h3c路由器配置案例

2024-10-13

h3c路由器配置案例(共4篇)

h3c路由器配置案例 篇1

H3C路由器NAT典型配置案列(史上最详细)

神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。1.11 NAT典型配置举例

1.11.1 内网用户通过NAT地址访问外网(静态地址转换)1.组网需求

内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。2.组网图

图1-5 静态地址转换典型配置组网图

3.配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 10.110.10.8 202.38.1.100 # 使配置的静态地址转换在接口GigabitEthernet1/2上生效。[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4.验证配置

# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings.IP-to-IP: Local IP : 10.110.10.8 Global IP : 202.38.1.100

Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)Responder: Source IP/port: 202.38.1.111/42496 Destination IP/port: 202.38.1.100/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes

Total sessions found: 1 1.11.2 内网用户通过NAT地址访问外网(地址不重叠)1.组网需求 · 某公司内网使用的IP地址为192.168.0.0/16。· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。

需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。2.组网图

图1-6 内网用户通过NAT访问外网(地址不重叠)

3.配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。 system-view [Router] nat address-group 0 [Router-nat-address-group-0] address 202.38.1.2 202.38.1.3 [Router-nat-address-group-0] quit # 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat outbound 2000 address-group 0 [Router-GigabitEthernet1/2] quit 4.验证配置

以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 1 NAT address groups.Group Number Start Address End Address 0 202.38.1.2 202.38.1.3

NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 0 Port-preserved: N NO-PAT: N Reversible: N

NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.10/52992 Destination IP/port: 200.1.1.10/2048 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)Responder: Source IP/port: 200.1.1.10/4 Destination IP/port: 202.38.1.3/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)State: ICMP_REPLY Application: INVALID Start time: 2012-08-15 14:53:29 TTL: 12s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes

Total sessions found: 1 1.11.3 内网用户通过NAT地址访问外网(地址重叠)1.组网需求 · 某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。需要实现,内网用户可以通过域名访问外网的Web服务器。2.组网图

图1-7 内网用户通过NAT访问外网(地址重叠)

3.配置思路

这是一个典型的双向NAT应用,具体配置思路如下。· 内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。· 内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。· 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。4.配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS的NAT ALG功能。 system-view [Router] natalgdns # 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 创建地址组1。

[Router] nat address-group 1 # 添加地址组成员202.38.1.2。

[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2 [Router-nat-address-group-1] quit # 创建地址组2。

[Router] nat address-group 2 # 添加地址组成员202.38.1.3。

[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-2] quit # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2 [Router-GigabitEthernet1/2] quit # 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。

[Router] ip route-static 202.38.1.2 32 gigabitethernet 1/2 20.2.2.2 5.验证配置

以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。

[Router] display nat all NAT address group information: There are 2 NAT address groups.Group Number Start Address End Address 1 202.38.1.2 202.38.1.2 2 202.38.1.3 202.38.1.3

NAT inbound information: There are 1 NAT inbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Add route: N NO-PAT: Y Reversible: Y

NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: N

NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.10/1694 Destination IP/port: 202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.10/8080 Destination IP/port: 202.38.1.3/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

Total sessions found: 1 1.11.4 外网用户通过外网地址访问内网服务器 1.组网需求

某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能: · 外部的主机可以访问内部的服务器。· 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。2.组网图

图1-8 外网用户通过外网地址访问内网服务器

3.配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。# 进入接口GigabitEthernet1/2。 system-view [Router] interface gigabitethernet 1/2 # 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp # 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。

[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 www # 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。

[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www # 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。

[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp [Router-GigabitEthernet1/2] quit 4.验证配置 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT internal server information: There are 4 internal servers.Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/21 Local IP/port: 10.110.10.3/21

Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/25 Local IP/port: 10.110.10.4/25

Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/80 Local IP/port: 10.110.10.1/80

Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/8080 Local IP/port: 10.110.10.2/80

NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 202.38.1.10/1694 Destination IP/port: 202.38.1.1/21 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 10.110.10.3/21 Destination IP/port: 202.38.1.10/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: FTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

Total sessions found: 1 1.11.5 外网用户通过域名访问内网服务器(地址不重叠)1.组网需求 · 某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。· 该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。· 该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。需要实现,外网主机可以通过域名访问内网的Web服务器。2.组网图

图1-9 外网用户通过域名访问内网服务器(地址不重叠)

3.配置思路 · 外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。4.配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS协议的ALG功能。 system-view [Router] natalgdns # 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 10.110.10.2 0 [Router-acl-basic-2000] quit # 创建地址组1。

