H3C路由器配置实例

通过在外网口配置 nat基本就OK了，以下配置假设 EthernetO/O为局域网接口，EthernetO/1为外网口。1、 配置内网接口(EthernetO/O):[MSR20-20]interfaceEthernetO/O[MSR20-20-EthernetO/O]ipadd192、168、1、1242、使用动态分配地址得方式为局域网中得 PC分配地址[MSR20-20]dhcpserverip-pool1[MSR20-20-dhcp-pool-1]network192、168、1、024[MSR20-20-dhcp-pool-1]dns-list202、96、134、133[MSR20-20-dhcp-pool-1]gateway-list192、168、1、13、 配置nat[MSR20-20]nataddress-group1公网IP公网IP[MSR20-20]aclnumber3000[MSR20-20-acl-adv-3000]rule0permitip4、 配置外网接口(EthernetO/1)[MSR20-20]interfaceEthernetO/1[MSR20-20-Ethernet0/1]ipadd公网IP[MSR20-20-EthernetO/1]natoutbound3000address-group15、 加默缺省路由[MSR20-20]route-stac0、0、0、00、0、0、0外网网关总结：在2020路由器下面，配置外网口，配置内网口，配置acl作nat,一条默认路由指向电信网关、 ok!Console登陆认证功能得配置关键词：MSR;console;一、 组网需求：要求用户从console登录时输入已配置得用户名h3c与对应得口令h3c,用户名与口令正确才能登录成功。二、 组网图：三、配置步骤:设备与版本：MSR系列、version5、20,R1508P02RTA关键配置脚本#//创建本地帐号与密码local-userh3cpasswordsimpleh3c//设置服务类型为terminalservice-typeterminal//设置用户优先级为 3level3#//设置console 接口为scheme认证模式user-interfacecon0authentication-modescheme#四、配置关键点：1）在配置完成后，释放当前连接，重新连接设备即可用户进行本地认证功能得典型配置telnet用户进行本地认证功能得典型配置关键词：MSR;telnet;一、组网需求：要求用户telnet登录时输入已配置得用户名h3c与对应得口令h3c，用户名与口令正确才能登录成功设备清单：MSR系列路由器台1、组网图:三、配置步骤:设备与版本：MSR系列、version5、20,R1508P02

RTA关键配置脚本#//更改同时配置设备得用户数为 5，默认为1，保证最多5个用户进入系统视图configure-usercount5#//打开Telnet 服务器，缺省关闭，必须打开telnetserverenable#//创建本地帐号与密码local-userh3cpasswordsimpleh3c//设置服务类型为telnetservice-typetelnet//设置用户优先级为 3level3#//连接到telnet 主机客户端interfaceEthernetO/1portlink-moderouteipaddress192 、168、0、1255、255、255、0#//设置scheme认证user-interfacevty04authentication-modescheme四、配置关键点：四、配置关键点：1） 必须保证Telnet置；2） 实际使用用户名、ServerEnable，Configure-user count也根据需要进行配密码要与local-user配置保持一致MSR系列路由器地址池方式做得配置关键字：MSR;;地址池一、组网需求：内网用户通过路由器得地址池转换来访问Internet。设备清单：MSR系列路由器1台，PC1台、组网图:三、配置步骤:适用设备与版本：MSR系列、Version5、20,Release1508P02MSR1配置#//用户得地址池address-group1202 、100、1、3202、100、1、6#//配置允许进行转换得内网地址段aclnumber2000rule0permitsource192 、168、0、00、0、0、255rule1deny#interfaceGigabitEthernet0/0portlink-moderoute//在岀接口上进行转换outbound2000address-group1ipaddress202 、100、1、2255、255、255、0#//内网网关interfaceGigabitEthernet0/1portlink-moderouteipaddress192 、168、0、1255、255、255、0#//配置默认路由iproute-static0 、0、0、00、0、0、0202、100、1、1#四、配置关键点：1）地址池要连续；2）在出接口做转换；3）默认路由一般要配置。DHCPSERVER功能得配置关键字：MSRQHCP;基础配置一、组网需求：MSR1作为DHCP服务器为网段10、1、1、0/24中得客户端动态分配IP地址，该地址池网段分为两个子网网段：10、1、1、0/25与10、1、1、128/25。路由器得两个以太网接口G0/0与G0/1得地址分别为10、1、1、1/25与10、1、1、129/25。10、1、1、0/25网段内得地址租用期限为10天12小时，域名为h3c、com，DNS服务器地址为10、1、1、2，NBNS服务器地址为10、1、1、4，出口网关得地址为10、1、1、1。