您的位置:360文档中心› H3C路由器之NAT+端口映射实战

H3C路由器之NAT+端口映射实战

H3C路由器之NAT+端口映射实战
H3C路由器之NAT+端口映射实战

H3C路由器之NAT+端口映射实战

实践环境就一台H3C路由器外网接Internet,新联通的静态IP接入。内网直联非网管交换机。

配置如下:

[RouterGate]display current-configuration

#

sysname RouterGate //路由器的名字

cpu-usage cycle 1min

#

radius scheme system

#

domain system

#

local-user root //远程登录的用户名

password simple xxxxxx //远程登录的明文密码

service-type telnet

level 3 //远程登录的权限等级(0-3)3是最高权限

#

acl number 2001 //定义ACL2001(2000-2999是基本ACL) rule 0 permit source 192.168.1.0 0.0.0.255 //ACL的0号规则允许源地址的网段访问

#

interface Aux0

async mode flow

#

interface Ethernet0/0

description LAN

ip address 192.168.1.1 255.255.255.0

#

interface Ethernet0/1

description ISP

ip address 218.xx.yy.34 255.255.255.252 //xx和yy处是为此公司地址保密

nat outbound 2001 // 绑定的ACL2001可以访问出去

nat server protocol tcp global 218.xx.yy.34 www inside 192.168.1.4 www //开启端口映 nat server protocol tcp global 218.xx.yy.34 ftp inside 192.168.1.4 ftp ///射到.4服务器#

interface NULL0

#

FTP server enable

#

ip route-static 0.0.0.0 0.0.0.0 218.xx.yy.33 preference 60 //默认路由

user-interface con 0

user-interface aux 0

user-interface vty 0 4 //设置上面定义的vty用户名密码登录生效authentication-mode scheme

#

return

H3C路由器常见故障

目录 1常见问题处理 1.1 管理密码丢失 1.2 恢复出厂设置 1.3 端口映射不成功 1.4 设置ARP双向绑定(针对客户端为静态分配地址的情况) 1.5 局域网部分或者全网PC掉线、无法访问Internet 1.6 上网速度慢,玩游戏卡 1.7 无法远程访问路由器 1.8 升级过程中出现问题解答 1.9 设备各指示灯含义 1.10 如何设置端口限速和网络连接数,并查看端口/IP流量 1.11 如何限制某些应用 1.12 如何划分VLAN,实现单臂路由,禁止网段间互访 1.13 IPSEC VPN典型组网配置 1.14 企业、网吧、酒店典型组网配置 1.15 设备支持哪些功能 1.16 如何抓包 2获取售后服务及相关资料

1 常见问题处理 1.1 管理密码丢失 ?将管理计算机的串口通过配置线缆与路由器的Console口相连,在命令行下输入password命令并回车,按照系统提示,输入新密码,并重新输入一次以确认即可。 ?恢复出厂设置。 1.2 恢复出厂设置 ?登录Web页面,单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置(页面向导:设备管理→基本管理→配置管理)。 ?管理计算机串口连接或Telnet到设备,命令行下输入restore default命令并回车,确认后,路由器将恢复到出厂设置并重新启动。 1.3 端口映射不成功 常见的端口映射不成功的原因及处理方法,如下: 1. 运营商原因 一般较常见的如80端口无法映射成功,内网访问正常。 处理方法:联系运营商解决或者将映射的外部端口更换为其他端口。 其他测试验证方法:可以选择将外部端口更换为其他端口(如8099)测试,远程访问时格式为:http://XXX.XXX.XXX.XXX:8099,测试是否访问正常来确认是否该原因引起。 2. 服务器配置原因 内网访问正常,但是外网通过端口映射访问不成功。 处理方法:请检查服务器配置,特别是安全策略或者防火墙设置,确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。 其他测试验证方法:可以采用某台XP系统的客户端主机开启远程协助(当然也同样需要先验证一下内网其他PC是否能远程登入)并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。 3. 端口未全部映射 内网访问正常,一对一NAT也正常,但是外网通过端口映射访问不成功。 处理方法:某些应用(特别如语音、监控系统等)在实际工作过程中需要用到多个端口通信,而客户实际可能只配置了一个或者部分端口的映射,请抓包确认整个通信过程中用到的所有端口,并确认是否均已设置映射。 其他测试验证方法:尝试将服务器设置为DMZ主机或者配置一对一NAT(外网地址不能是WAN口地址)验证是否正常来确认是否该原因引起。 4. 配置问题 客户在防火墙、MAC过滤等规则中添加了过滤规则,阻止了映射端口或者映射服务器的正常通信。 处理方法:检查路由器规则类相关配置,查看是否将映射的端口或者服务器过滤。 其他测试验证方法:可采用禁用防火墙、MAC过滤等功能来排查,常见的为防火墙配置了入站或者出站通信策略引起。

