服务器，需要在内网侧接口使能NAT hairpin功能。其中，目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成，源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成，本例中采用出方向动态地址转换配置。

4.?配置步骤

#?按照组网图配置各接口的IP地址，具体配置过程略。

#?配置ACL 2000，允许对内部网络中网段的报文进行地址转换。

system-view

[Router] acl number 2000

[Router-acl-basic-2000] quit

#?在接口GigabitEthernet1/2上配置NAT内部服务器，允许外网主机使用地址访问内网FTP服务器，同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。[Router] interface gigabitethernet 1/2

#?在接口GigabitEthernet1/2上配置Easy IP方式的出方向动态地址转换，使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/2的IP地址进行源地址转换。

[Router-GigabitEthernet1/2] nat outbound 2000

[Router-GigabitEthernet1/2] quit

#?在接口GigabitEthernet1/1上使能NAT hairpin功能。

[Router] interface gigabitethernet 1/1

[Router-GigabitEthernet1/1] nat hairpin enable

[Router-GigabitEthernet1/1] quit

5.?验证配置

以上配置完成后，内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息，可以验证以上配置成功。

[Router]display nat all

NAT outbound information:

? There are 1 NAT outbound rules.

? Interface: GigabitEthernet1/2

??? ACL: 2000???????? Address group: ---??? Port-preserved: N

??? NO-PAT: N???????? Reversible: N

NAT internal server information:

? There are 1 internal servers.

? Interface: GigabitEthernet1/2

??? Protocol: 6(TCP)

NAT logging:

? Log enable : Disabled

? Flow-begin : Disabled

? Flow-end?? : Disabled

? Flow-active: Disabled

NAT hairpinning:

? There are 1 interfaces enabled with NAT hairpinning.

? Interface: GigabitEthernet1/1

NAT mapping behavior:

? Mapping mode: Address and Port-Dependent

? ACL???????? : ---

NAT ALG:

? DNS: Enabled

? FTP: Enabled

? H323: Enabled

? ICMP-ERROR: Enabled

#?通过以下显示命令，可以看到Host A访问FTP server时生成NAT会话信息。[Router] display nat session verbose

Initiator:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

Responder:

? VPN instance/VLAN ID/VLL ID: -/-/-

? Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2012-08-15 14:53:29? TTL: 3597s

Interface(in) : GigabitEthernet1/1

Interface(out): GigabitEthernet1/1

Initiator->Responder:??????????? 7 packets??????? 308 bytes Responder->Initiator:??????????? 5 packets??????? 312 bytes

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL

华为_MSR路由器_教育网双出口NAT服务器的典型配置

华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求： MSR 的 G0/0 连接某学校内网， G5/0 连接电信出口， G5/1 连接教育网出口，路由配置：访问教育网地址通过 G5/1 出去，其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校 一、组网需求： MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问，其域名是https://www.sodocs.net/doc/b912382602.html,，对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单：MSR一台 二、组网图：

三、配置步骤： 适用设备和版本：MSR系列、Version 5.20, Release 1205P01后所有版本。

四、配置关键点： 1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现； 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211.1.1.4会被电信给过滤掉，因此必须使用策略路由从G5/1出去； 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策

HC路由器配置实例精编版

H C路由器配置实例 公司内部编号：（GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，E t h e r n e t0/1为外网口。 1、配置内网接口（E t h e r n e t0/0）：[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k192.168.1.024 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口（Ethernet0/1） [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5．加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结： 在2020路由器下面,

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器（Community Filter） 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器（Extcommunity Filter） 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPN Target区分路由时单独使用。 目前，扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器（Route Distinguisher Filter） RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时，可以应用路由策略。只有当设备支持BGP to IGP功能时，路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)

11.1 静态路由配置 配置需求：访问目的网络2.2.2.0/24，下一跳为192.168.83.108。 （1）进入到【路由管理】-【基本路由】-【静态路由表】中，新建一条静态路由表。 （2）目的地址：需要访问的目标网络 掩码：目标网络的掩码 下一跳地址：防火墙流出网口的对端设备地址 Metric：优先级，metric值越小优先级越高 网络接口：防火墙的流出接口 （3）在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】，开始调试。 如果静态路由生效，如下图所示。

注意事项： （1）下一跳地址一定要输入正确，这个地址不是防火墙的出口地址。 （2）下一跳地址一定可达有效的地址，可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求：经过防火墙的数据包全部转发给211.211.211.210. （1）进入到【路由管理】-【基本路由】-【默认路由】中，新建一条默认路由。 （2）默认网关：211.211.211.210； 权重值：多条默认路由时使用，权重越大负载分担时流经的数据包所占比重越高

