H3C路由器端口映射

目录1常见问题处理1.1 管理密码丢失1.2 恢复出厂设置1.3 端口映射不成功1.4 设置ARP双向绑定（针对客户端为静态分配地址的情况）1.5 局域网部分或者全网PC掉线、无法访问Internet1.6 上网速度慢，玩游戏卡1.7 无法远程访问路由器1.8 升级过程中出现问题解答1.9 设备各指示灯含义1.10 如何设置端口限速和网络连接数，并查看端口/IP流量1.11 如何限制某些应用1.12 如何划分VLAN，实现单臂路由，禁止网段间互访1.13 IPSEC VPN典型组网配置1.14 企业、网吧、酒店典型组网配置1.15 设备支持哪些功能1.16 如何抓包2获取售后服务及相关资料1 常见问题处理1.1 管理密码丢失•将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。

•恢复出厂设置。

1.2 恢复出厂设置•登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。

•管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并回车，确认后，路由器将恢复到出厂设置并重新启动。

1.3 端口映射不成功常见的端口映射不成功的原因及处理方法，如下：1. 运营商原因一般较常见的如80端口无法映射成功，内网访问正常。

处理方法：联系运营商解决或者将映射的外部端口更换为其他端口。

其他测试验证方法：可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。

2. 服务器配置原因内网访问正常，但是外网通过端口映射访问不成功。

处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。

先给一个环境：cisco路由器内网接口s1/0: 192.168.1.1 255.255.255.0外网接口s1/1: 10.0.0.1 255.255.255.0服务器ip：192.168.1.100首先配置好nat。

Router#conf t #进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #建立访问控制列表准备做nat转换Router(config)#ip nat inside source list 1 interface s1/1 #建立NAT转换，将192.168.1.0的地址转换为接口s1/1的地址Router(config)#int s1/0 #进入接口模式Router(config-if)#ip nat inside #设定s1/0为NAT内部接口Router(config-if)#int s1/1 #进入S1/1的接口模式Router(config-if)#ip nat outside #设定S1/1为NAT外部接口Router(config-if)#exit此时已经启用了NAT，内网可以上网了。

现在开始端口映射，让外网访问内网服务器：Router(config)#ip nat inside source static tcp192.168.1.100 5631 （端口号）10.0.0.1 5631 extendable Router(config)#ip nat inside source static tcp192.168.1.100 5632（端口号） 10.0.0.1 5632 extendable #因为10.0.0.1这个地址已经应用在s1/1接口上并做了NAT转换的地址，这里必须加上extendable这个关键字，否则报错。

H3C路由器设置1. 端口映射如某公司内网有做游戏或者其他服务机器，需要外网的机器访问时，需要设置端口映射内部机器:192.168.2.223外网IP:61.190.38.198需要做端口映射:在NAT配置中设置2. 内网中的PC通过域名访问内部的服务器内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1)命令配置:Acl number 3400Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination192.168.3.2 0destination-port eg 80Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination192.168.3.2 0destination-port eg 3777Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0destination-port eg 80Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0destination-port eg 3777Interface vlan-interface 3Nat outbound 3400注:acl的子网掩码和子网掩码是相反的，192.168.1.0/24的子网掩码是255.255.255.0则acl的子网掩码是0.0.0.2553. IP和MAC地址绑定防止ARP欺骗1) arp扫描:ARP防攻击2) 固化4. 互联网访问控制1) 设置时间注:1-2、2-1无内置电池，设备重启后时间恢复成2007年1月1日。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

