搜档网
当前位置:搜档网 › 史上最详细H3C路由器NAT典型配置案例

史上最详细H3C路由器NAT典型配置案例

史上最详细H3C路由器NAT典型配置案例
史上最详细H3C路由器NAT典型配置案例

H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。

NAT典型配置举例

内网用户通过NAT地址访问外网(静态地址转换)

1. 组网需求

内部网络用户使用外网地址访问Internet。

2. 组网图

图1-5 静态地址转换典型配置组网图

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置内网IP地址到外网地址之间的一对一静态地址转换映射。

system-view

[Router] nat static outbound 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat static enable

[Router-GigabitEthernet1/2] quit

4. 验证配置

# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat static

Static NAT mappings:

There are 1 outbound static NAT mappings.

IP-to-IP:

Local IP : Global IP :

Interfaces enabled with static NAT:

There are 1 interfaces enabled with static NAT.

Interface: GigabitEthernet1/2

# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose

Initiator:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: ICMP(1)

Responder:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: ICMP(1)

State: ICMP_REPLY

Application: INVALID

Start time: 2012-08-16 09:30:49 TTL: 27s

Interface(in) : GigabitEthernet1/1

Interface(out): GigabitEthernet1/2

Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes

Total sessions found: 1

内网用户通过NAT地址访问外网(地址不重叠)

1. 组网需求

·某公司内网使用的IP地址为。

·该公司拥有和两个外网IP地址。

需要实现,内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为和。

2. 组网图

图1-6 内网用户通过NAT访问外网(地址不重叠)

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置地址组0,包含两个外网地址和。

system-view

[Router] nat address-group 0

[Router-nat-address-group-0] address quit

# 配置ACL 2000,仅允许对内部网络中网段的用户报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source quit

# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 0

[Router-GigabitEthernet1/2] quit

4. 验证配置

以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat all

NAT address group information:

There are 1 NAT address groups.

Group Number Start Address End Address

NAT outbound information:

There are 1 NAT outbound rules.

Interface: GigabitEthernet1/2

ACL: 2000 Address group: 0 Port-preserved: N

NO-PAT: N Reversible: N

NAT logging:

Log enable : Disabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active: Disabled

NAT mapping behavior:

Mapping mode: Address and Port-Dependent

ACL : ---

NAT ALG:

DNS: Enabled

FTP: Enabled

H323: Enabled

ICMP-ERROR: Enabled

# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose

Initiator:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: ICMP(1)

Responder:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: ICMP(1)

State: ICMP_REPLY

Application: INVALID

Start time: 2012-08-15 14:53:29 TTL: 12s

Interface(in) : GigabitEthernet1/1

Interface(out): GigabitEthernet1/2

Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes

Total sessions found: 1

内网用户通过NAT地址访问外网(地址重叠)

1. 组网需求

·某公司内网网段地址为,该网段与要访问的外网Web服务器所在网段地址重叠。

·该公司拥有和两个外网IP地址。

需要实现,内网用户可以通过域名访问外网的Web服务器。

2. 组网图

图1-7 内网用户通过NAT访问外网(地址重叠)

3. 配置思路

这是一个典型的双向NAT应用,具体配置思路如下。

·内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。

·内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。

·外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。

4. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 开启DNS的NAT ALG功能。

system-view

[Router] nat alg dns

# 配置ACL 2000,仅允许对网段的用户报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source quit

# 创建地址组1。

[Router] nat address-group 1

# 添加地址组成员。

[Router-nat-address-group-1] address quit

# 创建地址组2。

[Router] nat address-group 2

# 添加地址组成员。

[Router-nat-address-group-2] address quit

# 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2

[Router-GigabitEthernet1/2] quit

# 配置静态路由,目的地址为外网服务器NAT地址,出接口为GigabitEthernet1/2,下一跳地址为(为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。[Router] ip route-static 32 gigabitethernet 1/2 验证配置

以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat all

NAT address group information:

There are 2 NAT address groups.

Group Number Start Address End Address

1 2

NAT inbound information:

There are 1 NAT inbound rules.

Interface: GigabitEthernet1/2

ACL: 2000 Address group: 1 Add route: N

NO-PAT: Y Reversible: Y

NAT outbound information:

There are 1 NAT outbound rules.