（3）在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】，开始调试。 如果默认路由生效，如下图所示。 注意事项： (1) 配置多条默认路由时，一定勾选【启用基于状态回包功能】，权重值越大，分担的流量越多。 (2) 默认路由生效了，在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址，确保可达性。 11.3 策略路由配置

配置需求：内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 （1）进入到【路由管理】-【基本路由】-【策略路由】中，新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮，新建路由表内容

华为AR1220路由器配置参数实际应用实例解说一

华为AR1220路由器配置参数实际应用实例解说一 1. 配置参数 [GZ]dis cu [V200R001C00SPC200] //路由器软件版本，可从官方网站下载 # sysname GZ //路由器名字GZ ftp server enable //ftp 服务开通以便拷贝出配置文件备份 # voice # http server port 1025 //http undo http server enable # drop illegal-mac alarm # l2tp aging 0 # vlan batch 10 20 30 40 50 //本路由器设置的VLAN ID # igmp global limit 256 # multicast routing-enable //开启组播 #

dhcp enable //全局下开启DHCP服务然后在各VLAN上开启单独的DHCP # ip vpn-instance 1 ipv4-family # acl number 2000 rule 10 permit # acl number 2001 //以太网访问规则列表。 rule 6 permit source 172.23.68.0 0.0.0.255 //允许此网段访问外网 rule 7 permit source 172.23.69.0 0.0.0.255 //允许此网段访问外网 rule 8 permit source 172.23.65.0 0.0.0.3 //允许此网段的前三个IP访问外网rule 9 deny //不允许其他网段访问外网 # acl number 3000 //此规则并未应用 rule 40 permit ip source 172.23.65.0 0.0.0.255 destination 172.23.69.0 0.0.0.25 5 # acl number 3001//定义两个网段主机互不访问，学生不能访问65网段。 rule 5 deny ip source 172.23.65.0 0.0.0.255 destination 172.23.68.0 0.0.0.255 rule 10 deny ip source 172.23.68.0 0.0.0.255 destination 172.23.65.0 0.0.0.255 # aaa //默认视图窗口定义本地登录帐号和密码

最新思科CISCO路由器配置步骤

前思科路由器已经成为路由行业的领军人物，可能好多人还不了解Cisco路由器配置的步骤，没有关系，看完本文你肯定有不少收获，希望本文能教会你更多东西，该单位公司总部在北京，全国有3个分支机构。 要求做到在4个地点的数据能够实时查询，便于业务员根据具体情况作出正确决策。早期方案是使用路由器，通过速率为256Kbps的DDN专网连接北京总部。但技术人员通过市场调研，发现该网络运营成本过高。通过进一步的咨询和调整，最终方案是分支机构使用DDN在本地接入Internet，总部使用以太网就近接入Internet。并对互联的Cisco路由器配置，使用VPN技术，保证内部数据通过Internet安全传输。该企业的网络分布见附图。 配置过程及测试步骤 在实施配置前，需要检查硬件和软件是否支持VPN。对于Cisco路由器配置，要求IOS 版本高于12.0.6(5)T，且带IPSec功能。本配置在Cisco路由器配置通过。以下是分支网络1的路由器实际配置过程，其他路由器的配置方法与此基本一致，只需修改具体的环境参数(IP 地址和接口名称)即可。 配置路由器的基本参数，并测试网络的连通性 (1) 进入Cisco路由器配置模式 将计算机串口与路由器console口连接，并按照路由器说明书配置“终端仿真”程序。执行下述命令进入配置模式。 Router>en Router#config terminal Router(config)# (2)配置路由器的基本安全参数 主要是设置特权口令、远程访问口令和路由器名称，方便远程调试。 Router(config)#enable secret xxxxxxx Router(config)#line vty 0 4 Router(config-line)#password xxxxxx Router(config-line)#exit Router(config)#hostname huadong

CISCO 策略路由(PBR)配置实例

CISCO 策略路由（PBR）配置实例 时间:2010-02-17 22:56来源:未知作者:admin 点击:142次 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式：PBR给于外发IP数据包标记IP优先位，这样方便了实施QoS策略。一般来说，PBR是通过路由映射来配置的。看个详细配置实例，你 策略路由选择可以选择修改下一跳地址以及标记数据包来提供不通的网络服务。PBR一般用于修改基于源地址的下一跳地址。推荐实现方式：PBR给于外发IP数据包标记IP优先位，这样方便了实施QoS策略。一般来说，PBR是通过路由映射来配置的。 看个详细配置实例，你会更加明白： 定义了两个访问列表：10和20，经过配置使来自网络192.168.1.0/24的数据包的下一跳地址改为192.168.100.1；使来自 192.168.2.0/24的数据包的下一跳地址改为192.168.100.2.其他源始发的数据包正常路由。 命令如下： My3377(config)#access-list 10 permit 192.168.1.0 //用访问控制列表先抓取路由 My3377(config)#access-list 20 permit 192.168.2.0 My3377(config)#route-map nexthop permit 10 //起个名字 My3377(config-route-map)#match ip address 10 //匹配一个列表 My3377(config-route-map)#set ip next-hop 192.168.100.1 //设置一个策略 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 20 My3377(config-route-map)#match ip address 20 My3377(config-route-map)#set ip next-hop 192.168.100.2 My3377(config-route-map)#exit My3377(config)#route-map nexthop permit 30 My3377(config)#int s2/1

