H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。
NAT典型配置举例
内网用户通过NAT地址访问外网(静态地址转换)
1. 组网需求
内部网络用户使用外网地址访问Internet。
2. 组网图
图1-5 静态地址转换典型配置组网图
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
[Router] nat static outbound 使配置的静态地址转换在接口GigabitEthernet1/2上生效。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat static enable
[Router-GigabitEthernet1/2] quit
4. 验证配置
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat static
Static NAT mappings:
There are 1 outbound static NAT mappings.
IP-to-IP:
Local IP : Global IP :
Interfaces enabled with static NAT:
There are 1 interfaces enabled with static NAT.
Interface: GigabitEthernet1/2
# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-16 09:30:49 TTL: 27s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1
内网用户通过NAT地址访问外网(地址不重叠)
1. 组网需求
·某公司内网使用的IP地址为。
·该公司拥有和两个外网IP地址。
需要实现,内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为和。
2. 组网图
图1-6 内网用户通过NAT访问外网(地址不重叠)
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置地址组0,包含两个外网地址和。
[Router] nat address-group 0
[Router-nat-address-group-0] address quit
# 配置ACL 2000,仅允许对内部网络中网段的用户报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source quit
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 0
[Router-GigabitEthernet1/2] quit
4. 验证配置
以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 1 NAT address groups.
Group Number Start Address End Address
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-15 14:53:29 TTL: 12s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1
内网用户通过NAT地址访问外网(地址重叠)
1. 组网需求
·某公司内网网段地址为,该网段与要访问的外网Web服务器所在网段地址重叠。
·该公司拥有和两个外网IP地址。
需要实现,内网用户可以通过域名访问外网的Web服务器。
2. 组网图
图1-7 内网用户通过NAT访问外网(地址重叠)
3. 配置思路
这是一个典型的双向NAT应用,具体配置思路如下。
·内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。
·内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。
·外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS的NAT ALG功能。
[Router] nat alg dns
# 配置ACL 2000,仅允许对网段的用户报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员。
[Router-nat-address-group-1] address quit
# 创建地址组2。
[Router] nat address-group 2
# 添加地址组成员。
[Router-nat-address-group-2] address quit
# 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2
[Router-GigabitEthernet1/2] quit
# 配置静态路由,目的地址为外网服务器NAT地址,出接口为GigabitEthernet1/2,下一跳地址为(为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。[Router] ip route-static 32 gigabitethernet 1/2 验证配置
以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 2 NAT address groups.
Group Number Start Address End Address
1 2
NAT inbound information:
There are 1 NAT inbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 1 Add route: N
NO-PAT: Y Reversible: Y
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: N
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes Total sessions found: 1
外网用户通过外网地址访问内网服务器
1. 组网需求
某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为。其中,内部FTP服务器地址为,内部Web服务器1的IP地址为,内部Web服务器2的IP 地址为,内部SMTP服务器IP地址为。公司拥有至三个公网IP地址。需要实现如下功能:·外部的主机可以访问内部的服务器。
·选用作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。2. 组网图
图1-8 外网用户通过外网地址访问内网服务器
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 进入接口GigabitEthernet1/2。
[Router] interface gigabitethernet 1/2
# 配置内部FTP服务器,允许外网主机使用地址、端口号21访问内网FTP服务器。[Router-GigabitEthernet1/2] nat server protocol tcp global 21 inside ftp
# 配置内部Web服务器1,允许外网主机使用地址、端口号80访问内网Web服务器1。[Router-GigabitEthernet1/2] nat server protocol tcp global 80 inside www
# 配置内部Web服务器2,允许外网主机使用地址、端口号8080访问内网Web服务器2。[Router-GigabitEthernet1/2] nat server protocol tcp global 8080 inside www
# 配置内部SMTP服务器,允许外网主机使用地址以及SMTP协议定义的端口访问内网SMTP 服务器。
[Router-GigabitEthernet1/2] nat server protocol tcp global smtp inside smtp [Router-GigabitEthernet1/2] quit
4. 验证配置
以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT internal server information:
There are 4 internal servers.
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: Local IP/port: Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: Local IP/port: Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: Local IP/port: Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: Local IP/port: NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/2
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes Total sessions found: 1
外网用户通过域名访问内网服务器(地址不重叠)
1. 组网需求
·某公司内部对外提供Web服务,Web服务器地址为。
·该公司在内网有一台DNS服务器,IP地址为,用于解析Web服务器的域名。·该公司拥有两个外网IP地址:和。
需要实现,外网主机可以通过域名访问内网的Web服务器。
2. 组网图
图1-9 外网用户通过域名访问内网服务器(地址不重叠)
3. 配置思路
·外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS 服务端口映射为一个外网地址和端口。
·DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS协议的ALG功能。
[Router] nat alg dns
# 配置ACL 2000,允许对内部网络中的报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 0
[Router-acl-basic-2000] quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员。
[Router-nat-address-group-1] address quit
# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址访问内网DNS服务器。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat server protocol udp global inside domain
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible [Router-GigabitEthernet1/2] quit
5. 验证配置
以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 1 NAT address groups.