Interface: GigabitEthernet1/2

ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: N

NAT logging:

Log enable : Disabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active: Disabled

NAT mapping behavior:

Mapping mode: Address and Port-Dependent

ACL : ---

NAT ALG:

DNS: Enabled

FTP: Enabled

H323: Enabled

ICMP-ERROR: Enabled

# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose

Initiator:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

Responder:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2012-08-15 14:53:29 TTL: 3597s

Interface(in) : GigabitEthernet1/1

Interface(out): GigabitEthernet1/2

Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes Total sessions found: 1

外网用户通过外网地址访问内网服务器

1. 组网需求

某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为。其中,内部FTP服务器地址为,内部Web服务器1的IP地址为,内部Web服务器2的IP 地址为,内部SMTP服务器IP地址为。公司拥有至三个公网IP地址。需要实现如下功能:·外部的主机可以访问内部的服务器。

·选用作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。2. 组网图

图1-8 外网用户通过外网地址访问内网服务器

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 进入接口GigabitEthernet1/2。

system-view

[Router] interface gigabitethernet 1/2

# 配置内部FTP服务器,允许外网主机使用地址、端口号21访问内网FTP服务器。[Router-GigabitEthernet1/2] nat server protocol tcp global 21 inside ftp

# 配置内部Web服务器1,允许外网主机使用地址、端口号80访问内网Web服务器1。[Router-GigabitEthernet1/2] nat server protocol tcp global 80 inside www

# 配置内部Web服务器2,允许外网主机使用地址、端口号8080访问内网Web服务器2。[Router-GigabitEthernet1/2] nat server protocol tcp global 8080 inside www

# 配置内部SMTP服务器,允许外网主机使用地址以及SMTP协议定义的端口访问内网SMTP 服务器。

[Router-GigabitEthernet1/2] nat server protocol tcp global smtp inside smtp [Router-GigabitEthernet1/2] quit

4. 验证配置

以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat all

NAT internal server information:

There are 4 internal servers.

Interface: GigabitEthernet1/2

Protocol: 6(TCP)

Global IP/port: Local IP/port: Interface: GigabitEthernet1/2

Protocol: 6(TCP)

Global IP/port: Local IP/port: Interface: GigabitEthernet1/2

Protocol: 6(TCP)

Global IP/port: Local IP/port: Interface: GigabitEthernet1/2

Protocol: 6(TCP)

Global IP/port: Local IP/port: NAT logging:

Log enable : Disabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active: Disabled

NAT mapping behavior:

Mapping mode: Address and Port-Dependent

ACL : ---

NAT ALG:

DNS: Enabled

FTP: Enabled

H323: Enabled

ICMP-ERROR: Enabled

# 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。

[Router] display nat session verbose

Initiator:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

Responder:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: FTP

Start time: 2012-08-15 14:53:29 TTL: 3597s

Interface(in) : GigabitEthernet1/2

Interface(out): GigabitEthernet1/1

Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes Total sessions found: 1

外网用户通过域名访问内网服务器(地址不重叠)

1. 组网需求

·某公司内部对外提供Web服务,Web服务器地址为。

·该公司在内网有一台DNS服务器,IP地址为,用于解析Web服务器的域名。·该公司拥有两个外网IP地址:和。

需要实现,外网主机可以通过域名访问内网的Web服务器。

2. 组网图

图1-9 外网用户通过域名访问内网服务器(地址不重叠)

3. 配置思路

·外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS 服务端口映射为一个外网地址和端口。

·DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。

4. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 开启DNS协议的ALG功能。

system-view

[Router] nat alg dns

# 配置ACL 2000,允许对内部网络中的报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source 0

[Router-acl-basic-2000] quit

# 创建地址组1。

[Router] nat address-group 1

# 添加地址组成员。

[Router-nat-address-group-1] address quit

# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址访问内网DNS服务器。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat server protocol udp global inside domain

# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible [Router-GigabitEthernet1/2] quit

5. 验证配置

以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat all

NAT address group information:

There are 1 NAT address groups.

Group Number Start Address End Address

1

NAT outbound information:

There are 1 NAT outbound rules.

Interface: GigabitEthernet1/2

ACL: 2000 Address group: 1 Port-preserved: N

NO-PAT: Y Reversible: Y

NAT internal server information:

There are 1 internal servers.