[Router] nat address-group 1 # 添加地址组成员202.38.1.3。

[Router-nat-address-group-1] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-1] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。

[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible [Router-GigabitEthernet1/2] quit 5.验证配置

以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 1 NAT address groups.Group Number Start Address End Address 1 202.38.1.3 202.38.1.3

NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y

NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 17(UDP)Global IP/port: 202.38.1.2/53 Local IP/port: 10.110.10.3/53

NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 202.1.1.2/1694 Destination IP/port: 202.38.1.3/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 10.110.10.2/8080 Destination IP/port: 202.1.1.2/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

Total sessions found: 1 1.11.6 外网用户通过域名访问内网服务器(地址重叠)1.组网需求 · 某公司内网使用的IP地址为192.168.1.0/24。· 该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。· 该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。· 该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。2.组网图

图1-10 外网用户通过域名访问内网服务器(地址重叠)

3.配置思路

这是一个典型的双向NAT应用,具体配置思路如下。· 外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。· 外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。· NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。4.配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS协议的ALG功能。 system-view [Router] natalgdns # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 创建地址组1。

[Router] nat address-group 1 # 添加地址组成员202.38.1.2。

[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2 [Router-nat-address-group-1] quit # 创建地址组2。

[Router] nat address-group 2 # 添加地址组成员202.38.1.3。

[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-2] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。

[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.4 inside 200.1.1.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。[Router-GigabitEthernet1/2] nat inbound 2000 address-group 2 [Router-GigabitEthernet1/2] quit # 配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。[Router] ip route-static 202.38.1.3 32 gigabitethernet1/2 20.2.2.2 5.验证配置

以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 2 NAT address groups.Group Number Start Address End Address 1 202.38.1.2 202.38.1.2 2 202.38.1.3 202.38.1.3

NAT inbound information: There are 1 NAT inbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Add route: N NO-PAT: N Reversible: N

NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y

NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 17(UDP)Global IP/port: 202.38.1.4/53 Local IP/port: 200.1.1.3/53

NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.2/8080 Destination IP/port: 202.38.1.3/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

Total sessions found: 1 1.11.7 内网用户通过NAT地址访问内网服务器 1.组网需求 · 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。· 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。· 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。2.组网图

图1-11 内网用户通过NAT地址访问内网服务器

3.配置思路

该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。· 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。· 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。4.配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 system-view [Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp # 在接口GigabitEthernet1/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/2的IP地址进行源地址转换。[Router-GigabitEthernet1/2] nat outbound 2000 [Router-GigabitEthernet1/2] quit # 在接口GigabitEthernet1/1上使能NAT hairpin功能。[Router] interface gigabitethernet 1/1 [Router-GigabitEthernet1/1] nathairpin enable [Router-GigabitEthernet1/1] quit 5.验证配置 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。[Router]displaynat all NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group:---Port-preserved: N NO-PAT: N Reversible: N NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.2/21 Local IP/port: 192.168.1.4/21

NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

NAT hairpinning: There are 1 interfaces enabled with NAT hairpinning.Interface: GigabitEthernet1/1

NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/21 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.4/21 Destination IP/port: 202.38.1.1/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

H3C路由器实现VRRP协议 篇2

本实验拓补图如下:

本实验利用路由器实现vlan10, 20间的通信, 并且路由器R9,R12 相互备份. 图中SW1 SW2 实现链路聚合. 同时在SW1,SW2,SW3 上启用gvrp协议 实现vlan间的同步

SW1 配置如下:

[sw1]gvrp

Please wait........................................... Done.

[sw1]int e1/0/11

[sw1-Ethernet1/0/11]port link-type trunk                          ----------设置e1/0/11为 trunk

[sw1-Ethernet1/0/11]port trunk permit vlan all                  ---------- 允许所有vlan通过

Please wait........................................... Done.

[sw1]int e1/0/16

[sw1-Ethernet1/0/11]port link-type trunk

[sw1-Ethernet1/0/11]port trunk permit vlan all

Please wait........................................... Done.

[sw1]int e1/0/11

[sw1-Ethernet1/0/11]port link-type trunk

[sw1-Ethernet1/0/11]port trunk permit vlan all

Please wait........................................... Done.

[sw1-Ethernet1/0/11]gvrp

GVRP is enabled on port Ethernet1/0/11.

