葛廷彬的学习博客 记录学习工作中碰到的问题

H3C路由器配置实例

通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。
1、配置内网接口(Ethernet0/0):
[MSR20-20] interface Ethernet0/0
[MSR20-20- Ethernet0/0]ip add 192.168.1.1 24
2、使用动态分配地址的方式为局域网中的PC分配地址
[MSR20-20]dhcp server ip-pool 1
[MSR20-20-dhcp-pool-1]network 192.168.1.0 24
[MSR20-20-dhcp-pool-1]dns-list 202.96.134.133
[MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1
3、配置nat
[MSR20-20]nat address-group 1 公网IP 公网IP

[MSR20-20]acl number 3000

[MSR20-20-acl-adv-3000]rule 0 permit ip
4、配置外网接口(Ethernet0/1)
[MSR20-20] interface Ethernet0/1
[MSR20-20- Ethernet0/1]ip add 公网IP
[MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1

加默缺省路由

[MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关

 

总结:

在2020路由器下面,

配置外网口,

配置内网口,

配置acl 作nat,

一条默认路由指向电信网关. ok!

 


Console登陆认证功能的配置

 

关键词:MSR;console;

 

一、组网需求:

要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。

二、组网图:

 

三、配置步骤:

设备和版本:MSR系列、version 5.20, R1508P02

RTA关键配置脚本

#

//创建本地帐号与密码

local-user h3c

password simple h3c

//设置服务类型为terminal

service-type terminal 

//设置用户优先级为3

level 3

#

//设置console接口为scheme认证模式

user-interface con 0

authentication-mode scheme

#

四、配置关键点:

1) 在配置完成后,释放当前连接,重新连接设备即可。

 

telnet用户进行本地认证功能的典型配置

 

关键词:MSR;telnet;

 

一、组网需求:

要求用户telnet登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。

设备清单:MSR系列路由器台1

二、组网图:

 

三、配置步骤:

设备和版本:MSR系列、version 5.20, R1508P02

RTA关键配置脚本

#

//更改同时配置设备的用户数为5,默认为1,保证最多5个用户进入系统视图

configure-user count 5

#

//打开Telnet服务器,缺省关闭,必须打开

 telnet server enable

#

//创建本地帐号与密码

local-user h3c

password simple h3c

//设置服务类型为telnet

service-type telnet

//设置用户优先级为3

level 3

#

//连接到telnet主机客户端

interface Ethernet0/1

port link-mode route

ip address 192.168.0.1 255.255.255.0

#

//设置scheme认证

user-interface vty 0 4

authentication-mode scheme

#

四、配置关键点:

1) 必须保证Telnet Server Enable,Configure-user count也根据需要进行配置;

2) 实际使用用户名、密码要和local-user配置保持一致。

 

MSR系列路由器

地址池方式做NAT的配置

关键字:MSR;NAT;地址池

一、组网需求:

内网用户通过路由器的NAT地址池转换来访问Internet。

设备清单:MSR系列路由器1台,PC 1 台

二、组网图:

 

三、配置步骤:

适用设备和版本:MSR系列、Version 5.20, Release 1508P02

MSR1 配置

#

//用户NAT的地址池

nat address-group 1 202.100.1.3 202.100.1.6

#

//配置允许进行NAT转换的内网地址段

acl number 2000

rule 0 permit source 192.168.0.0 0.0.0.255

rule 1 deny

#

interface GigabitEthernet0/0

port link-mode route

//在出接口上进行NAT转换

nat outbound 2000 address-group 1

ip address 202.100.1.2 255.255.255.0

#

//内网网关

interface GigabitEthernet0/1

port link-mode route

ip address 192.168.0.1 255.255.255.0

#

//配置默认路由

ip route-static 0.0.0.0 0.0.0.0 202.100.1.1

#

四、配置关键点:

1)地址池要连续;

2)在出接口做NAT转换;

3)默认路由一般要配置。

 

 

DHCP SERVER功能的配置

关键字:MSR;DHCP;基础配置

一、组网需求:

MSR1作为DHCP服务器为网段10.1.1.0/24中的客户端动态分配IP地址,该地址池网段分为两个子网网段:10.1.1.0/25和10.1.1.128/25。路由器的两个以太网接口G0/0和G0/1的地址分别为10.1.1.1/25和10.1.1.129/25。10.1.1.0/25网段内的地址租用期限为10天12小时,域名为h3c.com,DNS服务器地址为10.1.1.2,NBNS服务器地址为10.1.1.4,出口网关的地址为10.1.1.1。10.1.1.128/25网段内的地址租用期限为5天,域名为h3c.com,DNS服务器地址为10.1.1.2,无NBNS服务器地址,出口网关的地址为10.1.1.129。

设备清单:PC两台、MSR系列路由器1台

二、组网图:

 

三、配置步骤:

适用设备和版本:MSR系列、Version 5.20, Release 1508P02

MSR1 配置

#

//配置DHCP父地址池0的共有属性(地址池范围、DNS服务器地址)

dhcp server ip-pool 0

network 10.1.1.0 mask 255.255.255.0

dns-list 10.1.1.2

domain-name h3c.com

#

//配置DHCP子地址池1的属性(地址池范围、出口网关)

dhcp server ip-pool 1

network 10.1.1.0 mask 255.255.255.128

gateway-list 10.1.1.1

nbns-list 10.1.1.4

expired day 10 hour 12

#

//配置DHCP子地址池2的属性(地址池范围、出口网关)

dhcp server ip-pool 2

network 10.1.1.128 mask 255.255.255.128

gateway-list 10.1.1.129

expired day 5

#

interface GigabitEthernet0/0

port link-mode route

ip address 10.1.1.1 255.255.255.128

#

interface GigabitEthernet0/1

port link-mode route

ip address 10.1.1.129 255.255.255.128

#

//禁止服务器地址参与自动分配

dhcp server forbidden-ip 10.1.1.2 10.1.1.4

#

//使能DHCP服务功能

dhcp enable

#

四、配置关键点:

1)子地址池1、2的范围要在父地址池0里面。

2)要把一些固定的IP地址,如DNS服务器地址、域名服务器地址、WINS服务器地址禁止用于自动分配。

3)配置好地址池及相关服务器地址后,一定要在系统视图下使能DHCP服务功能。

MSR系列路由器GRE隧道基础配置

关键字:MSR;GRE;隧道

一、组网需求:

Router A 、Router B两台路由器通过公网用GRE实现私网互通。

设备清单:MSR系列路由器2台

二、组网图:

 

三、配置步骤:

Router A 配置

#

interface LoopBack1

 ip address 11.1.1.1 255.255.255.255

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 10.1.1.1 255.255.255.252

#

//创建GRE隧道,指定封装后的源地址和目的地址

interface Tunnel0

 ip address 192.168.0.2 255.255.255.0

 source 10.1.1.1

 destination 10.1.1.2

#

//通过tunnel访问对端私网的路由

 ip route-static 12.1.1.0 255.255.255.0 Tunnel0

#

Router B 配置

#

interface Ethernet0/0

port link-mode route

ip address 10.1.1.2 255.255.255.252

#

interface LoopBack1

ip address 12.1.1.1 255.255.255.255

#

//创建GRE隧道,指定封装后的源地址和目的地址

interface Tunnel0

ip address 192.168.0.1 255.255.255.0

source 10.1.1.2

destination 10.1.1.1

#

//通过tunnel访问对端私网的路由

ip route-static 11.1.1.0 255.255.255.0 Tunnel0

#

 

四、配置关键点:

1)两端的隧道地址要处于同一网段;

2)不要忘记配置通过tunnel访问对方私网的路由。

L2TP 穿过NAT接入LNS功能配置

关键字:MSR;L2TP;VPN;NAT;LNS

一、组网需求:

移动用户通过L2TP客户端软件接入LNS以访问总部内网,但LNS的地址为内网地址,需要通过NAT服务器后才能接入。

设备清单:MSR系列路由器 2台

          PC             1台

二、组网图:

 

三、配置步骤:

LNS 配置

#

 sysname H3C

#

l2tp enable          //使能L2TP

#

domain h3c

ip pool 1 11.1.1.2 11.1.1.5

#

local-user ua               //创建本地用户usera

 password simple ua

 service-type ppp             //采用ppp方式

#

l2tp-group 1               //创建L2TP组

 undo tunnel authentication

 allow l2tp virtual-template 0

#

interface Ethernet0/0

port link-mode route

 ip address 192.168.0.1 255.255.255.0

#

interface Virtual-Template0

 ppp authentication-mode pap domain h3c//采用PAP的域认证方式

 ppp pap local-user ua password simple ua

remote address pool 1    

 ip address 11.1.1.1 255.255.255.0

#

interface LoopBack0

 ip address 192.168.0.3 255.255.255.255

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.0.2

#

NAT 配置

#

 sysname NAT

#

acl number 2000

 rule 0 permit source 192.168.0.0 0.0.0.255

 rule 5 deny

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 192.168.0.2 255.255.255.0   //配置内网网关

#

interface GigabitEthernet0/1

 port link-mode route

//使用出接口进行NAT转换

 nat outbound 2000     

//允许外网UDP数据访问192.168.0.1

 nat server protocol udp global 1.1.1.1 any inside 192.168.0.1 any

 ip address 1.1.1.1 255.0.0.0

#

PC的配置如下:

在PC上的配置步骤可以分为两步:创建一个新连接和修改连接属性,具体如下:

首先要创建一个新的连接,操作步骤为:网络邻居->属性

 

在网络任务栏里选择“创建一个新的连接”

 

单击下一步

 