Interface: GigabitEthernet1/2

Protocol: 17(UDP)

Global IP/port: Local IP/port:

NAT logging:

Log enable : Disabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active: Disabled

NAT mapping behavior:

Mapping mode: Address and Port-Dependent

ACL : ---

NAT ALG:

DNS: Enabled

FTP: Enabled

H323:Enabled

ICMP-ERROR: Enabled

# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。

[Router] display nat session verbose

Initiator:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

Responder:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2012-08-15 14:53:29 TTL: 3597s

Interface(in) : GigabitEthernet1/2

Interface(out): GigabitEthernet1/1

Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

Total sessions found: 1

外网用户通过域名访问内网服务器(地址重叠)

1. 组网需求

·某公司内网使用的IP地址为。

·该公司内部对外提供Web服务,Web服务器地址为。

·该公司在内网有一台DNS服务器,IP地址为,用于解析Web服务器的域名。·该公司拥有三个外网IP地址:、和。

需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。

2. 组网图

图1-10 外网用户通过域名访问内网服务器(地址重叠)

3. 配置思路

这是一个典型的双向NAT应用,具体配置思路如下。

·外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web 服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS 服务端口映射为一个外网地址和端口。

·DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT 地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。

·外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。·NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。4. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 开启DNS协议的ALG功能。

system-view

[Router] nat alg dns

# 配置ACL 2000,允许对内部网络中网段的报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source quit

# 创建地址组1。

[Router] nat address-group 1

# 添加地址组成员。

[Router-nat-address-group-1] address quit

# 创建地址组2。

[Router] nat address-group 2

# 添加地址组成员。

[Router-nat-address-group-2] address quit

# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址访问内网DNS服务器。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat server protocol udp global inside domain

# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。

[Router-GigabitEthernet1/2] nat inbound 2000 address-group 2

[Router-GigabitEthernet1/2] quit

# 配置到达地址的静态路由,出接口为GigabitEthernet1/2,下一跳地址为(为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。

[Router] ip route-static 32 gigabitethernet1/2 验证配置

以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat all

NAT address group information:

There are 2 NAT address groups.

Group Number Start Address End Address

1 2

NAT inbound information:

There are 1 NAT inbound rules.

Interface: GigabitEthernet1/2

ACL: 2000 Address group: 2 Add route: N

NO-PAT: N Reversible: N

NAT outbound information:

There are 1 NAT outbound rules.

Interface: GigabitEthernet1/2

ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y

NAT internal server information:

There are 1 internal servers.

Interface: GigabitEthernet1/2

Protocol: 17(UDP)

Global IP/port: Local IP/port:

NAT logging:

Log enable : Disabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active: Disabled

NAT mapping behavior:

Mapping mode: Address and Port-Dependent

ACL : ---

NAT ALG:

DNS: Enabled

FTP: Enabled

H323:Enabled

ICMP-ERROR: Enabled

# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。

[Router] display nat session verbose

Initiator:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

Responder:

Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2012-08-15 14:53:29 TTL: 3597s

Interface(in) : GigabitEthernet1/2

Interface(out): GigabitEthernet1/1

Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes Total sessions found: 1

内网用户通过NAT地址访问内网服务器

1. 组网需求

·某公司内部网络中有一台FTP服务器,地址为。

·该公司拥有两个外网IP地址:和。

需要实现如下功能:

·外网主机可以通过访问内网中的FTP服务器。

·内网主机也可以通过访问内网中的FTP服务器。

2. 组网图

H3C S5600系列交换机典型配置举例

S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。 system-view [SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2 [SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2 [SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2 # 设置以太网交换机Switch B的静态路由。 system-view [SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1 [SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1

[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。 system-view [SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1 [SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2 主机上的配置步骤: # 在主机A上配缺省网关为1.1.5.1,具体配置略。 # 在主机B上配缺省网关为1.1.4.1,具体配置略。 # 在主机C上配缺省网关为1.1.1.1,具体配置略。 至此图中所有主机或以太网交换机之间均能两两互通。 2.1.2 RIP典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络规模比较小。需要 设备自动适应网络拓扑变化,降低人工维护工作量。 根据用户需求及用户网络环境,选择RIP路由协议实现用户网络之间互通。(2)网络规划 根据用户需求,设计如图2-2所示网络拓扑图。 设备接口IP地址设备接口IP地址 Switch A Vlan-int1110.11.2.1/24Switch B Vlan-int1110.11.2.2/24 Vlan-int2155.10.1.1/24Vlan-int3196.38.165.1/24 Switch C Vlan-int1110.11.2.3/24 Vlan-int4117.102.0.1/16 图2-2 RIP典型配置组网图 2. 配置步骤