[sw1]link-aggregation group 1 mode manual                        ----------添加聚合组 1

[sw1]int e1/0/13

[sw1-Ethernet1/0/13]port link-type trunk

[sw1-Ethernet1/0/13]port trunk permit vlan all

Please wait........................................... Done.

[sw1-Ethernet1/0/13]gvrp

GVRP is enabled on port Ethernet1/0/13                            ----------添加到聚合组 1

[sw1-Ethernet1/0/13]port link-aggregation group 1

[sw1]int e1/0/15

[sw1-Ethernet1/0/15]port link-type trunk

[sw1-Ethernet1/0/15]port trunk permit vlan all

Please wait........................................... Done.

[sw1-Ethernet1/0/15]gvrp

GVRP is enabled on port Ethernet1/0/15.

[sw1-Ethernet1/0/15]port link-aggregation group 1             ----------添加到聚合组 1

SW2 配置如下:

[sw2]gvrp

Please wait........................................... Done.

[sw2]link-aggregation group 1 mode manual

[sw2]int e1/0/13

[sw2-Ethernet1/0/13]port link-type trunk

[sw2-Ethernet1/0/13]port trunk permit vlan all

Please wait........................................... Done.

[sw2-Ethernet1/0/13]gvrp

GVRP is enabled on port Ethernet1/0/13.

[sw2-Ethernet1/0/13]port link-aggregation group 1

[sw2]int e1/0/15

[sw2-Ethernet1/0/15]port link-type trunk

[sw2-Ethernet1/0/15]port trunk permit vlan all

[sw2-Ethernet1/0/15]gvrp

GVRP is enabled on port Ethernet1/0/15.

Please wait........................................... Done.

[sw2-Ethernet1/0/15]port link-aggregation group 1

[sw2]vlan 10

[sw2-vlan10]port e1/0/4

[sw2]vlan 20

[sw2-vlan20]port e1/0/6

SW3 配置如下:

[sw3]gvrp

Please wait........................................... Done.

[sw3]int e1/0/11

[sw3-Ethernet1/0/11]port link-type trunk

[sw3-Ethernet1/0/11]port trunk permit vlan all

[sw3-Ethernet1/0/11]gvrp

GVRP is enabled on port Ethernet1/0/11.

H3C配置导入导出总结 篇3

一、h3c配置远程登录

1、服务器端配置(下面4步没有先后顺序)

1)开启远程登录服务

[h3c]telnet server enable

开启远程登录

2)创建telnet用户

[h3c]local-user h3c

创建用户名h3c [h3c-luser-h3c]password cipher/simple h3c

为h3c创建密文/明文显示的密码

[h3c-luser-h3c]service-type telnet

定义该用户的服务类型为telnet [h3c-luser-h3c]authorization-attribute level 3授权当前用户的命令行级别为3级——管理级P40 3)设定远程登录用户属性

[h3c]user-interface vty 0 4

设置虚拟用户端口

[h3c-ui-vty0-4]authentication-mode scheme

设定远程登录用户的登录方式使用用户名和密码

[h3c-ui-vty0-4]user privilege level 3

设置远程登录用户登录后的最高级别

4)配置IP地址

[h3c]interface vlan-interface 1 [h3c-vlan-interface1]ip address 192.168.1.1 24 2、客户端口配置

1)配置IP地址

192.168.1.2/24

3、登录

开始——程序——附件——命令提示符——telnet 192.168.1.1

二、导出配置文件

1、保存配置:

1)显示保存的配置:Display saved-cofiguration(结果是:配置文件不存在)

2)保存配置文件:Save(将current-configuration内容保存到saved-configuration中,文件名是:startup.cfg。保存过程中先:Y确认保存,再确认使用默认文件名。此时再显示:此时可以看到配置文件内容。)说明:

1)移除保存的配置文件:reset saved-cofiguration(再显示时,提示:配置文件不存在)2)重启设备:reboot 交换机重启时:直接确认为清除current-configuration 路由器重启时:直接确认为保存current-configuration 3)路由器的默认配置中g0/0口ip为192.168.1.1,telnet用户名为admin

2、创建ftp用户

[h3c]local-user h3c1

创建用户名h3c1 [h3c-luser-h3c]password cipher/simple h3c1

为h3c1创建密文/明文显示的密码

[h3c-luser-h3c]service-type ftp

定义该用户的服务类型为ftp [h3c-luser-h3c]authorization-attribute level 3授权当前用户的命令行级别为3级

3、开启远程登录服务

[h3c]ftp server enable

4、登录服务器

>ftp 192.168.1.1 ftp>dir/ls(dir显示包括文件读写属性、大小、日期时间、文件名等属性,ls只显示文件名)

ftp>Get startup.cfg d:/sw1.cfg(将保存的配置文件从服务器上下载到本地机上,用记事本打开可以查看里面内容)说明:

上传文件:put 1)将d:/sw1.cfg文件通过记事本修改(如:将sysname 改为zs)并保存

2)上传文件Put d:/sw1.cfg startup.cfg(若上传后的文件名不是startup.cfg,则需要用设置下次启动时的配置文件,命令为:tartup saved-configuration filename)

3)重新启动reboot,此时可以看到系统提示符为,说明修改的配置文件已经生效。

1、保证你的主机和目标设备网络可达,2、在目标设备上开启ftp服务,并设置相应的用户名、密码、服务类型

3、直接在主机上命令行中运行ftp 目的主机地址(192.168.5.11),输入用户名和密码后,使用get命令获取你想要的文件

4、如果不知道那个是你的配置文件可以通过如下命令

dis start-up / dis saved-config(这个是保存的配置配件,命令好像是这样的,记得不是很清了)

或者直接在尖括号输入 dir

二、使用FTP方式

步骤

1、在PC机“开始菜单”的“运行”栏中键入“cmd”,进入DOS界面,保证PC机可以PING通设备。

步骤

2、在交换机上启动FTP服务器,并配置从PC机上FTP登陆时的用户名和密码

[H3C]ftp server enable /启动FTP服务/

% FTP server has been started

[H3C]local-user guest /增加一个本地用户,用户名为guest/

New local user added.[H3C-luser-ftp]password simple ftp /配置用户名为guest的密码为ftp/

[H3C-luser-ftp]service-type ftp ftp-directory flash:/

/指定此用户的服务类型为ftp,且ftp后的上传下载目录为flash下/

步骤

3、在PC机“开始菜单”的“运行”栏中键入“cmd”,进入DOS界面(1)获取配置文件

C:>ftp 10.10.0.254 Connected to 10.10.0.254.220 FTP service ready.User(10.10.0.254:(none)): guest 331 Password required for guest.Password: 230 User logged in.ftp> dir 200 Port command okay.150 Opening ASCII mode data connection for *.-rwxrwxrwx 1 noone nogroup 5287115 Oct 31 2006 s5500si-cmw5-rwxrwxrwx 1 noone nogroup 2254 May 05 04:05 config.cfg 226 Transfer complete.ftp: 148 bytes received in 0.02Seconds 9.25Kbytes/sec.ftp> get config.cfg 200 Port command okay.150 Opening ASCII mode data connection for config.cfg.226 Transfer complete.ftp: 2254 bytes received in 0.00Seconds 2254000.00Kbytes/sec.【提示】

1、此时在PC机的C:文件夹下就可以看到备份的config.cfg文件了,可以通过记事本或写字板打开

(2)上传配置文件

# 以FTP方式登录FTP服务器,上传.bin文件,并存放于FTP服务器的根目录下。

c:> ftp 10.10.0.254

ftp> put aaa.bin bbb.bin

远程用户——-internet——-F100 采用l2tp方式 sysname XXXX //设备名称 # l2tp enable //开启l2tp功能

# firewall packet-filter enable firewall packet-filter default permit # undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 # firewall statistic system enable # radius scheme system server-type extended # domain system ip pool 1 192.1.2.2 192.1.2.10 # local-user admin password cipher.]@USE=B,53Q=^Q`MAF4<1!service-type telnet terminal level 3 local-user xxx //配置拨号用户 password simple 123456 service-type ppp interface Virtual-Template1 //配置虚拟接口模板1及其验证方式

ppp authentication-mode pap ip address 192.168.2.1 255.255.255.0 remote address pool 1 # interface Ethernet1/0 ip address 172.16.2.2 255.255.255.252 # interface Ethernet2/0 speed 10 duplex half ip address 60.6.3.136 255.255.255.0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust //把虚拟接口模板添加进入安全域 add interface Ethernet1/0 add interface Virtual-Template1 set priority 85 # firewall zone untrust add interface Ethernet2/0 set priority 5 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DMZ # firewall interzone trust untrust # firewall interzone trust DMZ # firewall interzone DMZ untrust # l2tp-group 1 //配置l2tp组1

undo tunnel authentication //取消隧道验证

allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接 # FTP server enable # telnet source-interface Ethernet1/0 # undo dhcp enable # ip route-static 0.0.0.0 0.0.0.0 60.6.3.1 preference 60 //配置静态默认路由

ip route-static 192.1.100.0 255.255.255.0 172.16.2.1 preference 60 //配置到内网静态路由

ip route-static 192.2.100.0 255.255.255.0 172.16.2.1 preference 60 //配置到内网静态路由 # user-interface con 0 user-interface vty 0 4 authentication-mode scheme # return

windows L2TP客户端配置(以XP为例)配置L2TP 拨号连接:

7、输入准备连接的L2TP 服务器的IP 地址“60.6.3.136”,单击“下一步”

8、单击“完成”。

9、双击“l2tp”连接,在l2tp 连接窗口,单击“属性”。

10、选择“安全”属性页,选择“高级(自定义设置)”,单击“设置”。

11、在“数据加密”中选择“可选加密(没有加密也可以连接)”。

12、在“允许这些协议”选中“不加密的密码(PAP)”、“质询握手身份验证协议(CHAP)”、“Microsoft CHAP(MS-CHAP)”,单击“确定”。

13、选择“网络”属性页面,在“VPN 类型”选择“L2TP IPSec VPN”。

14、选中“Internet 协议(TCP/IP)”

15、“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件和打印共享”、“微软网络客户”协议不选。

16、单击“确定”,保存所做的修改。2.修改注册表

缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。可以通过修改 Windows XP 注册表来禁用缺省的行为: 通过附件自动修改

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters] “ProhibitIPSec”=dword:00000001 ============================================= //允许外网UDP数据访问192.168.0.1

nat server protocol udp global 1.1.1.1 any inside 192.168.0.1 any

h3c路由器配置案例 篇4

在真正构建任何东西之前,都必须制订一个计划。这个计划应以文档的形式确立下来,类似一张蓝图。这样在计划的实施过程中,便可随时加以参考。修改现有的网间网,或构建一个新的网间网时,对我们来说,如果有网络布局和配置的一张示意图,那么它具有很大的帮助作用。为阐述路由器的配置,我们准备构建一D个小型网间网。在下图中,展示了准备构建的这个网间网的基本结构。

在本文的大多数地方,都会在配置示例中采用Cisco 2520路由器。用一条T1租线,我们的两个2520路由器相互连接到一起。T1是一种点到点的WAN,带宽为每秒1.544兆位(Mbps)。每个路由器都有一个带宽为10Mbps的Ethernet LAN。

由于我们是从头开始,所以两个路由器都要配置。进行初始配置之前,对于一个新路由器,下面这些东西是我们必须了解的:

--路由器的名字。

--准备使用的接口。

--想在路由器上运行的协议。

--接口的地址。

--用于访问路由器的密码。

图1

调查并记下了所有这些内容后,再来进行新路由器的配置,便会显得非常简单,名字

每个路由器都有独一无二的“主机名”,用以标识自己的身份,名字应当准确地描述路由器,不要使人不知所云。通常,我们将路由器摆放的地点表现到名字中去。至于具体采用什么名字,几乎完全由你自行决定。但是,RFC1035仍然对此给出了一些建议性的规则,路由器的主机名不应超过63个字符,可包含字母、数字和连字号,名字应当以一个字母起头,结尾则字母、数字均可。默认情况下,IOS会将这个名字(最多其中的29个字符)显示在IOS命令提示行中。

接口

在我们的示范路由器中,用于连接T1及Ethernet的串行接口被用来连接到10Mbps的Ethernet LAN。

针对需要连接的每个网络,都要指出准备用哪个接口与之相连。指定一个接口之前,首先必须知道路由器上可使用哪些接口。Cisco 2520有一个Ethernet接口,两个快速串行接口,两个低速串行接口,以及一个ISDN接口,无论快速还是低速串行接口,在IOS的眼中,它们都是串口、受到“待遇”都是相同的。因此,我们可以认为2520总共包含了四个串口,图2向大家展示了路由器的名字,以及每个路由器上需要配置的接口情况。

两个路由器的名字分别是Dallas和FortWorth,在Dallas上,我们准备使用Ethernet0和Serial1两个接口,而在FortWorth上,准备使用Ethernet0和Serial0接口那,当然完全可以将Dallas Serial0连接到FortWorth Serial0,但为了便于这里的讨论,我们令Dallas Serial1同ForthWorth Serial0建立连接。