华为路由器配置端口映射华为的这个路由器，在指定outside 和inside的端口有一点不一样，希望对大家有帮助，不走弯路！Quidway#show runNow create configuration...Current configuration!version 1.66enable password ,Y@JM,UXNZL0XaLTV.U4*!!!access-list normal 100 permit ip 10.0.0.0 0.255.255.255 any!interface Aux0async mode interactiveencapsulation ppp!interface Ethernet0 #inside port#speed autoduplex autono loopbackip address 10.0.0.2 255.255.255.0!interface Ethernet1 #outside port#speed autoduplex autono loopbackip address 192.168.0.198 255.255.255.0nat inside 100 interface #通过这个命令帮定访问列表和地址池在外部端口上#!interface Serial0encapsulation ppp!exitip route 0.0.0.0 0.0.0.0 192.168.0.254 preference 60!endQuidway#NAT的配置任务列表如下：1. 配置地址池2. 配置访问控制列表和地址池的关联3. 配置访问控制列表和接口的关联（EASY IP特性）4. 配置内部服务器增加一个内部服务器（1 ）提权SYS（2 ）进网卡inter Eth 0/0/1（3 ） NAT[Quidway-Ethernet0/1]nat server protocol tcp global XXXXX 80 inside 192.168.1.31 80（4）保存save（5） LOOK[Quidway-Ethernet0/1]dis currnat serverglobal global-addr [ global-port] inside inside-addrinside-port protocol例子： 202.38.160.101-103为公网IP设置内部FTP服务器Quidway(config-if-Serial0)# nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp！设置内部WWW服务器1Quidway(config-if-Serial0)# nat server global 202.38.160.102 inside 10.110.10.2 www tcp！设置内部WWW服务器2Quidway(config-if-Serial0)# nat server global 202.38.160.102 8080 inside10.110.10.3 www tcp！设置内部SNMP服务器Quidway(config-if-Serial0)# nat server global 202.38.160.103 inside 10.110.10.4 snmp udpnat server protocol tcp global 218.80.xx 65534 inside 192.168.0.243 65534 nat server global 218.80.xx 65534 inside 192.168.0.243 65534 tcp删除一条规则undo nat s g ip prot inside ip prot tcp。

1 常见问题处理1.1 管理密码丢失•将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。

•恢复出厂设置。

1.2 恢复出厂设置•登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。

•管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并回车，确认后，路由器将恢复到出厂设置并重新启动。

1.3 端口映射不成功常见的端口映射不成功的原因及处理方法，如下：1. 运营商原因一般较常见的如80端口无法映射成功，内网访问正常。

处理方法：联系运营商解决或者将映射的外部端口更换为其他端口。

其他测试验证方法：可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。

2. 服务器配置原因内网访问正常，但是外网通过端口映射访问不成功。

处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。

其他测试验证方法：可以采用某台XP系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他PC是否能远程登入）并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。

3. 端口未全部映射内网访问正常，一对一NAT也正常，但是外网通过端口映射访问不成功。

处理方法：某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而客户实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。

其他测试验证方法：尝试将服务器设置为DMZ主机或者配置一对一NAT（外网地址不能是WAN 口地址）验证是否正常来确认是否该原因引起。

H3C路由器端口映射1、la c 改变到中文模式。

sys 提权进入系统视图, 键入Ctrl+Z退回到用户视图［H3C］interface GigabitEthernet4/0 进入端口映射模式 (或int E4/0)［H3C-GigabitEthernet4/0］nat server protocol tcp global 外网IP 端口inside 内网IP 端口如果要撤销原固定IP映射,则首先进行：［H3C-GigabitEthernet4/0］undo nat server protocol tcp global 外网IP 端口 inside 内网IP 端口（册除端口映射）sa 退出保存return 退出系统视图reboot 系统重启要查询已经映射的地址，在sys模式下：dis nat all即可。

