H3C路由器配置实例

《H3C路由器配置实例》由会员分享，可在线阅读，更多相关《H3C路由器配置实例（18页珍藏版）》请在装配图网上搜索。

1、.通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。1、配置网接口Ethernet0/0：MSR20-20 interface Ethernet0/0MSR20-20- Ethernet0/0ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址MSR20-20dhcp server ip-pool 1MSR20-20-dhcp-pool-1network 192.168.1.0 24MSR20-20-dhcp-pool-1dns-list 202.96.134.133MSR20-20-dh

2、cp-pool-1 gateway-list 192.168.1.13、配置natMSR20-20nat address-group 1 公网IP 公网IPMSR20-20acl number 3000MSR20-20-acl-adv-3000rule 0 permit ip4、配置外网接口Ethernet0/1MSR20-20 interface Ethernet0/1MSR20-20- Ethernet0/1ip add 公网IPMSR20-20- Ethernet0/1 nat outbound 3000 address-group 15 加默缺省路由MSR20-20route-stac

3、 0.0.0.0 0.0.0.0 外网网关总结：在2020路由器下面, 配置外网口,配置网口,配置acl 作nat, 一条默认路由指向电信网关. ok!Console登陆认证功能的配置关键词：MSR;console;一、组网需求：要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。二、组网图：三、配置步骤：设备和版本：MSR系列、version 5.20, R1508P02RTA关键配置脚本#/创建本地与密码local-user h3cpassword simple h3c/设置服务类型为terminalservice-type termin

4、al/设置用户优先级为3level 3#/设置console接口为scheme认证模式user-interface con 0authentication-mode scheme#四、配置关键点：1) 在配置完成后，释放当前连接，重新连接设备即可。telnet用户进行本地认证功能的典型配置关键词：MSR;telnet;一、组网需求：要求用户telnet登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。设备清单：MSR系列路由器台1二、组网图：三、配置步骤：设备和版本：MSR系列、version 5.20, R1508P02RTA关键配置脚本#/更改同时配置设备的用

5、户数为5，默认为1，保证最多5个用户进入系统视图configure-user count 5#/打开Telnet服务器，缺省关闭，必须打开 telnet server enable#/创建本地与密码local-user h3cpassword simple h3c/设置服务类型为telnetservice-type telnet /设置用户优先级为3level 3#/连接到telnet主机客户端interface Ethernet0/1port link-mode routeip address 192.168.0.1 255.255.255.0#/设置scheme认证user-interfa

6、ce vty 0 4authentication-mode scheme#四、配置关键点：1) 必须保证Telnet Server Enable，Configure-user count也根据需要进行配置；2) 实际使用用户名、密码要和local-user配置保持一致。MSR系列路由器地址池方式做的配置关键字：MSR;地址池一、组网需求：网用户通过路由器的地址池转换来访问Internet。设备清单：MSR系列路由器1台，PC 1 台二、组网图：三、配置步骤：适用设备和版本：MSR系列、Version 5.20, Release 1508P02MSR1 配置#/用户的地址池 address-gr

7、oup 1 202.100.1.3 202.100.1.6#/配置允许进行转换的网地址段acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255rule 1 deny#interface GigabitEthernet0/0port link-mode route/在出接口上进行转换 outbound 2000 address-group 1ip address 202.100.1.2 255.255.255.0#/网网关interface GigabitEthernet0/1port link-mode routeip address

8、 192.168.0.1 255.255.255.0#/配置默认路由ip route-static 0.0.0.0 0.0.0.0 202.100.1.1#四、配置关键点：1地址池要连续；2在出接口做转换；3默认路由一般要配置。DHCP SERVER功能的配置关键字：MSR;DHCP;基础配置一、组网需求：MSR1作为DHCP服务器为网段10.1.1.0/24中的客户端动态分配IP地址，该地址池网段分为两个子网网段：10.1.1.0/25和10.1.1.128/25。路由器的两个以太网接口G0/0和G0/1的地址分别为10.1.1.1/25和10.1.1.129/25。10.1.1.0/25网

9、段的地址租用期限为10天12小时，域名为h3c.，DNS服务器地址为10.1.1.2，NBNS服务器地址为10.1.1.4，出口网关的地址为10.1.1.1。10.1.1.128/25网段的地址租用期限为5天，域名为h3c.，DNS服务器地址为10.1.1.2，无NBNS服务器地址，出口网关的地址为10.1.1.129。设备清单：PC两台、MSR系列路由器1台二、组网图：三、配置步骤：适用设备和版本：MSR系列、Version 5.20, Release 1508P02MSR1 配置#/配置DHCP父地址池0的共有属性地址池围、DNS服务器地址dhcp server ip-pool 0netw

