H3C路由器配置实例

1、页眉内容ip http enable 开启通过在外网口配置为外网口。1、配置内网接口(EthernetO/0):WEBnat基本就OK 了，以下配置假设 Ethernet。/。为局域网接口，Ethernet0/1MSR20-20 in terface Ethernet0/0MSR20-20 - Ethernet0/0ip add 242、 使用动态分配地址的方式为局域网中的PC分配地址MSR20-20 dhcp server ip-pool 1MSR20-20 -dhcp-pool-1network24MSR20-20 -dhcp-pool-1dns-listMSR20-20 -dhcp-po

2、ol-1 gateway-list3、配置natMSR20-20 nat address-group 1 公网 IP 公网 IPMSR20-20 acl number 3000MSR20-20 -acl-adv-3000rule 0 permit ip4、配置外网接口( Ethernet0/1)MSR20-20 in terface Ethernet0/1MSR20-20 - Ethernet0/1ip add 公网 IPMSR20-20 - Ethernet0/1 nat outbound 3000 address-group 15、加默缺省路由MSR20-20 route-stac 外网网

3、关总结：在2020路由器下面，配置外网口 ，配置内网口 ，配置acl作nat,一条默认路由指向电信网关.ok!Con sole登陆认证功能的配置关键词：MSR;co nsole;一、组网需求： 要求用户从con sole登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。二、组网图：三、配置步骤: 设备和版本：MSR 系列、version 5.20, R1508P02RTA关键配置脚本/创建本地帐号与密码local-user h3cp assword simple h3cII设置服务类型为terminalservice-t ype term inalII设置用户优先

4、级为 3level 3II 设置 con sole接口为 scheme 认证模式user- in terface con 0authe nticati on-m ode scheme#四、配置关键点：1）在配置完成后，释放当前连接，重新连接设备即可。telnet用户进行本地认证功能的典型配置关键词：MSR;tel net;一、组网需求： 要求用户tel net登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。设备清单：MSR系列路由器台1二、组网图：三、配置步骤: 设备和版本：MSR 系列、version 5.20, R1508P02RTA关键配置脚本 #II更改

5、同时配置设备的用户数为5，默认为1，保证最多5个用户进入系统视图con figure-user count 5#II打开Tel net 服务器，缺省关闭，必须打开telnet server en able#II创建本地帐号与密码local-user h3cp assword simple h3cII设置服务类型为tel netservice-t ype tel net/设置用户优先级为3level 3 #/连接到tel net主机客户端in terface Ethernet0/1port lin k-mode routeip address#/ 设置scheme 认证user- in terf

6、ace vty 0 4authe nticati on-m ode scheme#四、配置关键点：1）必须保证Tel netServer En able , Con figure-usercount 也根据需要进行配置;2）实际使用用户名、密码要和local-user 配置保持一致。MSR系列路由器地址池方式做的配置关键字：MSR;地址池一、组网需求：内网用户通过路由器的地址池转换来访问In ternet。设备清单：MSR系列路由器1台，PC 1台二、组网图：三、配置步骤: 适用设备和版本：MSR 系列、Version 5.20, Release 1508P02MSR1 配置#/用户的地址池a

7、ddress-gro up 1#/配置允许进行转换的内网地址段acl number 2000rule 0 p ermit sourcerule 1 deny#in terface GigabitEther net0/0 port lin k-mode route/在出接口上进行转换outbo und 2000 address-gro up 1 ip address#/内网网关in terface GigabitEthernet0/1port lin k-mode routeip address#/配置默认路由ip route-static#四、配置关键点：1 ）地址池要连续;2）在出接口做转换

8、;3 ）默认路由一般要配置。DHCP SERVER功能的配置关键字：MSRQHCP;基础配置一、组网需求：MSR1作为DHCP服务器为网段，该地址池网段分为两个子网网段：，域名为，DNS服务器地址为，NBNS服务器地址为，出口网关的地址为, 域名为，DNS服务器地址为，无NBNS服务器地址，出口网关的地址设备清单：PC两台、MSR系列路由器1台二、组网图：三、配置步骤: 适用设备和版本：MSR 系列、Version 5.20, Release 1508P02MSR1 配置#/配置DHCP父地址池0的共有属性（地址池范围、DNS服务器地址）dhc P server ip-pool 0n etwo

9、rk maskdn s-listdoma in-n ame #/配置DHCP子地址池1的属性（地址池范围、出口网关）dhc P server ip-pool 1n etwork maskgateway-listnbn s-listexpired day 10 hour 12#/配置DHCP子地址池2的属性（地址池范围、出口网关）dhc P server ip-pool 2n etwork maskgateway-listexpired day 5#in terface GigabitEther net0/0port lin k-mode routeip address#in terface G

10、igabitEthernet0/1port lin k-mode routeip address#/禁止服务器地址参与自动分配dhc p server forbidde n-i p#/使能DHCP服务功能dhc p en able#四、配置关键点：1）子地址池1、2的范围要在父地址池0里面。2）要把一些固定的IP地址，如DNS服务器地址、域名服务器地址、 WINS服务DHCP服务功器地址禁止用于自动分配。3）配置好地址池及相关服务器地址后，一定要在系统视图下使能能。MSR系列路由器GRE隧道基础配置关键字：MSR;GRE;隧道一、组网需求：Router A、Router B两台路由器通过公网用