ARP相关：arp static 192.168.1.100 00-00-00-00-00 捆绑undo arp static 192.168.1.100 册除ARP捆绑dis arp 查看机器在线MAC地址没有做过绑定的后面的应该是D（即动态MAC）,做过绑定的后面的应该是F display arp查看是否有相同的MAC 如果没有算你走运，如果有执行reset arp 清除ARP表然后PING 你的整个网段，让路由立刻收集到MACPING 192.168.0.2-----------以下是中文模式命令-------------------acl 指定ACL配置信息arp 配置ARP命令aspf-policy 指定ASPF策略配置信息bgp 指定BGP配置信息bims 指定BIMS配置信息clock 设置系统时钟command-alias 设置命令行别名command-privilege 设置命令权限cpu-usage 设置CPU占用率配置信息delete 清除路由信息detect-group 侦测组视图dhcp DHCP命令dialer 拆除链路dialer-rule dialer-rule命令字display 显示当前系统信息dns 域名解析系统配置命令dns-proxy 配置DNS代理domain 增加域或修改域属性dvpn 指定动态虚拟专用网配置参execute 批处理命令file 设置文件系统参数firewall 进入防火墙命令组flow-interval 指定流量统计定时器ftp 设置FTP参数ftp-server 指定FTP服务器的源IP或源gratuitous-arp-learning 免费ARP学习功能gratuitous-arp-sending 当收到不同网段的ARP请求header 设置登录标题hotkey 指定HOTKEY的配置信息hwping 设置HWPing的测试组hwping-agent 设置HWPing客户端程序hwping-server 设置HWPing服务器程序hwtacacs HWTACACS服务器icmp 指定ICMP配置信息ike 指定IKE(Internet Key Ex info-center 指定信息中心配置信息interface 指定接口配置视图ip 指定IP配置信息ipsec 指定IPSec(IP Security)模l2tp 指定L2TP的配置信息l2tp-group 指定L2TP组的配置信息l2tpmoreexam L2TP命令组local-server 指定本地RADIUS认证服务器local-user 指定本地用户配置信息max-packet-process 指定可处理的最大报文数目memory 路由协议正常运作所需的空nat 设置地址转换配置信息naturemask-arp 设置自然网段ARP学习功能nslookup 查询域名服务ntp-service 指定NTP(网络时间协议)配ospf 指定OSPF配置信息ping 检查网络连接或主机是否可pki 指定PKI模块配置信息port-mapping 指定应用协议端口映射配置pppoe-server 指定PPPoE服务器端配置信private-group-id Tunnel-Private-Group-ID qos 指定服务质量命令配置信息quit 退出当前的命令视图radius 指定RADIUS配置信息return 退到用户视图rip 指定RIP 路由协议配置信息rmon 配置RMONroute-policy 指定一个路由策略router 配置路由器信息rsa 指定RSA模块配置信息save 保存当前有效配置script-string 定义脚本命令操作sftp 设置SFTP服务属性snmp-agent 指定SNMP(Simple Network ssh 设置SSH(secure shell)的ssh-server 指定源IPssh2 建立一个STELNET连接standby 设置备份中心配置信息super 修改超级用户密码参数sysname 设置系统名称和提示符tcp 指定全局TCP配置信息telnet 建立一个TELNET连接telnet-server VTY模块tftp 建立一个 TFTP 连接tftp-server TFTP服务器time-range 指定时间段配置信息tracert 跟踪到达目的地的路由traffic 指定数据流配置信息udp-helper UDP HELPER模块undo 取消当前设置user-interface 配置用户终端接口vrbd 显示VRP版本vrrp 指定VRRP的配置信息-----------以下是英文模式命令------------------- cd Change current directoryclock Specify the system clockcopy Copy from one file to anotherdebugging Enable system debugging functionsdelete Delete a filedetach Detach local filedir List files on a file systemdisplay Display current system informationfixdisk Recover lost chains in storage deviceformat Format the devicefree Clear user terminal interfaceftp Open FTP connectionlanguage-mode Specify the language environmentlock Lock current user terminal interfacelog Settings of startup configuration logmkdir Create a new directorymore Display the contents of a filemove Move a filenslookup Query Internet name serversping Ping functionpwd Display current working directoryquit Exit from current command viewreboot Reboot systemrefresh Refresh routesrename Rename a file or directoryreset Reset operationrmdir Remove an existing directorysave Save current configurationschedule Schedule system taskscreen-length Specify the lines displayed on one screen send Send information to other user terminal inte start-script Start a script-string on an UIstartup Specify system startup parameterssuper Set the current user priority levelsystem-view Enter the System Viewtelnet Establish one TELNET connectionterminal Set the terminal line characteristicstftp Open TFTP connectiontracert Trace route functionundelete Recover a deleted fileundo Cancel current settingupgrade Upgrade bootromvrbd Show application version。

1 常见问题处理1.1 管理密码丢失•将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。

•恢复出厂设置。

1.2 恢复出厂设置•登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。

•管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并回车，确认后，路由器将恢复到出厂设置并重新启动。

1.3 端口映射不成功常见的端口映射不成功的原因及处理方法，如下：1. 运营商原因一般较常见的如80端口无法映射成功，内网访问正常。

处理方法：联系运营商解决或者将映射的外部端口更换为其他端口。

其他测试验证方法：可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。

2. 服务器配置原因内网访问正常，但是外网通过端口映射访问不成功。

处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。

其他测试验证方法：可以采用某台XP系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他PC是否能远程登入）并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。

3. 端口未全部映射内网访问正常，一对一NAT也正常，但是外网通过端口映射访问不成功。

处理方法：某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而客户实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。

其他测试验证方法：尝试将服务器设置为DMZ主机或者配置一对一NAT（外网地址不能是WAN 口地址）验证是否正常来确认是否该原因引起。