H3C路由器配置实例Word文档下载推荐.docx
《H3C路由器配置实例Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《H3C路由器配置实例Word文档下载推荐.docx(17页珍藏版)》请在冰点文库上搜索。
一、组网需求:
要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。
二、组网图:
三、配置步骤:
设备和版本:
MSR系列、version5.20,R1508P02
RTA关键配置脚本
#
//创建本地帐号与密码
local-userh3c
passwordsimpleh3c
//设置服务类型为terminal
service-typeterminal?
//设置用户优先级为3
level3
//设置console接口为scheme认证模式
user-interfacecon0
authentication-modescheme
四、配置关键点:
1)在配置完成后,释放当前连接,重新连接设备即可。
telnet用户进行本地认证功能的典型配置
telnet;
要求用户telnet登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。
设备清单:
MSR系列路由器台1
//更改同时配置设备的用户数为5,默认为1,保证最多5个用户进入系统视图
configure-usercount5
//打开Telnet服务器,缺省关闭,必须打开
telnetserverenable
//设置服务类型为telnet
service-typetelnet
//连接到telnet主机客户端
interfaceEthernet0/1
portlink-moderoute
ipaddress192.168.0.1255.255.255.0
//设置scheme认证
user-interfacevty04
1)必须保证TelnetServerEnable,Configure-usercount也根据需要进行配置;
2)实际使用用户名、密码要和local-user配置保持一致。
MSR系列路由器
地址池方式做的配置
关键字:
;
地址池
内网用户通过路由器的地址池转换来访问Internet。
MSR系列路由器1台,PC1台
适用设备和版本:
MSR系列、Version5.20,Release1508P02
MSR1配置
//用户的地址池
address-group1202.100.1.3202.100.1.6
//配置允许进行转换的内网地址段
aclnumber2000
rule0permitsource192.168.0.00.0.0.255
rule1deny
interfaceGigabitEthernet0/0
//在出接口上进行转换
outbound2000address-group1
ipaddress202.100.1.2255.255.255.0
//内网网关
interfaceGigabitEthernet0/1
//配置默认路由
iproute-static0.0.0.00.0.0.0202.100.1.1
1)地址池要连续;
2)在出接口做转换;
3)默认路由一般要配置。
DHCPSERVER功能的配置
DHCP;
基础配置
MSR1作为DHCP服务器为网段10.1.1.0/24中的客户端动态分配IP地址,该地址池网段分为两个子网网段:
10.1.1.0/25和10.1.1.128/25。
路由器的两个以太网接口G0/0和G0/1的地址分别为10.1.1.1/25和10.1.1.129/25。
10.1.1.0/25网段内的地址租用期限为10天12小时,域名为,DNS服务器地址为10.1.1.2,NBNS服务器地址为10.1.1.4,出口网关的地址为10.1.1.1。
10.1.1.128/25网段内的地址租用期限为5天,域名为,DNS服务器地址为10.1.1.2,无NBNS服务器地址,出口网关的地址为10.1.1.129。
PC两台、MSR系列路由器1台
//配置DHCP父地址池0的共有属性(地址池范围、DNS服务器地址)
dhcpserverip-pool0
network10.1.1.0mask255.255.255.0
dns-list10.1.1.2
domain-name
//配置DHCP子地址池1的属性(地址池范围、出口网关)
dhcpserverip-pool1
network10.1.1.0mask255.255.255.128
gateway-list10.1.1.1
nbns-list10.1.1.4
expiredday10hour12
//配置DHCP子地址池2的属性(地址池范围、出口网关)
dhcpserverip-pool2
network10.1.1.128mask255.255.255.128
gateway-list10.1.1.129
expiredday5
ipaddress10.1.1.1255.255.255.128
ipaddress10.1.1.129255.255.255.128
//禁止服务器地址参与自动分配
dhcpserverforbidden-ip10.1.1.210.1.1.4
//使能DHCP服务功能
dhcpenable
1)子地址池1、2的范围要在父地址池0里面。
2)要把一些固定的IP地址,如DNS服务器地址、域名服务器地址、WINS服务器地址禁止用于自动分配。
3)配置好地址池及相关服务器地址后,一定要在系统视图下使能DHCP服务功能。
MSR系列路由器GRE隧道基础配置
GRE;
隧道
RouterA、RouterB两台路由器通过公网用GRE实现私网互通。
MSR系列路由器2台
RouterA配置
interfaceLoopBack1
ipaddress11.1.1.1255.255.255.255
portlink-moderoute
ipaddress10.1.1.1255.255.255.252
//创建GRE隧道,指定封装后的源地址和目的地址
interfaceTunnel0
ipaddress192.168.0.2255.255.255.0
source10.1.1.1
destination10.1.1.2
//通过tunnel访问对端私网的路由
iproute-static12.1.1.0255.255.255.0Tunnel0
RouterB配置
interfaceEthernet0/0
ipaddress10.1.1.2255.255.255.252
ipaddress12.1.1.1255.255.255.255
source10.1.1.2
destination10.1.1.1
iproute-static11.1.1.0255.255.255.0Tunnel0
1)两端的隧道地址要处于同一网段;
2)不要忘记配置通过tunnel访问对方私网的路由。
L2TP穿过NAT接入LNS功能配置
L2TP;
VPN;
NAT;
LNS
移动用户通过L2TP客户端软件接入LNS以访问总部内网,但LNS的地址为内网地址,需要通过NAT服务器后才能接入。
MSR系列路由器2台
PC1台
LNS配置
sysnameH3C
l2tpenable//使能L2TP
domainh3c
