华为_MSR路由器_教育网双出口NAT服务器的典型配置

私网用户通过NAPT方式访问Internet（备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。

）本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。

组网需求如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。

2.配置安全策略，允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由，防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址，并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

华为MSR系列路由器-NAT连接数限制功能华为2010-04-21 15:11:15 阅读5 评论0 字号：大中小订阅一、组网需求：MSR作为出口NAT路由器，对内部主机192.168.0.3作最多2个NAT会话限制，对192.168.0.2作缺省最多1个NAT会话限制，其余主机不作限制。

设备清单：MSR系列路由器1台二、组网图：三、配置步骤：MSR配置#//使能连接限制，必须配置connection-limit enable//对缺省连接数量上限配置为1，下限为0，达到上限后开始限制，只有达到下限后才允许新建会话connection-limit default amount upper-limit 1 lower-limit 0#//定义连接限制策略，索引0connection-limit policy 0//对匹配ACL2000的数据流采用缺省连接限制，即上限1，下限0limit 0 acl 2000//对匹配ACL2001的数据流采用上限2，下限1的会话数量限制limit 1 acl 2001 per-source amount 2 1#//定义各ACL，其中ACL2002用于NAT转换，2000和2001用于连接限制acl number 2000rule 0 permit source 192.168.0.2 0acl number 2001rule 0 permit source 192.168.0.3 0acl number 2002rule 0 permit source 192.168.0.0 0.0.0.255#//连接公网接口配置interface GigabitEthernet0/0port link-mode routeip address 1.2.0.1 255.255.255.0nat outbound 2002#//连接内网接口配置interface GigabitEthernet0/1port link-mode routeip address 192.168.0.1 255.255.255.0#//路由配置ip route-static 0.0.0.0 0.0.0.0 1.2.0.254#//使能NAT的连接限制，即指定一个策略索引nat connection-limit-policy 0#四、配置关键点：1) 必须要使能connection-limit；2) 如果不配置connection-limit default amout，那么该例中对策略0的ACL 2000不作限制；3) 必须要定义connection-limit policy，因为NAT连接限制必须指定策略；4) 如果连接限制策略中如果只指定ACL，不对per-source、per-destination、per-service进行指定则采取connection-limit default进行限制，如果connection-limit没有配置，则不作限制；5) 如果连接限制策略中对ACL进行了进一步per-source、per-destination、per-service的限制，则以此配置为准而不采取connection-limit default限制；6) 如果不符合连接限制策略的ACL匹配，则不做限制；7) NAT中必须指定连接限制策略，否则任何限制不生效。

1配置NAT Server双出口举例本例给出一个同时接入两个运营商网络的企业配置内部服务器的案例。

这个企业从每个运营商处都获取到了一个公网IP地址，为了保证所有用户的访问速度，需要让不同运营商的用户通过访问相应的运营商的IP来访问公司提供的服务，而不需要经过运营商之间的中转。

组网需求如图1所示，某公司内部网络通过SRG与两个运营商网络连接。

公司内网有一台FTP Server同时对两个运营商网络提供服务器，其真实IP是10.1.1.2。

ISP1网络中的用户可以通过1.1.1.2访问FTP Server，ISP2网络中的用户可以通过2.2.2.2访问FTP Server。

要实现这一需求，只要将两个运营商网络划入不同的安全区域，使用nat server的zone参数对不同的安全区域发布不同的公网IP即可。

图1 配置多对一的内部服务器组网图操作步骤1.创建安全区域。

2.<SRG> system-view3.[SRG] firewall zone dmz4.[SRG-zone-dmz] quit5.[SRG] firewall zone name ISP16.[SRG-zone-isp1] set priority 107.[SRG-zone-isp1] quit8.[SRG] firewall zone name ISP29.[SRG-zone-isp2] set priority 2010.[SRG-zone-isp2] quit11.配置各接口的IP地址，并将其加入安全区域。

12.[SRG] interface GigabitEthernet 0/0/213.[SRG-GigabitEthernet0/0/2] ip address 10.1.1.1 2414.[SRG-GigabitEthernet0/0/2] quit15.[SRG] interface GigabitEthernet 0/0/316.[SRG-GigabitEthernet0/0/3] ip address 1.1.1.1 2417.[SRG-GigabitEthernet0/0/3] quit18.[SRG] interface GigabitEthernet 5/0/019.[SRG-GigabitEthernet5/0/0] ip address 2.2.2.1 2420.[SRG-GigabitEthernet5/0/0] quit21.[SRG] firewall zone dmz22.[SRG-zone-dmz] add interface GigabitEthernet 0/0/223.[SRG-zone-dmz] quit24.[SRG] firewall zone ISP125.[SRG-zone-isp1] add interface GigabitEthernet 0/0/326.[SRG-zone-isp1] quit27.[SRG] firewall zone ISP228.[SRG-zone-isp2] add interface GigabitEthernet 5/0/029.[SRG-zone-isp2] quit30.配置内部服务器，对不同的安全区域发布不同的公网IP地址。