选择“连接到我的工作场所”,单击下一步

 

选择“虚拟专用网络连接”,单击下一步

 

输入连接名称“l2tp”,单击下一步

 

选择“不拨初始连接”,单击下一步

 

选择LNS的服务器地址1.1.1.1,单击下一步

 

选择“不使用我的智能卡”,单击下一步

 

单击完成,此时就会出现名为l2tp的连接,如下:

 

单击属性按钮,修改连接属性,要与LNS端保持一致,如下:

 

在属性栏里选择“安全”,选择“高级”->“设置”,如下:

 

选择“允许这些协议”->“不加密的密码(PAP)(U)”,单击确定。

至此,PC机上的配置完成。双击“l2tp”连接,输入用户名ua和密码ua,就可以访问内部网络了。在PC上pingLNS的loopback地址,如下:

C:\Documents and Settings\Administrator>ping 192.168.0.3

Pinging 192.168.0.3 with 32 bytes of data:

Reply from 192.168.0.3: bytes=32 time=1ms TTL=255

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Reply from 192.168.0.3: bytes=32 time<1ms TTL=255

Ping statistics for 192.168.0.3:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 1ms, Average = 0ms

四、配置关键点:

L2TP的认证最好采用域方式认证

PC侧的配置要与LNS上的配置一致

PC侧的服务器地址要填NAT公网出口地址

LNS上对L2TP接入进行Radius认证功能的配置

 

关键字:MSR;L2TP;LNS;Radius;AAA

 

一、组网需求:

MSR路由器是LNS服务器,对外提供L2TP接入服务,并对接入用户进行Radius认证

设备清单:MSR系列路由器1台,主机2台

二、组网图:

 

三、配置步骤:

MSR配置

#

 //势能L2TP

 l2tp enable

#

 //将默认域改为h3c

 domain default enable h3c

#

//配置Radius方案h3c

radius scheme h3c

 server-type standard

 //主认证Radius服务器地址

 primary authentication 192.168.0.13

 //主计费服务器地址

 primary accounting 192.168.0.13

 //认证服务器密码

 key authentication 123456

 //计费服务器密码

 key accounting 123456

 //不带域名认证

 user-name-format without-domain

 //使能计费

 accounting-on enable

#

//配置H3C域

domain h3c

 //配置认证方案为h3c

 authentication ppp radius-scheme h3c

 //配置授权方案也是h3c,必须配置,否则无法认证通过

 authorization ppp radius-scheme h3c

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

 //配置地址池

 ip pool 1 10.0.0.2 10.0.0.9

#

//l2tp组1

l2tp-group 1

 //不进行隧道认证

 undo tunnel authentication

 //绑定虚模板0

 allow l2tp virtual-template 0

#

//虚模板0

interface Virtual-Template0

 //进行ppp的pap认证,使用默认域(h3c)认证

 ppp authentication-mode pap

 //指定默认域(h3c)的地址池1

 remote address pool 1

 //虚模板地址

 ip address 10.0.0.1 255.255.255.0

#

//连接Radius服务器接口

interface GigabitEthernet0/0

 port link-mode route

 ip address 192.168.0.22 255.255.255.0

#

//连接互联网的接口

interface GigabitEthernet0/1

 port link-mode route

 ip address 221.231.137.5 255.255.255.192

#

四、配置关键点:

1) 在h3c域视图下必须配置Authorization授权方案,否则即使Radius认证通过,Radius服务器返回的Accept授权不会被路由器接受,导致认证失败;

2) Radius方案中是否计费、端口、密码设置要视Radius服务器而定;

3) PC部分配置可以参考L2TP部分典型配置。

VLAN(802.1q)功能的典型配置

关键词:MSR;802.1q;

 

一、组网需求:

在局域网中,通过交换机上配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通.这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q。

设备清单:MSR系列路由器1台

二、组网图:

 

三、配置步骤:

RTA关键配置脚本

#

//设置子接口封装类型为vlan10                                                     

interface Ethernet0/0.10

 vlan-type dot1q vid 10

 ip address 10.0.0.1 255.255.255.0

#

//设置子接口封装类型为vlan20                                                   

interface Ethernet0/0.20

 vlan-type dot1q vid 20

 ip address 20.0.0.1 255.255.255.0

#

//设置子接口封装类型为vlan30                                                   

interface Ethernet0/0.30

 vlan-type dot1q vid 30

 ip address 30.0.0.1 255.255.255.0

#

四、配置关键点:

1) 交换机部分配置,可以参考交换机的操作手册;

2) 在各个VLAN中的主机必须指定网关,其地址为路由器相应子接口的IP,配置完毕后个VLAN间的主机可以相互ping通;

3)如果想对个VLAN间部分主机访问做控制,可以通过在路由器上做ACL进行访问控制。

  H3C路由器配置实例.doc

 


作者:大个的虾 分类:Switch 浏览:76 评论:0