H3C路由器配置实例

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。 1、配置内网接口（E t h e r n e t0/0）：[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口（Ethernet0/1） [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5．加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结： 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词：MSR;console; 一、组网需求： 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。 二、组网图： 三、配置步骤：

华为策略路由配置实例

华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口，实现公司和外部网络设备互连。 2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。 3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。 5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。 ?system-view [HUAWEI]?sysnameSwitch [Switch]?vlanbatch100200 #?配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。 [Switch]?interfacegigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1]?portlink-typetrunk [Switch-GigabitEthernet1/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/1]?quit

[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200，并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL，规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2

H3C策略路由配置及实例

H3C策略路由配置及实例 2010-07-19 09:21 基于策略路由负载分担应用指导介绍 特性简介 目前网吧对网络的可靠性和稳定性要求越来越高，一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。当两条线路都正常时为了减少一条线路流量压力，将流量平均分配到另外一条线路，这样提高了网络速度。当一条链路出现故障接口DOWN掉时，系统自动将流量全部转到另一条线路转发，这样提高了网络的稳定性、可靠性。满足网吧对业务要求不能中断这种需求，确保承载的业务不受影响。 使用指南 使用场合 本特性可以用在双链路的组网环境内，两条链路分担流量。保证了网络的可靠性、稳定性。 配置指南 本指南以18-22-8产品为例，此产品有2个WAN接口。ethernet2/0、ethernet3/0互为备份。 可以通过以下几个配置步骤实现本特性： 1) 配置2个WAN接口是以太链路，本案例中以以太网直连连接方式为例； 2) 配置静态路由，并设置相同的优先级； 3) 配置策略路由将流量平均分配到2条链路上。 2 注意事项 两条路由的优先级相同。 配置策略路由地址为偶数走wan1,地址为奇数走wan2。 策略路由的优先级高于路由表中的优先级。只有策略路由所使用的接口出现down后，路由比表中配置的路由才起作用。 3 配置举例 组网需求 图1为2条链路负载分担的典型组网。 路由器以太网口ETH2/0连接到ISP1，网络地址为142.1.1.0/30，以太网口ETH3/0连接到ISP2，网络地址为162.1.1.0/30；以太网口ETH1/0连接到网吧局域网，私网IP网络地址为192.168.1.0/24。

史上最详细H3C路由器NAT典型配置案例

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网（静态地址转换） 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址，具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 使配置的静态地址转换在接口GigabitEthernet1/2上生效。 [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4. 验证配置 # 以上配置完成后，内网主机可以访问外网服务器。通过查看如下显示信息，可以验证以上配置成功。 [Router] display nat static Static NAT mappings:

There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网（地址不重叠） 1. 组网需求

Cisco路由器的SSH配置详解

C i s c o路由器的S S H配 置详解 The document was finally revised on 2021

Cisco路由器的SSH配置详解 2008-06-18 13:04 如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。 本文告诉你如何用SSH替换Telnet. 使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快地，会有人进行监听，并且他们会利用你安全意识的缺乏。 SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。 在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证。 加密算法包括Blowfish，数据加密标准（DES），以及三重DES （3DES）。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。 实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。 在我们的例子中，我们将使用Cisco IOS命令。运行下面的命令： 该命令显示已加载的IOS镜像名称。你可以用结果对比你的供应商的支持特性列表。 在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正确的主机域，就像下面的一样： 在这个时候，你就可以启用路由器上的SSH服务器。要启用SSH服务器，你首先必须利用下面的命令产生一对RSA密钥：