H3C S5600系列交换机典型配置举例

S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。 system-view [SwitchA] ip route-static 1.1.3.0 255.255.255.0 1.1.2.2 [SwitchA] ip route-static 1.1.4.0 255.255.255.0 1.1.2.2 [SwitchA] ip route-static 1.1.5.0 255.255.255.0 1.1.2.2 # 设置以太网交换机Switch B的静态路由。 system-view [SwitchB] ip route-static 1.1.2.0 255.255.255.0 1.1.3.1 [SwitchB] ip route-static 1.1.5.0 255.255.255.0 1.1.3.1

[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。 system-view [SwitchC] ip route-static 1.1.1.0 255.255.255.0 1.1.2.1 [SwitchC] ip route-static 1.1.4.0 255.255.255.0 1.1.3.2 主机上的配置步骤: # 在主机A上配缺省网关为1.1.5.1,具体配置略。 # 在主机B上配缺省网关为1.1.4.1,具体配置略。 # 在主机C上配缺省网关为1.1.1.1,具体配置略。 至此图中所有主机或以太网交换机之间均能两两互通。 2.1.2 RIP典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络规模比较小。需要 设备自动适应网络拓扑变化,降低人工维护工作量。 根据用户需求及用户网络环境,选择RIP路由协议实现用户网络之间互通。(2)网络规划 根据用户需求,设计如图2-2所示网络拓扑图。 设备接口IP地址设备接口IP地址 Switch A Vlan-int1110.11.2.1/24Switch B Vlan-int1110.11.2.2/24 Vlan-int2155.10.1.1/24Vlan-int3196.38.165.1/24 Switch C Vlan-int1110.11.2.3/24 Vlan-int4117.102.0.1/16 图2-2 RIP典型配置组网图 2. 配置步骤

H3C华为路由器配置端口映射

华为路由器配置端口映射 华为的这个路由器,在指定outside 和inside的端口有一点不一样,希望对大家有帮助,不走弯路! Quidway#show run Now create configuration... Current configuration ! version 1.66 enable password ,Y@JM,UXNZL0XaLTV.U4*!!! access-list normal 100 permit ip 10.0.0.0 0.255.255.255 any ! interface Aux0 async mode interactive encapsulation ppp ! interface Ethernet0 #inside port# speed auto duplex auto no loopback ip address 10.0.0.2 255.255.255.0 ! interface Ethernet1 #outside port# speed auto duplex auto no loopback ip address 192.168.0.198 255.255.255.0 nat inside 100 interface #通过这个命令帮定访问列表和地址池在外部端口上# ! interface Serial0 encapsulation ppp ! exit ip route 0.0.0.0 0.0.0.0 192.168.0.254 preference 60 ! end Quidway# NAT的配置任务列表如下: 1. 配置地址池

H3C MSR 系列路由器 Web配置指导(V5)-R2311-V1.06-NAT配置

目录 1 NAT配置 ············································································································································ 1-1 1.1 概述 ·················································································································································· 1-1 1.2 配置NAT ··········································································································································· 1-1 1.2.1 配置概述 ································································································································ 1-1 1.2.2 配置动态地址转换 ·················································································································· 1-2 1.2.3 DMZ主机································································································································· 1-4 1.2.4 配置内部服务器······················································································································ 1-5 1.2.5 使能应用层协议检测 ·············································································································· 1-7 1.2.6 配置连接数限制······················································································································ 1-8 1.3 NAT典型配置举例 ····························································································································· 1-8 1.3.1 私网访问公网典型配置举例 ··································································································· 1-8 1.3.2 内部服务器典型配置举例 ····································································································· 1-10