通过在外网口配置nat基本就OK 了，以下配置假设EthernetO/O为局域网接口,EthernetO/1 为外网口。

1、配置内网接口( EthernetO/O):[MSR20-20 ] in terface EthernetO/O[MSR20-20 - EthernetO/O]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址[MSR20-20 ]dhcp server ip-pool 1[MSR20-20 -dhcp-pool-1]network 192.168.1.0 24[MSR20-20 -dhcp-pool-1]dns-list 202.96.134.133[MSR20-20 -dhcp-pool-1] gateway-list 192.168.1.13、配置nat[MSR20-20 ]nat address-group 1 公网IP 公网IP[MSR20-20 ]acl number 3000[MSR20-20 -acl-adv-3000]rule 0 permit ip4、配置外网接口( EthernetO/1)[MSR20-20 ] in terface EthernetO/1[MSR20-20 - Ethernet0/1]ip add 公网IP[MSR20-20 - EthernetO/1] nat outbound 3000 address-group 15 .加默缺省路由[MSR20-20 ]route-stac 0.0.0.0 0.0.0.0 夕卜网网关总结：在2020路由器下面，配置外网口，配置内网口，配置acl作nat,一条默认路由指向电信网关.ok!Console登陆认证功能的配置关键词：MSR;co nsole;一、组网需求：要求用户从con sole登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。

华为路由器网络地址转换（NAT）配置easy IP 多对一静态NAT配置：1、AR1、AR2配置地址<Huawei>sy[Huawei]undo info-center enable[Huawei]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.1 24 //配置外网地址[Huawei-GigabitEthernet0/0/0]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip add 192.168.1.1 24 //配置内网地址[Huawei-GigabitEthernet0/0/1]quitAR2：[Huawei]undo info-center enable[Huawei]int l0[Huawei-LoopBack0]ip add 2.2.2.2 24[Huawei-LoopBack0]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24[Huawei-GigabitEthernet0/0/0]quit2、AR1上配置NAT[Huawei]acl 2000[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //允许用于转换的内网地址[Huawei-acl-basic-2000]rule deny[Huawei-acl-basic-2000]quit[Huawei]interface g0/0/0[Huawei-GigabitEthernet0/0/0]nat outbound 2000 //nat转换的为acl2000中的地址默认将acl2000中的内网地址转换为外网接口地址1.1.1.1[Huawei-GigabitEthernet0/0/0]quit[Huawei][Huawei]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 //配置缺省路由配置端口映射，将内网服务器的80端口映射为一个外网地址的80端口，从而使外网能够访问内网的www服务器。

出口网关双链路接入不同运营商举例一USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet，还可以实现外网用户访问内网服务器，并保护内网不受网络攻击。

组网需求某学校网络通过USG连接到Internet，校内组网情况如下：∙校内用户主要分布在教学楼和宿舍区，通过汇聚交换机连接到USG。

图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。

∙学校分别通过两个不同运营商（ISP1和ISP2）连接到Internet，两个运营商分别为该校分配了5个IP地址。

ISP1分配的IP地址是200.1.1.1～200.1.1.5，ISP2分配的IP地址是202.1.1.1～202.1.1.5，掩码均为24位。

该学校网络需要实现以下需求：∙校内用户能够通过两个运营商访问Internet，且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。

∙当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。

∙校内用户和校外用户都可以访问图书馆中部署的2台服务器。

∙保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。

图1 出口网关双链路接入不同运营商举例一组网图项目数据说明（1）接口号：GigabitEthernet 0/0/0IP地址：10.1.1.1/16安全区域：Trust 接口（1）是连接内网汇聚交换机的接口。

校内用户分配到网段为10.1.0.0/16的私网地址和DNS 服务器地址100.1.1.1/24，部署在Trust区域。

（2）接口号：GigabitEthernet 0/0/1IP地址：192.168.1.1/24安全区域：DMZ 接口（2）是连接图书馆内服务器的接口。

图书馆区部署在DMZ区域。

（3）接口号：GigabitEthernet 0/0/2IP地址：200.1.1.1/24安全区域：ISP1安全优先级：15 接口（3）是连接ISP1的接口，去往ISP1所属网段的数据通过接口（3）转发。

好网吧好网络——华为3COM网吧网络解决方案之网关配置指导——华为三康技术有限公司Huawei-3Com Technologies Co., Ltd.目录第一部分配置原则概述 (3)1需要注意的配置事项 (3)1.1配置ACL对非法报文进行过滤 (3)1.1.1进行源IP和目的IP过滤 (3)1.1.2限制ICMP报文 (5)1.1.3限制netbios协议端口 (5)1.1.4限制常见病毒使用的端口 (6)1.1.5关闭没有使用的端口 (7)1.2NAT配置注意事项 (7)1.3路由配置注意事项 (7)1.4进行IP-MAC地址绑定 (8)1.5限制P2P应用（根据实际情况可选） (8)1.5.1通过ACL限制端口 (8)1.5.2结合QOS和ACL限制端口流量 (9)1.5.3限制单机的NAT会话数 (11)1.5.4在客户机上通过软件限制 (11)2附：限制常见P2P软件端口的ACL (11)第二部分典型配置实例 (12)1单出口典型配置 (12)1.1局域网内的主机地址是私网IP地址 (12)1.2局域网内的主机地址是公网IP地址 (19)2双出口链路备份典型配置 (27)2.1两条链路都是以太网链路的情况 (27)2.2两条链路是以太网链路+PPPOE链路的情况 (36)3双出口同时实现负载分担和链路备份典型配置 (45)第一部分配置原则概述随着网络建设和应用的不断深入，网络安全问题正逐渐成为一个突出的管理问题。

AR18系列路由器通过多种手段和配置可以控制和管理网络的流量，能够有效地实施各种防攻击策略。

尤其在网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。

由于网吧上网人员数量多、构成复杂、流动性大，因此网络流量具有流量大、协议种类多、流量复杂等特点。

一般网吧局域网内均有一定程度主机感染病毒，同时也很容易被用来发起网络攻击，或者被他人攻击，这就对网吧中的核心设备――网关提出了较高的要求。