Group Number Start Address End Address
1
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 1 Port-preserved: N
NO-PAT: Y Reversible: Y
NAT internal server information:
There are 1 internal servers.
Interface: GigabitEthernet1/2
Protocol: 17(UDP)
Global IP/port: Local IP/port:
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323:Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/2
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
外网用户通过域名访问内网服务器(地址重叠)
1. 组网需求
·某公司内网使用的IP地址为。
·该公司内部对外提供Web服务,Web服务器地址为。
·该公司在内网有一台DNS服务器,IP地址为,用于解析Web服务器的域名。·该公司拥有三个外网IP地址:、和。
需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。
2. 组网图
图1-10 外网用户通过域名访问内网服务器(地址重叠)
3. 配置思路
这是一个典型的双向NAT应用,具体配置思路如下。
·外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web 服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS 服务端口映射为一个外网地址和端口。
·DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT 地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
·外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。·NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS协议的ALG功能。
[Router] nat alg dns
# 配置ACL 2000,允许对内部网络中网段的报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员。
[Router-nat-address-group-1] address quit
# 创建地址组2。
[Router] nat address-group 2
# 添加地址组成员。
[Router-nat-address-group-2] address quit
# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址访问内网DNS服务器。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat server protocol udp global inside domain
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。
[Router-GigabitEthernet1/2] nat inbound 2000 address-group 2
[Router-GigabitEthernet1/2] quit
# 配置到达地址的静态路由,出接口为GigabitEthernet1/2,下一跳地址为(为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
[Router] ip route-static 32 gigabitethernet1/2 验证配置
以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 2 NAT address groups.
Group Number Start Address End Address
1 2
NAT inbound information:
There are 1 NAT inbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 2 Add route: N
NO-PAT: N Reversible: N
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y
NAT internal server information:
There are 1 internal servers.
Interface: GigabitEthernet1/2
Protocol: 17(UDP)
Global IP/port: Local IP/port:
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323:Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/2
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes Total sessions found: 1
内网用户通过NAT地址访问内网服务器
1. 组网需求
·某公司内部网络中有一台FTP服务器,地址为。
·该公司拥有两个外网IP地址:和。
需要实现如下功能:
·外网主机可以通过访问内网中的FTP服务器。
·内网主机也可以通过访问内网中的FTP服务器。
2. 组网图
S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10(ICG2000),具体配置的内容是: PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable
# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11
version 5.20, Release 2104P02, Basic # sysname H3C # nat address-group 27 122.100.84.202 122.100.84.202 # # domain default enable system # dns resolve dns proxy enable # telnet server enable # dar p2p signature-file cfa0:/p2p_default.mtd # port-security enable # # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 202.106.0.20 202.106.46.151 # # user-group system # local-user admin password cipher .]@USE=*8 authorization-attribute level 3 service-type telnet # interface Aux0 async mode flow link-protocol ppp
interface Cellular0/0 async mode protocol link-protocol ppp # interface Ethernet0/0 port link-mode route nat outbound address-group 27 ip address 122.100.84.202 255.255.255.202 # interface Ethernet0/1 port link-mode route ip address 192.168.201.1 255.255.255.0 # interface NULL0 # # ip route-static 0.0.0.0 0.0.0.0 122.100.84.201 # dhcp enable # load xml-configuration # user-interface con 0 user-interface tty 13 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple###¥¥¥# return [H3C]