H3C路由器配置实例

通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:

H3C路由器在企业中的常用配置

H3C路由器常用操作 接口的常规操作: int g0/4 port link-mode route 将此接口设置为路由模式(3层模式) ip address 1.1.1.1 16 给此接口设置IP地址,掩码长度 映射内网主机(或主机端口)到公网(电信或联通)的方法映射电信公网IP(61开头)的方法: int g0/1 nat server protocol tcp global 61.183.228.46 80 inside 10.2.199.3 80 映射内网主机10.2.199.3的80端口到外网IP 61.183.228.46的80端口 映射联通公网IP(220开头)的方法: int g0/0 nat server protocol tcp global 220.249.86.235 3389 inside 10.2.199.100 3389映射内网主机10.2.199.100的3389端口到外网IP 220.249.86.235的3389端口 NAT转换的配置: 1. 定义acl,将容许进行转换的内部IP地址定义进来 acl number 3000 rule 0 permit ip 容许内部所有IP地址转换为外部公网IP 2. 配置nat 转换地址池(公网IP) nat address-group 1 进入地址组1 address 220.249.86.235 220.249.86.238 定义地址池 3. 在物理接口上应用 int g0/0 nat outbound 3000 address-group 1 将acl3000中定义的网络转换为地址组1中的地址 策略路由的配置(让有的部门走电信,让有的部门走联通) 1. 设置一条默认路由(默认走电信) ip route-static 0.0.0.0 0.0.0.0 61.183.228.33 去往电信的默认路由2.定义acl,将允许走联通线路的内部IP地址定义进来 acl number 3010 定义一条acl

H3C IPv6 静态路由配置

操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5

H3C路由器设置

H3C路由器设置 1. 端口映射 如某公司内网有做游戏或者其他服务机器,需要外网的机器访问时,需要设置端口映射 内部机器:192.168.2.223 外网IP:61.190.38.198 需要做端口映射:在NAT配置中设置 2. 内网中的PC通过域名访问内部的服务器 内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777 内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1) 命令配置: Acl number 3400 Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777

Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777 Interface vlan-interface 3 Nat outbound 3400 注:acl的子网掩码和子网掩码是相反的,192.168.1.0/24的子网掩码是255.255.255.0 则acl的子网掩码是0.0.0.255 3. IP和MAC地址绑定 防止ARP欺骗 1) arp扫描:ARP防攻击 2) 固化 4. 互联网访问控制 1) 设置时间

H3C ER5200路由器常见问题处理指南

H3C ER5200路由器常见问题处理指南 1 常见问题处理 1.1 设备指示灯异常 1. 2. 电源指示灯(POWER灯)不亮 处理方法: (1)请检查电源线是否连接正确。 (2)请检查电源线插头是否插紧,无松动现象。 (3)送当地授权服务中心(即ASC, 各地区的H3C授权服务中心的联系方式可在H3C官方网站https://www.360docs.net/doc/fd15606888.html,找到,也可拨打400-810-0504咨询)检测是否为设备硬件故障。 3. 不插网线各端口链路状态指示灯(Link/Act灯)常亮或者闪烁 处理方法: (1)重启设备观察是否恢复。

(2)送当地授权服务中心(ASC)检测是否为设备硬件故障。 4. WAN、LAN口链路状态指示灯(Link/Act灯)不亮 处理方法: (1)请检查网线与路由器的WAN、LAN接口连接是否卡紧,无松动现象。 (2)请重新连接网线两端的接口或重新按标准568B线序制作水晶头后再尝试连接。 (3)请检查是否网线出现故障:可将网线的两端均插在路由器的两个LAN接口上,两个接口对应的指示灯都亮表示网线正常;否则网线可能存在问题,请更换一根之前使用正常的网线来重新尝试。 (4)请检查端口的连接速率和双工模式配置是否有误:进入路由器Web设置页面,将WAN、LAN的连接速率和双工模式设置成和上行口、下行交换机端口一致,例如都设置为100M全双工观察(推荐两端均配置为自适应,即Auto模式)。 ●设置WAN端口基本属性 ●设置LAN端口基本属性