10、ork 10.1.1.0 mask 255.255.255.0dns-list 10.1.1.2domain-name h3c.#/配置DHCP子地址池1的属性地址池围、出口网关dhcp server ip-pool 1network 10.1.1.0 mask 255.255.255.128gateway-list 10.1.1.1nbns-list 10.1.1.4expired day 10 hour 12#/配置DHCP子地址池2的属性地址池围、出口网关dhcp server ip-pool 2network 10.1.1.128 mask 255.255.255.128gateway

11、-list 10.1.1.129expired day 5#interface GigabitEthernet0/0port link-mode routeip address 10.1.1.1 255.255.255.128#interface GigabitEthernet0/1port link-mode routeip address 10.1.1.129 255.255.255.128#/禁止服务器地址参与自动分配dhcp server forbidden-ip 10.1.1.2 10.1.1.4#/使能DHCP服务功能dhcp enable#四、配置关键点：1)子地址池1、2的围要

12、在父地址池0里面。2)要把一些固定的IP地址，如DNS服务器地址、域名服务器地址、WINS服务器地址禁止用于自动分配。3)配置好地址池及相关服务器地址后，一定要在系统视图下使能DHCP服务功能。MSR系列路由器GRE隧道基础配置关键字：MSR;GRE;隧道一、组网需求：Router A 、Router B两台路由器通过公网用GRE实现私网互通。设备清单：MSR系列路由器2台二、组网图：三、配置步骤：Router A 配置#interface LoopBack1 ip address 11.1.1.1 255.255.255.255#interface GigabitEthernet0/0 po

13、rt link-mode route ip address 10.1.1.1 255.255.255.252#/创建GRE隧道，指定封装后的源地址和目的地址interface Tunnel0 ip address 192.168.0.2 255.255.255.0source 10.1.1.1 destination 10.1.1.2#/通过tunnel访问对端私网的路由ip route-static 12.1.1.0 255.255.255.0 Tunnel0#Router B配置#interface Ethernet0/0port link-mode routeip address 10.

14、1.1.2 255.255.255.252#interface LoopBack1ip address 12.1.1.1 255.255.255.255#/创建GRE隧道，指定封装后的源地址和目的地址interface Tunnel0ip address 192.168.0.1 255.255.255.0source 10.1.1.2destination 10.1.1.1#/通过tunnel访问对端私网的路由ip route-static 11.1.1.0 255.255.255.0 Tunnel0#四、配置关键点：1)两端的隧道地址要处于同一网段；2)不要忘记配置通过tunnel访问对方私

15、网的路由。L2TP 穿过NAT接入LNS功能配置关键字：MSR;L2TP;VPN;NAT;LNS一、组网需求：移动用户通过L2TP客户端软件接入LNS以访问总部网，但LNS的地址为网地址，需要通过NAT服务器后才能接入。设备清单：MSR系列路由器 2台PC 1台二、组网图：三、配置步骤：LNS 配置# sysname H3C#l2tp enable /使能L2TP#domain h3cip pool 1 11.1.1.2 11.1.1.5#local-user ua /创建本地用户usera password simple ua service-type ppp /采用ppp方式#l2tp-g

16、roup 1 /创建L2TP组 undo tunnel authentication allow l2tp virtual-template 0#interface Ethernet0/0port link-mode route ip address 192.168.0.1 255.255.255.0#interface Virtual-Template0 ppp authentication-mode pap domain h3c/采用PAP的域认证方式 ppp pap local-user ua password simple uaremote address pool 1 ip addr

17、ess 11.1.1.1 255.255.255.0#interface LoopBack0 ip address 192.168.0.3 255.255.255.255# ip route-static 0.0.0.0 0.0.0.0 192.168.0.2#NAT 配置# sysname NAT#acl number 2000 rule 0 permit source 192.168.0.0 0.0.0.255 rule 5 deny#interface GigabitEthernet0/0 port link-mode route ip address 192.168.0.2 255.2

18、55.255.0 /配置网网关#interface GigabitEthernet0/1 port link-mode route/使用出接口进行NAT转换nat outbound 2000 /允许外网UDP数据访问192.168.0.1nat server protocol udp global 1.1.1.1 any inside 192.168.0.1 any ip address 1.1.1.1 255.0.0.0#PC的配置如下：在PC上的配置步骤可以分为两步：创建一个新连接和修改连接属性，具体如下：首先要创建一个新的连接，操作步骤为：网络邻居-属性在网络任务栏里选择“创建一个新的连