H3C路由器配置实例

通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:

H3C IPv6 静态路由配置

操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5

ict企业网关h3c路由器配置实例

ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10(ICG2000),具体配置的内容是: PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable

# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11

h3c路由器典型配置案例

version 5.20, Release 2104P02, Basic # sysname H3C # nat address-group 27 122.100.84.202 122.100.84.202 # # domain default enable system # dns resolve dns proxy enable # telnet server enable # dar p2p signature-file cfa0:/p2p_default.mtd # port-security enable # # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 202.106.0.20 202.106.46.151 # # user-group system # local-user admin password cipher .]@USE=*8 authorization-attribute level 3 service-type telnet # interface Aux0 async mode flow link-protocol ppp

interface Cellular0/0 async mode protocol link-protocol ppp # interface Ethernet0/0 port link-mode route nat outbound address-group 27 ip address 122.100.84.202 255.255.255.202 # interface Ethernet0/1 port link-mode route ip address 192.168.201.1 255.255.255.0 # interface NULL0 # # ip route-static 0.0.0.0 0.0.0.0 122.100.84.201 # dhcp enable # load xml-configuration # user-interface con 0 user-interface tty 13 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple###¥¥¥# return [H3C]

[史上最详细]H3C路由器NAT典型配置案例

H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 10.110.10.8 202.38.1.100 # 使配置的静态地址转换在接口GigabitEthernet1/2上生效。 [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4. 验证配置 # 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings. IP-to-IP: Local IP : 10.110.10.8 Global IP : 202.38.1.100 Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。 [Router] display nat session verbose Initiator: Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 VPN instance/VLAN ID/VLL ID: -/-/-

H3C-MSR系列路由器IPsec典型配置举例(V7)

7 相关资料

1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址 # 配置接口GigabitEthernet2/0/1的IP地址。 system-view [Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24 [Device-GigabitEthernet2/0/1] quit # 配置接口GigabitEthernet2/0/2的IP地址。 [Device] interface gigabitethernet 2/0/2 [Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24 [Device-GigabitEthernet2/0/2] quit # 配置接口GigabitEthernet2/0/3的IP地址。 [Device] interface gigabitethernet 2/0/3 [Device-GigabitEthernet2/0/3] ip address 192.168.1.1 24 [Device-GigabitEthernet2/0/3] quit (2) 配置L2TP # 创建本地PPP用户l2tpuser,设置密码为hello。 [Device] local-user l2tpuser class network [Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp [Device-luser-network-l2tpuser] quit # 配置ISP域system对PPP用户采用本地验证。 [Device] domain system [Device-isp-system] authentication ppp local [Device-isp-system] quit # 启用L2TP服务。 [Device] l2tp enable # 创建接口Virtual-Template0,配置接口的IP地址为172.16.0.1/24。 [Device] interface virtual-template 0 [Device-Virtual-Template0] ip address 172.16.0.1 255.255.255.0 # 配置PPP认证方式为PAP。 [Device-Virtual-Template0] ppp authentication-mode pap # 配置为PPP用户分配的IP地址为172.16.0.2。 [Device-Virtual-Template0] remote address 172.16.0.2 [Device-Virtual-Template0] quit # 创建LNS模式的L2TP组1。 [Device] l2tp-group 1 mode lns # 配置LNS侧本端名称为lns。 [Device-l2tp1] tunnel name lns # 关闭L2TP隧道验证功能。 [Device-l2tp1] undo tunnel authentication

H3C路由器配置实例

ip http enable 开启WEB 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤: 设备和版本:MSR系列、version 5.20, R1508P02