11、 GRE实现私网互通。设备清单：MSR系列路由器2台二、组网图：三、配置步骤:Router A 配置in terface Loop Back1ip address# in terface GigabitEther net0/0 port lin k-mode route ip address#/创建GRE隧道，指定封装后的源地址和目的地址in terface Tunn el0ip addresssource desti nati on#/通过tunnel访问对端私网的路由ip route-static Tunn el0#Router B 配置# interface EthernetO/0por

12、t link-mode route ip address#interface Loop Back1 ip address#/创建GRE隧道，指定封装后的源地址和目的地址interface Tunnel0ip addresssourcedestination#/通过tunnel访问对端私网的路由ip route-static Tunnel0#四、配置关键点：1）两端的隧道地址要处于同一网段;2）不要忘记配置通过tunnel访问对方私网的路由。L2TP穿过NAT接入LNS功能配置关键字：MSR;L2T P;VPN ;NAT;LNS一、组网需求：移动用户通过L2TP客户端软件接入LNS以访问总部内网

13、，但LNS的地址为内网地址，需要通过NAT!服务器后才能接入。设备清单：MSR系列路由器2台PC二、组网图：三、配置步骤:LNS配置sys name H3C/使能L2TP#I2t p en able#doma in h3cip pool 1#local-user uap assword simple ua service-t ype ppp#/创建本地用户采用PPPusera方式l2t p-gro up 1/undo tunnel authe nticati on创建L2TP组allow l2t p virtual-te mp late 0#in terface Ethernet。/。port

14、 lin k-mode routeip address#in terface Virtual-Te mp lateOppp authe nticatio n-m ode pap doma in h3c ppp pap local-user ua p assword simple ua remote address pool 1ip address#/采用PAP的域认证方式in terface Loop BackOip address#ip route-staticNAT配置sys name NAT#acl number 2000 rule 0 p ermit sourcerule 5 deny

15、#配置内网网关in terface GigabitEther netO/0 port lin k-mode route ip address /# in terface GigabitEthernetO/1port lin k-mode route/使用出接口进行NAT转换nat outbou nd 2000/允许外网UDP数据访问nat server p rotocol udp global any in side any ip address#PC的配置如下:在PC上的配置步骤可以分为两步：创建一个新连接和修改连接属性，具体 如下：首先要创建一个新的连接，操作步骤为：网络邻居 - 属性在网

16、络任务栏里选择“创建一个新的连接”单击下一步选择“连接到我的工作场所”，单击下一步选择“虚拟专用网络连接”，单击下一步输入连接名称“ I2tp ”，单击下一步选择“不拨初始连接”，单击下一步选择LNS的服务器地址，单击下一步选择“不使用我的智能卡”，单击下一步单击完成，此时就会出现名为I2tp的连接，如下:单击属性按钮，修改连接属性，要与 LNS端保持一致，如下:在属性栏里选择“安全”，选择“高级”- “设置”，如下：选择“允许这些协议” “不加密的密码(PAP (U) ” ,单击确定。至此，PC机上的配置完成。双击“ l2tp ”连接，输入用户名ua和密码ua， 就可以访问内部网络了。在 P

17、C上pingLNS的loopback地址，如下：C:Docume nts and Setti ngsAdmi nistrator pingPinging with 32 bytes of data:Reply frombytes=32 time=1ms TTL=255Reply frombytes=32 time1ms TTL=255Reply frombytes=32 time1ms TTL=255Reply frombytes=32 time1ms TTL=255Ping statistics forPackets: Sen t = 4, Received = 4, Lost = 0 (0

18、% loss),App roximate round trip times in milli-sec on ds:Minimum = 0ms, Maximum = 1ms, Average = 0ms四、配置关键点:1) L2TP的认证最好采用域方式认证2)PC侧的配置要与LNS上的配置一致3)PC侧的服务器地址要填NAT公网出口地址LNS上对L2TP接入进行Radius认证功能的配置关键字：MSR;L2T P;LNS;Radius;AAA一、组网需求：MSR路由器是LNS服务器，对外提供L2TP接入服务，并对接入用户进行Radius认证设备清单：MSR系列路由器1台，主机2台二、组网图：三、

19、配置步骤:MSI配置#/势能L2TPI2t P en able#/将默认域改为h3cdoma in default en able h3c#II配置Radius 方案h3cradius scheme h3c server-t ype sta ndard/主认证Radius 服务器地址p rimary authe nticatio n/主计费服务器地址p rimary acco unting/认证服务器密码key authe ntication 123456/计费服务器密码key accou nting 123456不带域名认证user- name-format without-doma in/

20、使能计费acco un ti ng-on en able#/配置H3C域doma in h3c/配置认证方案为 h3cauthe nticati on ppp radius-scheme h3c/配置授权方案也是 h3c，必须配置，否则无法认证通过authorizati on ppp radius-scheme h3caccess-limit disablestate active idle-cut disable self-service-url disableII配置地址池ip pool 1#III2t p组 1l2t p-gro up 1/不进行隧道认证undo tunnel authe

21、 nticati on/绑定虚模板0allow l2t p virtual-te mp late 0# /虚模板0in terface Virtual-Te mp Iate0/进行ppp的pap认证，使用默认域（h3c ）认证ppp authe nticati on-m ode pap/指定默认域（h3c ）的地址池1remote address pool 1/虚模板地址ip address#/连接Radius服务器接口in terface GigabitEther net0/0 port lin k-mode route ip address#/连接互联网的接口in terface GigabitEthernet0/1 port lin k-mode routeip address#四、配置关键点：1）在h3c域视图下必须配置 Authorizatio