华为AR1200 路由器策略路由配置

华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #

pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为

图解思科路由器配置教程

cisco路由器配置教程 手把手教你配置cisco路由器 经过几十年的发展,从最初的只有四个节点的ARPANET发展到现今无处不在的Internet,计算机网络已经深入到了我们生活当中。随着计算机网络规模的爆炸性增长,作为连接设备的路由器也变得更加重要。 公司在构建网络时，如何对路由器进行合理的配置管理成为网络管理者的重要任务之一。本专题就为读者从最简单的配置开始为大家介绍如何配置cisco路由器。 很多读者都对路由器的概念非常模糊，其实在很多文献中都提到，路由器就是一种具有多个网络接口的计算机。这种特殊的计算机内部也有CPU、内存、系统总线、输入输出接口等等和PC相似的硬件，只不过它所提供的功能与普通计算机不同而已。 和普通计算机一样，路由器也需要一个软件操作系统，在cisco 路由器中，这个操作系统叫做互联网络操作系统，这就是我们最常听到的IOS 软件了。下面就请读者跟着我们来一步步的学习最基本的路由器配置方法。 cisco路由器基本配置： √ cisco IOS软件简介： 大家其实没必要把路由器想的那么复杂，其实路由器就是一个具有多个端口的计算机，只不过它在网络中起到的作用与一般的PC不同而已。和普通计算机一样，路由器也需要一个操作系统，cisco把这个操作系统叫作cisco互联网络操作系统，也就是我们知道的IOS，所有cisco路由器的IOS都是一个嵌入式软件体系结构。

cisco IOS软件提供以下网络服务： 基本的路由和交换功能。 可靠和安全的访问网络资源。 可扩展的网络结构。 cisco命令行界面（CLI）用一个分等级的结构，这个结构需要在不同的模式下来完成特定的任务。例如配置一个路由器的接口，用户就必须进入到路由器的接口配置模式下，所有的配置都只会应用到这个接口上。每一个不同的配置模式都会有特定的命令提示符。EXEC为IOS软件提供一个命令解释服务，当每一个命令键入后EXEC便会执行该命令。 √第一次配置Cisco路由器： 在第一次配置cisco路由器的时候，我们需要从console端口来进行配置。以下，我们就为大家介绍如何连接到控制端口及设置虚拟终端程序。 1、使用rollover线和一个RJ45和DB9或者DB25的转换适配器连接路由器控制端口和终端计算机。

C路由器配置实例

C路由器配置实例 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。 1、配置内网接口（Ethernet0/0）： [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口（Ethernet0/1） [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5．加默缺省路由 [MSR20-20]route-stac 0.0.0.0 外网网关 总结： 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词：MSR;console; 一、组网需求： 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。

cisco路由器配置教程

Cisco路由器配置教程 翻译：何高卓(2001-04-19 14:28:01) Josh Gentry, 1999年9月6日，v.99 翻译：何高卓1999.12.10 -------------------------------------------------------------------------------- 本人声明：本人本着“我为人人，人人为我”的宗旨翻译了此文。本文仅为阁下提供参考。 如果由于本人在翻译过程中的疏忽和错误造成阁下经济上或精神上的损失，本人 只能深表遗憾而拒绝承担一切责任。 -------------------------------------------------------------------------------- 本文覆盖了使用命令行界面的基本的Cisco路由器IP地址配置 -------------------------------------------------------------------------------- 感谢 以下的资源非常有用： Leinwand、Pinsky和Culpepper。Cisco路由器的配置。印第安纳州印第安纳波利斯：Cisco公司出版，1998。Cisco系统公司， 感谢Newman给我上了配置Cisco路由器的第一节课。 本文的信息原先搜集于，或者说得自于James Hart先生所完成的计划。他在Albuquerque,NM（美国新墨西哥州）的技术/职业学院教师。非常感谢他允许我参加该计划的工作。 弃权书 本文的传播无须明确或含蓄的授权，对本文包含的信息的正确性亦不作任何担保。本文仅提供给需要帮助的人使用，但使用者必须自己承担风险。如果使用者由于使用本文而造成的任何损失作者和TVI（技术/职业学院）概不负责。 约定

路由协议-ip策略路由典型配置

5.5IP策略路由典型配置 5.5.1策略路由基本配置 『需求』 在Router上做策略路由，从40.1.1.0/25来的报文送往S0口，从40.1.1.128/25来的报文送往S1。 【Router】 当前路由器提示视图依次输入的配置命令，重要的命令红色突出显示简单说明 ! 适用版本:vrp1.74/1.44 [Router] acl 1 定义acl1 [Router-acl-1] rule normal permit source 40.1.1.0 0.0.0.127 允许40.1.1.0/25源地址网段 [Router-acl-1] rule normal deny source any 禁止其他任何网段 ! [Router] acl 2 定义acl2 [Router-acl-2] rule normal permit source 40.1.1.128 0.0.0.127 允许40.1.1.128/25源地址 网段 [Router-acl-2] rule normal deny source any 禁止其他任何网段 ! [Router] interface Ethernet0 进入以太0口[Router-ethernet0] ip address 40.1.1.1 255.255.255.0 配置ip地址[Router-ethernet0] ip policy route-policy aaa 应用aaa策略 ! [Router] interface Serial0 进入串口0口[Router-Serial0] link-protocol ppp 封装ppp链路层协议

华为路由器路由策略和策略路由

! 路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 " 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 % 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。

图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 . deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 @ 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。