最新H3C单臂路由配置实例

H3C单臂路由配置 H3c交换机配置 system-view [H3C]vlan 10 //创建VLAN 10 [H3C-vlan10]port e1/0/1 //把端口e1/0/1划给VLAN 10 [H3C-vlan10]quit [H3C]vlan 20 //创建VLAN 10 [H3C-vlan20]port e1/0/2 //把端口e1/0/1划给VLAN 10 [H3C]int e1/0/3 [H3C-Ethernet1/0/3]port link-type trunk //设置e1/0/3端口为Trunk口 [H3C-Ethernet1/0/3]port trunk permit vlan all //允许所有VLAN通过 路由器配置 system-view [H3C]int g0/0.1 //进入g0/0子接口1 [H3C-GigabitEthernet0/0.1]ip address 192.168.10.1 255.255.255.0 //配置子接口IP地址 [H3C-GigabitEthernet0/0.1]vlan-type dot1q vid 10 //子接口封装为dot1q协议并分配给VLAN 10 [H3C-GigabitEthernet0/0.1]quit [H3C]int g0/0.2 [H3C-GigabitEthernet0/0.2]vlan-type dot1q vid 20 [H3C-GigabitEthernet0/0.2]ip address 192.168.20.1 255.255.255.0

第一章 PLC的硬件与工作原理 5、手持式编程器可以为PLC编写语句表方式的程序。 6、PLC一般能(能,不能)为外部传感器提供24V直流电源。 7、PLC的输出接口类型有继电器,晶闸管与场效应晶体管。 8、PLC的软件系统可分为系统程序和用户程序两大部分。 10、PLC采用_循环扫描_工作方式,其过程可分为五个阶段:_自诊断检查__, 通信处理,输入采样,_执行用户程序_和_输出改写_,称为一个扫描周期。

H3C路由器静态路由配置综合实例

静态路由配置案例。 路由器A配置: [routeA]interface e0 [routeA-e0]ip address 192.168.0.1 255.255.255.0 [routeA]interface s0 [routeA-s0]ip address 192.168.1.1 255.255.255.0 [routeA-s0]link-protocol ppp [配置封装协议] [routeA]ip route-static 192.168.3.0 255.255.255.0 192.168.1. 2 preference 60 [设置静态路由,优先级为60] 路由器B配置: [routeB]interface e0 [routeB-e0]ip address 192.168.3.1 255.255.255.0 [routeB]interface s0 [routeB-s0]ip address 192.168.2.1 255.255.255.0

[routeA-s0]link-protocol ppp [配置封装协议] [routeA]ip route-static 192.168.0.0 255.255.255.0 192.168.1. 1 preference 60 [设置静态路由,优先级为60] 使用默认路由配置: 缺省路由也是一种静态路由.简单地说,缺省路由就是在没有找到任保匹配置的路由项情况下,才使用的路由.即只有当无任何合适的路由时,缺省路由才被使用. [rotueA]ip route-statci 0.0.0.0 0.0.0.0 s0 preference 60 『注意』 上面命令中用到了Serial 0,接口的名字,如串口封装PPP 或HDLC协议,这时可以不用指定下一跳地址,只需指定发送接口即可。对于以太口,Serial口封装了非点到点协议比如fr、x25等,必须配置下一跳的ip地址。

史上最详细H3C路由器NAT典型配置案例

神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 使配置的静态地址转换在接口GigabitEthernet1/2上生效。 [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4. 验证配置 # 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT.

Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网(地址不重叠) 1. 组网需求 ·某公司内网使用的IP地址为。 ·该公司拥有和两个外网IP地址。 需要实现,内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为和。 2. 组网图

H3C PPP和PPPoE配置举例

1.5 PPP典型配置举例 1.5.1 PAP单向认证举例 1. 组网需求 如图1-3所示,Router A和Router B之间用接口Serial2/1/0互连,要求Router A 用PAP方式认证Router B,Router B不需要对Router A进行认证。 2. 组网图 图1-3 配置PAP单向认证组网图 3. 配置步骤 (1) 配置Router A # 为Router B创建本地用户。 system-view [RouterA] local-user userb class network # 设置本地用户的密码。 [RouterA-luser-network-userb] password simple passb # 设置本地用户的服务类型为PPP。 [RouterA-luser-network-userb] service-type ppp [RouterA-luser-network-userb] quit # 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。 [RouterA] interface serial 2/1/0 [RouterA-Serial2/1/0] link-protocol ppp # 配置本地认证Router B的方式为PAP。 [RouterA-Serial2/1/0] ppp authentication-mode pap domain system # 配置接口的IP地址。 [RouterA-Serial2/1/0] ip address 200.1.1.1 16 [RouterA-Serial2/1/0] quit # 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。 [RouterA] domain system [RouterA-isp-system] authentication ppp local (2) 配置Router B # 配置接口封装的链路层协议为PPP(缺省情况下,接口封装的链路层协议为PPP,此步骤可选)。 system-view [RouterB] interface serial 2/1/0 [RouterB-Serial2/1/0] link-protocol ppp # 配置本地被Router A以PAP方式认证时Router B发送的PAP用户名和密码。 [RouterB-Serial2/1/0] ppp pap local-user userb password simple passb

