- A+
H3CER6300高性能企業級路由網關
產品特點
全千兆接口
ER6300提供2個10/100/1000BASE-T以太網WAN接口,同時提供3個10/100/1000BASE-T以太網LAN接口。
高處理性能
ER6300采用64位雙核網絡處理器,主頻高達500MHz,處理能力相當于1GHz的專業網絡處理器,同時配合DDRII 64M RAM進行高速轉發。
內置高性能防火墻
ER6300路由網關內置高性能防火墻,除了支持普遍的訪問控制和狀態防火墻之外,還提供了豐富的防攻擊和安全日志功能,有效地保證網絡的安全性,解決內網經常受到攻擊的難題。
能提供多種攻擊防范技術,包括針對Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊的防范等等。可以防范大多數網絡上存在的攻擊。
ARP病毒雙重防護
ER6300路由網關通過IP<->MAC地址綁定功能,固定了網關的ARP列表,可以有效防止ARP欺騙引起的內網通訊中斷;此外ER6300路由網關毫秒級的免費ARP的定時發送機制,可以有效地避免局域網PC中毒后引發的ARP攻擊。
網絡流量限速
BT,迅雷等P2P軟件對網絡帶寬的過度占用會影響到網內其他用戶的正常業務,ER6300路由器通過基于IP或基于NAT表項的網絡流量限速機制可以有效地控制單臺PC的上/下行流量和建立的NAT表項的個數,限制了P2P軟件對網絡帶寬的過度占用。
雙WAN口負載均衡
負載均衡可以讓用戶根據線路實際帶寬分配網絡流量,達到充分利用帶寬的目的,滿足了雙線路接入用戶對帶寬的靈活應用需求。智能負載均衡根據用戶實際帶寬比分配實際的網絡流量;手動負載均衡根據導入的路由表進行轉發;支持策略路由表的導入/導出功能,只需導入合適的路由表即可實現“電信走電信,聯通走聯通”的功能。
網絡流量監控
ER6300路由網關提供內網流量的實時監控和排序功能,同時提供多種安全日志,包括內外網攻擊實時日志、地址綁定日志、流量告警日志和會話日志,供網管員實時監控網絡運行狀態和安全狀態。
產品規格
固定端口
2個10/100/1000Base-T WAN端口
3個10/100/1000Base-T LAN端口
1個Console接口
處理器(CPU)
MIPS 64位雙核500MHz 網絡處理器
內存
DDR II 64MB
FLASH
8MB
指示燈
每端口:Link/Act,Speed
每設備: Power,W1/W2
外形尺寸(長×寬×高)
440(W)×230(D)×44(H) mm
標準的19 英寸機架安裝寬度,1U 高
輸入電壓
100~240V AC,50/60Hz
功耗
20W
工作溫度
0℃~40℃
存儲溫度
-10℃~70℃
工作濕度
10%~90%無凝結
存儲濕度
5%~90%無凝結
散熱方式
風扇散熱
軟件特性
工作模式
主備模式
智能負載均衡
手動負載均衡(電信走電信,聯通走聯通)
路由轉發模式
網絡協議
PPPoE
DHCP 客戶端
DHCP服務器
NAPT
NTP
DDNS(www.3322.org)
防火墻
出站通信策略(源接口/IP/MAC/用戶/目的IP/協議/端口/時間段)
入站通信策略(源接口/IP/MAC/用戶/目的IP/協議/端口/時間段)
網絡安全
內網異常流量防護
報文源認證(偽裝報文直接丟棄不處理)
ARP防攻擊/免費ARP
狀態數據包檢查
防止WAN口的Ping
防止TCP syn掃描
防止Stealth FIN掃描
防止TCP Xmas Tree掃描
防止TCP Null掃描
防止UDP掃描功能
防止Land 攻擊功能
防止Smurf攻擊功能
防止WinNuke攻擊功能
防止Ping of Death攻擊
防止SYN Flood攻擊功能
防止UDP Flood攻擊功能
防止ICMP Flood攻擊功能
防止IP Spoofing功能
防止碎片包攻擊
防止TearDrop攻擊
防止Fraggle攻擊功能
訪問控制
IP<->MAC地址綁定(靜態ARP)
URL過濾(黑白名單)