1.2 无法通过Web登录路由器管理页面 1. IP地址问题导致 现象: 管理计算机不能Ping通路由器管理地址(即网关地址) 处理方法: (1)请使用串口配置线通过Console口下的 ip address命令来查看当前路由器的管理IP地址,核对您登录使用的路由器管理地址是否正确。 (2)检查管理计算机的IP地址是否与路由器管理地址处于同一网段或者路由可达。 2. IE配置错误导致 现象: 管理计算机能Ping通路由器,但不能登录路由器Web设置页面 处理方法: 请检查Web浏览器是否设置了代理服务器或拨号连接,若有,请取消设置。

H3C华为路由端口映射

H3C华为路由端口映射 2008年09月29日星期一14:42 端口静态ip映射相关: 1、la c改变到中文模式。 sys 提权进入系统视图, 键入Ctrl+Z退回到用户视图 [H3C]interface GigabitEthernet4/0 进入端口映射模式(或int E4/0) [H3C-GigabitEthernet4/0]nat server protocol tcp global 外网IP 端口inside 内网IP 端口如果要撤销原固定IP映射,则首先进行: [H3C-GigabitEthernet4/0]undo nat server protocol tcp global 外网IP 端口inside 内网IP 端口(册除端口映射 ) sa 退出保存 return 退出系统视图 reboot 系统重启 ARP相关: arp static 192.168.1.100 00-00-00-00-00捆绑 undo arp static 192.168.1.100 册除ARP捆绑 dis arp 查看机器在线MAC地址 没有做过绑定的后面的应该是D(即动态MAC),做过绑定的后面的应该是F display arp 查看是否有相同的MAC 如果没有算你走运,如果有执行reset arp 清除ARP表 然后 PING 你的整个网段,让路由立刻收集到MAC PING 192.168.0.2 -----------以下是中文模式命令------------------- acl 指定ACL配置信息 arp 配置ARP命令 aspf-policy 指定ASPF策略配置信息 bgp 指定BGP配置信息 bims 指定BIMS配置信息 clock 设置系统时钟 command-alias 设置命令行别名 command-privilege 设置命令权限 cpu-usage 设置CPU占用率配置信息 delete 清除路由信息 detect-group 侦测组视图 dhcp DHCP命令 dialer 拆除链路 dialer-rule dialer-rule命令字 display 显示当前系统信息 dns 域名解析系统配置命令 dns-proxy 配置DNS代理 domain 增加域或修改域属性 dvpn 指定动态虚拟专用网配置参

ict企业网关h3c路由器配置实例

ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10(ICG2000),具体配置的内容是: PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable

# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11

H3C路由器端口映射

H3C路由器端口映射 -技术文档加入时间:2008-10-5 9:24:10admin 点击:5382 H3C华为路由端口映射 2008 年09 月29 日星期一14:42 端口静态ip 映射相关: 1 、la c 改变到中文模式。 sys提权进入系统视图,键入Ctrl+Z退回到用户视图 [ H3C] interface GigabitEthernet4/0 进入端口映射模式(或int E4/0) [H3C-GigabitEthernet4/0] n at server protocol tcp global 外网IP 端口in side 内网IP端口 如果要撤销原固定IP映射,则首先进行: [H3C-GigabitEthernet4/0] undo nat server protocol tcp global 外网IP端口in side内网IP端口(册除端口映射 ) sa 退出保存 return 退出系统视图 reboot 系统重启 要查询已经映射的地址,在sys模式下: dis nat all 即可。 ARP相关:

arp static 192.168.1.100 00-00-00-00-00捆绑 undo arp static 192.168.1.100册除ARP捆绑 dis arp 查看机器在线MAC 地址 没有做过绑定的后面的应该是 D (即动态MAC),做过绑定的后面的应该是 F display arp 查看是否有相同的MAC如果没有算你走运,如果有执行reset arp清除ARP 表然后 PING你的整个网段,让路由立刻收集到MAC PING 192.168.0.2 ------- 以下是中文模式命令 ----------- acl指定ACL配置信息 arp配置ARP命令 aspf-policy指定ASPF策略配置信息 bgp指定BGP配置信息 bims指定BIMS配置信息 clock 设置系统时钟 comma nd-alias设置命令行别名 command-privilege 设置命令权限 cpu-usage设置CPU占用率配置信息 delete 清除路由信息

h3c路由器典型配置案例

version 5.20, Release 2104P02, Basic # sysname H3C # nat address-group 27 122.100.84.202 122.100.84.202 # # domain default enable system # dns resolve dns proxy enable # telnet server enable # dar p2p signature-file cfa0:/p2p_default.mtd # port-security enable # # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 202.106.0.20 202.106.46.151 # # user-group system # local-user admin password cipher .]@USE=*8 authorization-attribute level 3 service-type telnet # interface Aux0 async mode flow link-protocol ppp

interface Cellular0/0 async mode protocol link-protocol ppp # interface Ethernet0/0 port link-mode route nat outbound address-group 27 ip address 122.100.84.202 255.255.255.202 # interface Ethernet0/1 port link-mode route ip address 192.168.201.1 255.255.255.0 # interface NULL0 # # ip route-static 0.0.0.0 0.0.0.0 122.100.84.201 # dhcp enable # load xml-configuration # user-interface con 0 user-interface tty 13 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple###¥¥¥# return [H3C]

H3C路由器常见问题处理

1 常见问题处理 1.1 管理密码丢失 ?将管理计算机的串口通过配置线缆与路由器的Console口相连,在命令行下输入password命令并回车,按照系统提示,输入新密码,并重新输入一次以确认即可。 ?恢复出厂设置。 1.2 恢复出厂设置 ?登录Web页面,单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置(页面向导:设备管理→基本管理→配置管理)。 ?管理计算机串口连接或Telnet到设备,命令行下输入restore default命令并回车,确认后,路由器将恢复到出厂设置并重新启动。 1.3 端口映射不成功 常见的端口映射不成功的原因及处理方法,如下: 1. 运营商原因 一般较常见的如80端口无法映射成功,内网访问正常。 处理方法:联系运营商解决或者将映射的外部端口更换为其他端口。 其他测试验证方法:可以选择将外部端口更换为其他端口(如8099)测试,远程访问时格式为:http://XXX.XXX.XXX.XXX:8099,测试是否访问正常来确认是否该原因引起。 2. 服务器配置原因 内网访问正常,但是外网通过端口映射访问不成功。 处理方法:请检查服务器配置,特别是安全策略或者防火墙设置,确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。 其他测试验证方法:可以采用某台XP系统的客户端主机开启远程协助(当然也同样需要先验证一下内网其他PC是否能远程登入)并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。 3. 端口未全部映射 内网访问正常,一对一NAT也正常,但是外网通过端口映射访问不成功。 处理方法:某些应用(特别如语音、监控系统等)在实际工作过程中需要用到多个端口通信,而客户实际可能只配置了一个或者部分端口的映射,请抓包确认整个通信过程中用到的所有端口,并确认是否均已设置映射。 其他测试验证方法:尝试将服务器设置为DMZ主机或者配置一对一NAT(外网地址不能是WAN 口地址)验证是否正常来确认是否该原因引起。

[史上最详细]H3C路由器NAT典型配置案例

H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 10.110.10.8 202.38.1.100 # 使配置的静态地址转换在接口GigabitEthernet1/2上生效。 [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4. 验证配置 # 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings. IP-to-IP: Local IP : 10.110.10.8 Global IP : 202.38.1.100 Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。 [Router] display nat session verbose Initiator: Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 VPN instance/VLAN ID/VLL ID: -/-/-