h3cf100-配置实例

网络环境:固定IP,光钎接入。 硬件环境:IbmX3650M3一台(OA),双网卡,一台H3C F100-A防火墙一台。 客户需求:要求内部网络通过防火墙访问外网,外网客户端通过防火墙能够访问内部OA服务器。 实施步骤:服务器做好系统并把数据库调试好。 防火墙的调试,通过串口线连接本子PC和防火墙,用超级终端。可用2种调试方法。Web 界面的调试和命令行的调试。 先是第一种方法。具体操作如下: 1》因为机器默认是没有ip和用户名和密码的,所以就需要超级终端通过命令行来给机器配置,操作如下:因为机器本身带一条console口的串口线,把另一端连接到带串口的笔记本上,因为有的本子没有9针的串口,所以最好买一条九针转U口的,连到笔记本的U口上面,接下来就是打串口的驱动了,在网上下个万能的串口驱动也是能用的(附件里有自己用的一个驱动),连接好以后,把防火墙通上电。 2》在本子上点击开始-程序-附件-通讯-超级终端,打开后是新建连接,在名称里输入comm1,选第一个图标,点击确定,在连接时使用的下拉菜单中选直接连接到串口1,点击确定,然后 在串口的属性对话框中设置波特率为9600,数据位为8,奇偶校验为无,停止位 为1,流量控制为无,按[确定]按钮,返回超级终端窗口。 接下来配置 超级终端属性 在超级终端中选择[属性/设置]一项,进入图4-5所示的属性设置窗口。选择 终端仿真类型为VT100或自动检测,按[确定]按钮,返回超级终端窗口。 连通后在超级终端里会显示防火墙的信息。 机子会提示你 Ctrl+B

你不用管,这是进ROOT菜单的。 接下来就要为防火墙配置管理IP,用户名和密码了 配置有2种模式,一般情况下用路由模式,先配置IP 为使防火墙可以与其它网络设备互通,必须先将相应接口加入到某一安全区域中,且将缺省的过滤行为设置为允许,并为接口(以GigabitEthernet0/0 为例)这是lan0的接口,配置IP地址。 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C-zone-trust] quit [H3C] firewall packet-filter default permit [H3C] interface GigabitEthernet0/0 [H3C-GigabitEthernet0/0] ip address Lan0口配置的ip是接下来就为本机PC配置ip,因为接的是LAN0口,所以把ip配置成,配置好后在 本子上运行CMD,PING 通后,接下来就是为防火墙配置用户名和密码 例如:建立一个用户名和密码都为admin,帐户类型为telnet,权限等级为3的 管理员用户,运行下面的命令: [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 配置好后从调试本子的IE中,敲入,回车 就进入WEB界面,敲入admin后就进入WEB的配置管理界面。 假设

史上最详细H3C路由器NAT典型配置案例

H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,您懂的。 1、11 NAT典型配置举例 1、11、1 内网用户通过NAT地址访问外网(静态地址转换) 1、组网需求 内部网络用户10、110、10、8/24使用外网地址202、38、1、100访问Internet。 2、组网图 图1-5 静态地址转换典型配置组网图 3、配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10、110、10、8到外网地址202、38、1、100之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 10、110、10、8 202、38、1、100 # 使配置的静态地址转换在接口GigabitEthernet1/2上生效。 [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4、验证配置 # 以上配置完成后,内网主机可以访问外网服务器。通过查瞧如下显示信息,可以验证以上配置成功。 [Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings、 IP-to-IP: Local IP : 10、110、10、8 Global IP : 202、38、1、100 Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT、 Interface: GigabitEthernet1/2 # 通过以下显示命令,可以瞧到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 10、110、10、8/42496 Destination IP/port: 202、38、1、111/2048

相关主题