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
7 相关资料
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。
3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址 # 配置接口GigabitEthernet2/0/1的IP地址。
ip http enable 开启WEB 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤: 设备和版本:MSR系列、version 5.20, R1508P02
H3C单臂路由配置 H3c交换机配置
第一章 PLC的硬件与工作原理 5、手持式编程器可以为PLC编写语句表方式的程序。 6、PLC一般能(能,不能)为外部传感器提供24V直流电源。 7、PLC的输出接口类型有继电器,晶闸管与场效应晶体管。 8、PLC的软件系统可分为系统程序和用户程序两大部分。 10、PLC采用_循环扫描_工作方式,其过程可分为五个阶段:_自诊断检查__, 通信处理,输入采样,_执行用户程序_和_输出改写_,称为一个扫描周期。
静态路由配置案例。 路由器A配置: [routeA]interface e0 [routeA-e0]ip address 192.168.0.1 255.255.255.0 [routeA]interface s0 [routeA-s0]ip address 192.168.1.1 255.255.255.0 [routeA-s0]link-protocol ppp [配置封装协议] [routeA]ip route-static 192.168.3.0 255.255.255.0 192.168.1. 2 preference 60 [设置静态路由,优先级为60] 路由器B配置: [routeB]interface e0 [routeB-e0]ip address 192.168.3.1 255.255.255.0 [routeB]interface s0 [routeB-s0]ip address 192.168.2.1 255.255.255.0
[routeA-s0]link-protocol ppp [配置封装协议] [routeA]ip route-static 192.168.0.0 255.255.255.0 192.168.1. 1 preference 60 [设置静态路由,优先级为60] 使用默认路由配置: 缺省路由也是一种静态路由.简单地说,缺省路由就是在没有找到任保匹配置的路由项情况下,才使用的路由.即只有当无任何合适的路由时,缺省路由才被使用. [rotueA]ip route-statci 0.0.0.0 0.0.0.0 s0 preference 60 『注意』 上面命令中用到了Serial 0,接口的名字,如串口封装PPP 或HDLC协议,这时可以不用指定下一跳地址,只需指定发送接口即可。对于以太口,Serial口封装了非点到点协议比如fr、x25等,必须配置下一跳的ip地址。
神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网(地址不重叠) 1. 组网需求 ·某公司内网使用的IP地址为。 ·该公司拥有和两个外网IP地址。 需要实现,内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为和。 2. 组网图
1.5 PPP典型配置举例 1.5.1 PAP单向认证举例 1. 组网需求 如图1-3所示,Router A和Router B之间用接口Serial2/1/0互连,要求Router A 用PAP方式认证Router B,Router B不需要对Router A进行认证。 2. 组网图 图1-3 配置PAP单向认证组网图 3. 配置步骤 (1) 配置Router A # 为Router B创建本地用户。
网络环境:固定IP,光钎接入。 硬件环境:IbmX3650M3一台(OA),双网卡,一台H3C F100-A防火墙一台。 客户需求:要求内部网络通过防火墙访问外网,外网客户端通过防火墙能够访问内部OA服务器。 实施步骤:服务器做好系统并把数据库调试好。 防火墙的调试,通过串口线连接本子PC和防火墙,用超级终端。可用2种调试方法。Web 界面的调试和命令行的调试。 先是第一种方法。具体操作如下: 1》因为机器默认是没有ip和用户名和密码的,所以就需要超级终端通过命令行来给机器配置,操作如下:因为机器本身带一条console口的串口线,把另一端连接到带串口的笔记本上,因为有的本子没有9针的串口,所以最好买一条九针转U口的,连到笔记本的U口上面,接下来就是打串口的驱动了,在网上下个万能的串口驱动也是能用的(附件里有自己用的一个驱动),连接好以后,把防火墙通上电。 2》在本子上点击开始-程序-附件-通讯-超级终端,打开后是新建连接,在名称里输入comm1,选第一个图标,点击确定,在连接时使用的下拉菜单中选直接连接到串口1,点击确定,然后 在串口的属性对话框中设置波特率为9600,数据位为8,奇偶校验为无,停止位 为1,流量控制为无,按[确定]按钮,返回超级终端窗口。 接下来配置 超级终端属性 在超级终端中选择[属性/设置]一项,进入图4-5所示的属性设置窗口。选择 终端仿真类型为VT100或自动检测,按[确定]按钮,返回超级终端窗口。 连通后在超级终端里会显示防火墙的信息。 机子会提示你 Ctrl+B
你不用管,这是进ROOT菜单的。 接下来就要为防火墙配置管理IP,用户名和密码了 配置有2种模式,一般情况下用路由模式,先配置IP 为使防火墙可以与其它网络设备互通,必须先将相应接口加入到某一安全区域中,且将缺省的过滤行为设置为允许,并为接口(以GigabitEthernet0/0 为例)这是lan0的接口,配置IP地址。 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C-zone-trust] quit [H3C] firewall packet-filter default permit [H3C] interface GigabitEthernet0/0 [H3C-GigabitEthernet0/0] ip address Lan0口配置的ip是接下来就为本机PC配置ip,因为接的是LAN0口,所以把ip配置成,配置好后在 本子上运行CMD,PING 通后,接下来就是为防火墙配置用户名和密码 例如:建立一个用户名和密码都为admin,帐户类型为telnet,权限等级为3的 管理员用户,运行下面的命令: [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 配置好后从调试本子的IE中,敲入,回车 就进入WEB界面,敲入admin后就进入WEB的配置管理界面。 假设
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,您懂的。 1、11 NAT典型配置举例 1、11、1 内网用户通过NAT地址访问外网(静态地址转换) 1、组网需求 内部网络用户10、110、10、8/24使用外网地址202、38、1、100访问Internet。 2、组网图 图1-5 静态地址转换典型配置组网图 3、配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10、110、10、8到外网地址202、38、1、100之间的一对一静态地址转换映射。