H3C路由器端口映射

H3C路由器端口映射 --------------------------------------------------------------------------------技术文档加入时间:2008-10-5 9:24:10admin点击:5382 H3C华为路由端口映射 2008年09月29日星期一14:42 端口静态ip映射相关: 1、la c改变到中文模式。 sys提权进入系统视图,键入Ctrl+Z退回到用户视图 [H3C]interface GigabitEthernet4/0进入端口映射模式(或int E4/0) [H3C-GigabitEthernet4/0]nat server protocol tcp global外网IP端口inside 内网IP端口 如果要撤销原固定IP映射,则首先进行: [H3C-GigabitEthernet4/0]undo nat server protocol tcp global外网IP端口inside内网IP端口(册除端口映射 ) sa退出保存 return退出系统视图 reboot系统重启 要查询已经映射的地址,在sys模式下: dis nat all 即可。 ARP相关:

arp static 192.168.1.100 00-00-00-00-00捆绑 undo arp static 192.168.1.100册除ARP捆绑 dis arp查看机器在线MAC地址 没有做过绑定的后面的应该是D(即动态MAC),做过绑定的后面的应该是F display arp 查看是否有相同的MAC如果没有算你走运,如果有执行reset arp清除ARP 表 然后 PING你的整个网段,让路由立刻收集到MAC PING 192.168.0.2 -----------以下是中文模式命令------------------- acl指定ACL配置信息 arp配置ARP命令 aspf-policy指定ASPF策略配置信息 bgp指定BGP配置信息 bims指定BIMS配置信息 clock设置系统时钟 command-alias设置命令行别名 command-privilege设置命令权限 cpu-usage设置CPU占用率配置信息

H3C路由器设置

1.端口映射 如某公司内网有做游戏或者其他服务机器,需要外网的机器访问时,需要设置端口映射内部机器:192.168.2.223 外网IP:61.190.38.198 需要做端口映射:在NAT配置中设置 2.内网中的PC通过域名访问内部的服务器 内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777 内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1) 命令配置: Acl number 3400 Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777 Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80 Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777 Interface vlan-interface 3 Nat outbound 3400 注:acl的子网掩码和子网掩码是相反的,192.168.1.0/24的子网掩码是255.255.255.0 则acl的子网掩码是0.0.0.255 3.IP和MAC地址绑定 防止ARP欺骗 1)arp扫描:ARP防攻击

H3C-MSR系列路由器IPsec典型配置举例(V7)

7 相关资料

1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址 # 配置接口GigabitEthernet2/0/1的IP地址。 system-view [Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24 [Device-GigabitEthernet2/0/1] quit # 配置接口GigabitEthernet2/0/2的IP地址。 [Device] interface gigabitethernet 2/0/2 [Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24 [Device-GigabitEthernet2/0/2] quit # 配置接口GigabitEthernet2/0/3的IP地址。 [Device] interface gigabitethernet 2/0/3 [Device-GigabitEthernet2/0/3] ip address 192.168.1.1 24 [Device-GigabitEthernet2/0/3] quit (2) 配置L2TP # 创建本地PPP用户l2tpuser,设置密码为hello。 [Device] local-user l2tpuser class network [Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp [Device-luser-network-l2tpuser] quit # 配置ISP域system对PPP用户采用本地验证。 [Device] domain system [Device-isp-system] authentication ppp local [Device-isp-system] quit # 启用L2TP服务。 [Device] l2tp enable # 创建接口Virtual-Template0,配置接口的IP地址为172.16.0.1/24。 [Device] interface virtual-template 0 [Device-Virtual-Template0] ip address 172.16.0.1 255.255.255.0 # 配置PPP认证方式为PAP。 [Device-Virtual-Template0] ppp authentication-mode pap # 配置为PPP用户分配的IP地址为172.16.0.2。 [Device-Virtual-Template0] remote address 172.16.0.2 [Device-Virtual-Template0] quit # 创建LNS模式的L2TP组1。 [Device] l2tp-group 1 mode lns # 配置LNS侧本端名称为lns。 [Device-l2tp1] tunnel name lns # 关闭L2TP隧道验证功能。 [Device-l2tp1] undo tunnel authentication

相关主题
相关文档
最新文档