ippool111.1.1.211.1.1.5
local-userua//创建本地用户usera
passwordsimpleua
service-typeppp//采用ppp方式
l2tp-group1//创建L2TP组
undotunnelauthentication
allowl2tpvirtual-template0
ipaddress192.168.0.1255.255.255.0
interfaceVirtual-Template0
pppauthentication-modepapdomainh3c//采用PAP的域认证方式
ppppaplocal-useruapasswordsimpleua
remoteaddresspool1
ipaddress11.1.1.1255.255.255.0
interfaceLoopBack0
ipaddress192.168.0.3255.255.255.255
iproute-static0.0.0.00.0.0.0192.168.0.2
NAT配置
sysnameNAT
aclnumber2000
rule0permitsource192.168.0.00.0.0.255
rule5deny
ipaddress192.168.0.2255.255.255.0//配置内网网关
//使用出接口进行NAT转换
natoutbound2000
//允许外网UDP数据访问192.168.0.1
natserverprotocoludpglobal1.1.1.1anyinside192.168.0.1any
ipaddress1.1.1.1255.0.0.0
PC的配置如下:
在PC上的配置步骤可以分为两步:
创建一个新连接和修改连接属性,具体如下:
首先要创建一个新的连接,操作步骤为:
网络邻居->
属性
在网络任务栏里选择“创建一个新的连接”
单击下一步
选择“连接到我的工作场所”,单击下一步
选择“虚拟专用网络连接”,单击下一步
输入连接名称“l2tp”,单击下一步
选择“不拨初始连接”,单击下一步
选择LNS的服务器地址1.1.1.1,单击下一步
选择“不使用我的智能卡”,单击下一步
单击完成,此时就会出现名为l2tp的连接,如下:
单击属性按钮,修改连接属性,要与LNS端保持一致,如下:
在属性栏里选择“安全”,选择“高级”->
“设置”,如下:
选择“允许这些协议”->
“不加密的密码(PAP)(U)”,单击确定。
至此,PC机上的配置完成。
双击“l2tp”连接,输入用户名ua和密码ua,就可以访问内部网络了。
在PC上pingLNS的loopback地址,如下:
C:
\DocumentsandSettings\Administrator>
ping192.168.0.3
Pinging192.168.0.3with32bytesofdata:
Replyfrom192.168.0.3:
bytes=32time=1msTTL=255
bytes=32time<
1msTTL=255
Pingstatisticsfor192.168.0.3:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=0ms,Maximum=1ms,Average=0ms
1)L2TP的认证最好采用域方式认证
2)PC侧的配置要与LNS上的配置一致
3)PC侧的服务器地址要填NAT公网出口地址
LNS上对L2TP接入进行Radius认证功能的配置
LNS;
Radius;
AAA
MSR路由器是LNS服务器,对外提供L2TP接入服务,并对接入用户进行Radius认证
MSR系列路由器1台,主机2台
MSR配置
//势能L2TP
l2tpenable
//将默认域改为h3c
domaindefaultenableh3c
//配置Radius方案h3c
radiusschemeh3c
server-typestandard
//主认证Radius服务器地址
primaryauthentication192.168.0.13
//主计费服务器地址
primaryaccounting192.168.0.13
//认证服务器密码
keyauthentication123456
//计费服务器密码
keyaccounting123456
//不带域名认证
user-name-formatwithout-domain
//使能计费
accounting-onenable
//配置H3C域
//配置认证方案为h3c
authenticationpppradius-schemeh3c
//配置授权方案也是h3c,必须配置,否则无法认证通过
authorizationpppradius-schemeh3c
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
//配置地址池
ippool110.0.0.210.0.0.9
//l2tp组1
l2tp-group1
//不进行隧道认证
//绑定虚模板0
//虚模板0
interfaceVirtual-Template0
//进行ppp的pap认证,使用默认域(h3c)认证
pppauthentication-modepap
//指定默认域(h3c)的地址池1
remoteaddresspool1
//虚模板地址
ipaddress10.0.0.1255.255.255.0
//连接Radius服务器接口
ipaddress192.168.0.22255.255.255.0
//连接互联网的接口
ipaddress221.231.137.5255.255.255.192
1)在h3c域视图下必须配置Authorization授权方案,否则即使Radius认证通过,Radius服务器返回的Accept授权不会被路由器接受,导致认证失败;
2)Radius方案中是否计费、端口、密码设置要视Radius服务器而定;
3)PC部分配置可以参考L2TP部分典型配置。
VLAN(802.1q)功能的典型配置
802.1q;
在局域网中,通过交换机上配置VLAN可以减少主机通信广播域的范围,当VLAN之间有部分主机需要通信,但交换机不支持三层交换时,可以采用一台支持802.1Q的路由器实现VLAN的互通.这需要在以太口上建立子接口,分配IP地址作为该VLAN的网关,同时启动802.1Q。
MSR系列路由器1台
//设置子接口封装类型为vlan10
interfaceEthernet0/0.10
vlan-typedot1qvid10
//设置子接口封装类型为vlan20
interfaceEthernet0/0.20
vlan-typedot1qvid20
ipaddress20.0.0.1255.255.255.0
//设置子接口封装类型为vlan30
interfaceEthernet0/0.30
vlan-typedot1qvid30
ipaddress30.0.0.1255.255.255.0
1)交换机部分配置,可以参考交换机的操作手册;
2)在各个VLAN中的主机必须指定网关,其地址为路由器相应子接口的IP,配置完毕后个VLAN间的主机可以相互ping通;
3)如果想对个VLAN间部分主机访问做控制,可以通过在路由器上做ACL进行访问控制。
Disup