图2

网络协议

正如在《基础篇》中指出的那样,网络协议主要划分为两大类别:“路由的协议”和“路由协议”、现在,这两种协议都是我们需要的。

路由的协议

为决定“路由的协议”,要依据网间网中的主机类型、它们的操作系统及其配置的协议。在路由器上,可配置的路由的协议由其10S特性集决定。例如,假定路由器运行的是一套IP特性集(IP Feature Set),那么只能用IP协议启动;而假若路由器运行的是一套“企业特性集”(Enterprise Feature Set),便可用自己希望的任何一种协议启动。

我们的示范路由器运行的正是一套IOS企业特性集。现在,假定新网络将包含下面这些类型的主机:

--运行TCP/IP的Unix主机。

--运行IPx的Novell Netware5服务器和客户机,

--运行AppleTalk的Apple Macintosh机器。

通过在路由器上配IP、IPx和App1eTalk协议,我们将开始第一个网间网的构建。

路由协议

对于路由的每种协议,在所有路由器上,都应同时运行一个对应的“路由协议”。为稍微简化初始配置,我们准备运行下述路由协议:

--IP路由信息协议(RIP)。

--IPx RIP。

--AppleTalk路由表维护协议(RTMP)。

IPX RIP是IPX的默认路由协议,而RTMP是AppleTalk的默认路由协议。换言之,当我们在一个接口上配置IPx时,也会在接口上启动IPx RIP;在接口上配置App1eTalk时,RTMP也会在接口上启动。

而对于IP,它没有自己的默认路由协议。所以,我们必须手动配置一个。首先从最简单的IP路由协议开始:RIP。

接口地址

由于我们要初始配置三种“路由的协议”,所以需要为每个路由器接口的每一种协议部分配相应的地址。

IP

每个网络都需要一个IP网络、或称“子网”。由于目前存在三个网络,所以需要选择三个网络地址,并为每个网络都选择一个掩码。这三个网络分别是:Dallas Ethernet LAN,FortWorth Ethernet LAN以及位于Dallas与FortWorth之间的WAN。对于每个接口,都应选择一个IP主机地址。这个地址以我们选择的网络地址开头DD并用一个独一无二的节点地址结尾。

IP地址和其掩码的格式称为“点数”格式。地址由四个十进制数字组成,每个数字可在0到255之间变化,中间用小数点(.)分隔。

IPX

对于我们的每个网络,都需要一个IPX网络编号DD每个网络都需要一个独一无二的IPX网络编号。在接口上配置好网络编号后,IPx主机地址的节点部分会自动分配。IPX网络编号用十六进制(HEx)写成,可包含1到8个十六进制数位。

AppleTalk

对于我们的每个网络,都需要一个AppleTalk布线范围和区名。每个网络都需要一个独一无二的布线范围,由两个十进制数字组成DD第二个要比第一个大。在接口上配置布线范围和区名时,AppIeTalk主机地址的节点部分也会动态选择。所谓AppleTalk的“区”(Zone),是指一系列AppleTalk网络的逻辑组合。每个区都有自己的名字。在同区内网络连接的每个接口上,都要配置好相应的区名。

地址计划

对于早期介绍的每一种“路由的协议”,同网络连接的每个接口都必须分配相同的网络地址。例如,Dallas Seriall接口和Fortworth Seriall接口都连接到同一个网络。因此,它们必须拥有相同的网络地址。

掌握了地址定义的基本原理后,便很容易理解我们在图3中为网间网选择的网络地址。利用我们的网络地址,可为我们准备在路由器上使用的接口分配地址。表1展示了在每个路由器的初始配置期间,需要掌握的接口信息(这张表格可加快我们进行路由器初始配置的速度.因为在网间网实施过程中.可以方便地参考它)。

图3

表1

密码

对初始配置而言,我们需要三个方面的密码:

1)加密启用。

2)启用。

2)VTY(虚拟终端或虚拟电传)。

所有10S密码都要区分大小写,并可包含大、小字母、数字、标点符号和空格的任意组合。但是,不可将空格作为密码的首字符使用。IOS密码的最大长度是25个字符。

IOS配置期间会用到的密码包括

--加密启用密码DDitsasecret。

--启用密码DDenableme。

--VTY密码DD1etmein。

密码最好同时包括字母和数字,不应包括字典中能够查到的单词,而且应该很难猜测,但这儿选择的密码违反了所有这些规则DD在正式网络中,请不要照搬!

就目前的计划来说,仍然没有正式接触到路由器。在下面,我们将讨论同路由器的连接,以继续完成实施过程。

上一篇:运营部月工作计划下一篇:测量中级工程师、思想和业务工作总结