19、接单击下一步选择“连接到我的工作场所，单击下一步选择“虚拟专用网络连接，单击下一步输入连接名称“l2tp，单击下一步选择“不拨初始连接，单击下一步选择LNS的服务器地址1.1.1.1，单击下一步选择“不使用我的智能卡，单击下一步单击完成，此时就会出现名为l2tp的连接，如下：单击属性按钮，修改连接属性，要与LNS端保持一致，如下：在属性栏里选择“安全，选择“高级“设置，如下:选择“允许这些协议“不加密的密码PAP(U),单击确定。至此，PC机上的配置完成。双击“l2tp连接，输入用户名ua和密码ua，就可以访问部网络了。在PC上pingLNS的loopback地址，如下：C:Documents

20、 and SettingsAdministratorping 192.168.0.3Pinging 192.168.0.3 with 32 bytes of data:Reply from 192.168.0.3: bytes=32 time=1ms TTL=255Reply from 192.168.0.3: bytes=32 time1ms TTL=255Reply from 192.168.0.3: bytes=32 time1ms TTL=255Reply from 192.168.0.3: bytes=32 time1ms TTL=255Ping statistics for 192

21、.168.0.3:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 0ms, Maximum = 1ms, Average = 0ms四、配置关键点：1） L2TP的认证最好采用域方式认证2） PC侧的配置要与LNS上的配置一致3） PC侧的服务器地址要填NAT公网出口地址LNS上对L2TP接入进行Radius认证功能的配置关键字：MSR;L2TP;LNS;Radius;AAA一、组网需求：MSR路由器是LNS服务器，对外提供L2

22、TP接入服务，并对接入用户进行Radius认证设备清单：MSR系列路由器1台，主机2台二、组网图：三、配置步骤：MSR配置# /势能L2TP l2tp enable# /将默认域改为h3c domain default enable h3c#/配置Radius方案h3cradius scheme h3c server-type standard /主认证Radius服务器地址 primary authentication 192.168.0.13 /主计费服务器地址 primary accounting 192.168.0.13 /认证服务器密码 key authentication 1234

23、56 /计费服务器密码 key accounting 123456 /不带域名认证 user-name-format without-domain /使能计费 accounting-on enable#/配置H3C域domain h3c /配置认证方案为h3c authentication ppp radius-scheme h3c /配置授权方案也是h3c，必须配置，否那么无法认证通过 authorization ppp radius-scheme h3c access-limit disable state active idle-cut disable self-service-url

24、disable /配置地址池 ip pool 1 10.0.0.2 10.0.0.9#/l2tp组1l2tp-group 1 /不进行隧道认证 undo tunnel authentication /绑定虚模板0 allow l2tp virtual-template 0#/虚模板0interface Virtual-Template0 /进行ppp的pap认证，使用默认域h3c认证 ppp authentication-mode pap /指定默认域h3c的地址池1 remote address pool 1 /虚模板地址 ip address 10.0.0.1 255.255.255.0#

25、/连接Radius服务器接口interface GigabitEthernet0/0 port link-mode route ip address 192.168.0.22 255.255.255.0#/连接互联网的接口interface GigabitEthernet0/1port link-mode routeip address 221.231.137.5 255.255.255.192#四、配置关键点：1) 在h3c域视图下必须配置Authorization授权方案，否那么即使Radius认证通过，Radius服务器返回的Accept授权不会被路由器接受，导致认证失败；2) Radi

26、us方案中是否计费、端口、密码设置要视Radius服务器而定；3) PC部分配置可以参考L2TP部分典型配置。VLAN802.1q功能的典型配置关键词：MSR;802.1q;一、组网需求：在局域网中,通过交换机上配置VLAN可以减少主机通信广播域的围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通.这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q。设备清单：MSR系列路由器1台二、组网图：三、配置步骤：RTA关键配置脚本#/设置子接口封装类型为vlan10interface Ethernet0

27、/0.10 vlan-type dot1q vid 10 ip address 10.0.0.1 255.255.255.0#/设置子接口封装类型为vlan20interface Ethernet0/0.20 vlan-type dot1q vid 20 ip address 20.0.0.1 255.255.255.0#/设置子接口封装类型为vlan30interface Ethernet0/0.30 vlan-type dot1q vid 30ip address 30.0.0.1 255.255.255.0#四、配置关键点：1) 交换机部分配置，可以参考交换机的操作手册；2) 在各个VLAN中的主机必须指定网关,其地址为路由器相应子接口的IP，配置完毕后个VLAN间的主机可以相互ping通；3如果想对个VLAN间部分主机访问做控制，可以通过在路由器上做ACL进行访问控制。Dis up-