10、1、1、128/25网段内得地址租用期限为5天，域名为h3c、com，DNS服务器地址为10、1、1、2,无NBNS服务器地址，出口网关得地址为10、1、1、129。设备清单：PC两台、MSR系列路由器1台、组网图:三、配置步骤:适用设备与版本：MSR系列、Version5、20,Release1508P02MSR1配置#//配置DHCP父地址池0得共有属性（地址池范围、 DNS服务器地址）dhcpserverip-pool0network10 、1、1、0mask255 、255、255、0dns-list10 、1、1、2domain-nameh3c 、com#//配置DHCP子地址池1得属性（地址池范围、出口网关）dhcpserverip-pool1network10 、1、1、0mask255 、255、255、128gateway-list10 、1、1、1nbns-list10 、1、1、4expiredday10hour12#//配置DHCP子地址池2得属性（地址池范围、出口网关）dhcpserverip-pool2network10 、1、1、128mask255 、255、255、128gateway-list10 、1、1、129expiredday5#interfaceGigabitEthernetO/Oportlink-moderouteipaddress10 、1、1、1255、255、255、128#interfaceGigabitEthernet0/1portlink-moderouteipaddress10 、1、1、129255、255、255、128#//禁止服务器地址参与自动分配dhcpserverforbidden-ip10 、1、1、210、1、1、4#//使能DHCP服务功能dhcpenable#四、配置关键点：1） 子地址池1、2得范围要在父地址池0里面。2） 要把一些固定得IP地址，如DNS服务器地址、域名服务器地址、 WINS服务器地址禁止用于自动分配。3） 配置好地址池及相关服务器地址后，一定要在系统视图下使能 DHCP服务功能。MSR系列路由器GRE隧道基础配置关键字：MSR;GRE;隧道一、组网需求：RouterA、RouterB两台路由器通过公网用GRE实现私网互通。设备清单：MSR系列路由器2台、组网图:

三、配置步骤:RouterA配置interfaceLoopBacklipaddress11#ipaddress11#、1、1、1255、255、255、255interfaceGigabitEthernetO/Oportlink-moderouteinterfaceGigabitEthernetO/Oportlink-moderouteipaddress10#ipaddress10#、1、1、1255、255、255、252//创建//创建GRE隧道,interfaceTunnelO指定封装后得源地址与目得地址ipaddress192source10 、ipaddress192source10 、1、、168、0、2255、255、255、01、1destination10、1、1、2//通过tunnel 访问对端私网得路由iproute-static12#//通过tunnel 访问对端私网得路由iproute-static12#、1、1、0255、255、255、0TunnelORouterB配置interfaceEthernetO/Oportlink-moderouteipaddress10#ipaddress10#、1、1、2255、255、255、252interfaceLoopBack1interfaceLoopBack1ipaddress12、ipaddress12、1、1、1255、255、255、255////创建GRE隧道，指定封装后得源地址与目得地址interfaceTunnelOipaddress192、ipaddress192、168、0、1255、255、255、0source10destination10source10destination10//通过//通过tunnel访冋对端私网得路由iproute-static11#、1、1、0255、255、255、0iproute-static11#四、配置关键点：1） 两端得隧道地址要处于同一网段；2） 不要忘记配置通过tunnel访问对方私网得路由。L2TP穿过NAT接入LNS功能配置关键字：MSR;L2TP;VPN;NAT;LNS一、 组网需求：移动用户通过L2TP客户端软件接入LNS以访问总部内网，但LNS得地址为内网地址，需要通过NAT服务器后才能接入。设备清单：MSR系列路由器2台PC 1 台二、 组网图：三、配置步骤:LNS配置sysnameH3C#//使能//使能L2TP#domainh3c1、1、5创建本地用户usera采用1、1、5创建本地用户usera采用ppp方式创建L2TP组#TOC\o"1-5"\h\zlocal-userua //passwordsimpleuaservice-typeppp II#I2tp-group1 IIundotunnelauthenticationallowl2tpvirtual-template0#interfaceEthernetO/Oportlink-moderouteipaddress192、168ipaddress192、168、0、1255、255、255、0interfaceVirtual-TemplateOpppauthentication-modepapdomainh3c //采用PAP得域认证方式ppppaplocal-useruapasswordsimpleuaremoteaddresspool1ipaddress11 、1、1、1255、255、255、0#interfaceLoopBackOipaddress192 、168、0、3255、255、255、255#iproute-static0 、0、0、00、0、0、0192、168、0、2#NAT配置#sysnameNAT#aclnumber2000rule0permitsource192 、168、0、00、0、0、255rule5deny#interfaceGigabitEthernet0/0portlink-moderouteipaddress192 、168、0、2255、255、255、0//配置内网网关#interfaceGigabitEthernet0/1portlink-moderoute//使用出接口进行NAT转换natoutbound2000//允许外网UDP数据访问192、168、0、1natserverprotocoludpglobal1、1、1、1anyinside192、168、0、1anyipaddress1 、1、1、1255、0、0、0#PC得配置如下：在PC上得配置步骤可以分为两步：创建一个新连接与修改连接属性，具体如下：首先要创建一个新得连接，操作步骤为：网络邻居->属性在网络任务栏里选择“创建一个新得连接”单击下一步选择“连接到我得工作场所”，单击下一步选择“虚拟专用网络连接”，单击下一步输入连接名称“l2tp”，单击下一步选择“不拨初始连接”，单击下一步选择LNS得服务器地址1、1、1、1,单击下一步选择“不使用我得智能卡”，单击下一步单击完成，此时就会出现名为l2tp得连接，如下：单击属性按钮，修改连接属性，要与LNS端保持一致，如下:在属性栏里选择“安全”，选择“高级”>“设置”，如下:、168、0、168、0、3Replyfrom192、168、0、Replyfrom192、168、0、Replyfrom192、168、0、Replyfrom192、168、0、Pingstatisticsfor192、168、0、3:选择“允许这些协议”－>“不加密得密码(PAP)(U)”,单击确定。至此，PC机上得配置完成。双击“I2tp”连接，输入用户名ua与密码ua,就可以访问内部网络了。在PC上pingLNS得loopback地址，如下：C:\DocumentsandSettings\Administrator>ping192Pinging192、168、0、3with32bytesofdata:3:bytes=32time=1msTTL=2553:bytes=32time<1msTTL=2553:bytes=32time<1msTTL=2553:bytes=32time<1msTTL=255Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=0ms,Maximum=1ms,Average=0ms四、配置关键点：L2TP得认证最好采用域方式认证PC侧得配置要与LNS上得配置一致PC侧得服务器地址要填NAT公网出口地址LNS上对L2TP接入进行Radius认证功能得配置关键字：MSR;L2TP;LNS;Radius;AAA一、组网需求：MSR路由器就是LNS服务器，对外提供L2TP接入服务，并对接入用户进行Radius认证设备清单：MSR系列路由器1台，主机2台、组网图：三、配置步骤：MS配置#//势能L2TPI2tpenable#//将默认域改为h3cdomaindefaultenableh3c#//配置Radius方案h3cradiusschemeh3cserver-typestandard//主认证Radius服务器地址primaryauthentication192 、168、0、13//主计费服务器地址primaryaccounting192 、168、0、13//认证服务器密码keyauthentication123456//计费服务器密码keyaccounting123456//不带域名认证user-name-formatwithout-domain//使能计费accounting-onenable#//配置H3C域domainh3c//配置认证方案为h3cauthenticationpppradius-schemeh3c//配置授权方案也就是 h3c，必须配置，否则无法认证通过authorizationpppradius-schemeh3caccess-limitdisablestateactiveidle-cutdisableself-service-urldisable//配置地址池ippool110 、0、0、210、0、0、9#//I2tp组1I2tp-group1//不进行隧道认证undotunnelauthentication//绑定虚模板0allowl2tpvirtual-template0#//虚模板0interfaceVirtual-TemplateO//进行ppp得pap认证，使用默认域（h3c）认证pppauthentication-modepap//指定默认域（h3c）得地址池1remoteaddresspool1//虚模板地址ipaddress10 、0、0、1255、255、255、0#//连接Radius 服务器接口interfaceGigabitEthernet0/0portlink-moderouteipaddress192 、168、0、22255、255、255、0#//连接互联网得接口interfaceGigabitE