QoS
歷史流量統計
流量統計(基于IP/端口的流量統計)
網絡流量限速(基于IP,上下行流量分別限速)
NAT表項限制
應用通道限制(綠色通道/限制通道)
流量監控
基于物理端口的流量統計
基于IP的流量統計,支持自動排序功能
基于IP的NAT鏈接數統計
路由
靜態路由
策略路由(基于源IP/目的IP/協議/端口/出接口/時間段)
系統服務
ALG
端口觸發
UPnP
虛擬服務器
靜態NAT(一對一NAT)
DMZ 主機
VPN透傳(PPTP、L2TP、IPSec)
配置管理
基于Web的用戶管理接口(遠程管理/本地管理)
HTTPS遠程管理
命令行CLI
通過HTTP 升級系統軟件
故障診斷
Ping / Tracert
設備自檢
故障信息一鍵導出
認證
CE ClassA
CCC
H3C ER6300在中型網吧+策略路由的典型應用
H3C ER6300網吧專用路由器在作為出口路由進行NAT轉發的同時還支持策略路由功能,可以支持雙線接入,同時根據內置的負載均衡表可以解決根據目的IP地址指定ISP,實現“電信走電信,聯通走聯通”的功能,最大限度的利用已有帶寬。
H3C ER6300在企事業單位的典型應用
某單位上網的PC數量在200臺左右,并且內網經常受到病毒攻擊的困擾。采用ER6300作為出口路由器,采用雙鏈路上行實現鏈路備份(主鏈路故障時能切換到備份鏈路),保證業務不中斷;內置高性能防火墻以及ARP病毒防護功能可以有效的保護內網安全性,防止黑客或病毒的入侵;通過網絡流量限速功能可以有效地限制員工使用BT、迅雷等P2P軟件造成公司網絡資源被占用,提升工作效率。
好書推借——009《H3C路由器配置與管理完全手冊(第二版)》
史上最大型的H3C路由器配置與管理手冊
史上最系統的H3C路由器配置與管理手冊
深入淺出的技術原理剖析與分層次配置示例的完美結合
綜合的配置思路分析和詳盡的配置步驟介紹的完美結合
內容推薦
本書是目前國內圖書市場中第一本,也是國內最全面、最系統的純H3C路由器大型配置與管理手冊。
全書近900頁,共15章。從最基礎的H3C路由器設備選型,Comware5.2系統的使用與管理,以及各種H3C路由器接口、各種WAN接入、DHCP/DNS、ARP、NAT、靜態路由、RIP路由等配置與管理,到高級的OSPF路由、IS-IS路由、BGP路由、路由策略和策略路由、L2TPVPN、IPSecVPN、DVPN等配置與管理。書中提供了全面、翔實的各功能工作原理、功能配置思路分析,詳盡的功能配置步驟和上千個各層次配置示例。
本書既是讀者進行全面、系統、深入學習H3C路由器配置與管理的首選工具圖書,又是目前各大高校和H3C培訓機構的最佳H3C路由器教材。目錄
第1章 H3C主要系列路由器安裝、選型和應用
1.1 H3C路由器產品系列綜述
1.1.1 H3C路由器系列分類
1.1.2 H3C ER系列路由器
1.1.3 H3C MSR系列路由器
1.1.4 H3C MSR系列路由器的接口卡和接口模塊
1.1.5 H3C SR系列路由器
1.2 MSR 900系列
1.2.1 MSR900系列路由器基本配置和主要功能特性
1.2.2 MSR900系列路由器的主要應用
1.3 H3C MSR 20系列路由器
1.3.1 H3C MSR 20系列路由器基本配置和主要功能特性
1.3.2 H3C MS20系列路由器的主要應用
1.4 H3C MSR 30系列路由器
1.4.1 H3C MSR 30系列路由器簡介
1.4.2 H3C MSR 30系列路由器基本配置和主要特性比較
1.5 H3C MSR 50系列路由器
1.5.1 H3C MSR 50系列路由器基本配置和主要特性
1.5.2 H3C MSR 50系列路由器的主要應用
1.6 H3C MSR系列路由器接口及指示燈
1.6.1 MSR 20系列路由器接口及指示燈說明
1.6.2 MSR 30系列路由器接口及指示燈說明
1.6.3 MSR 50系列路由器接口及指示燈說明
第2章 Comware 5基本使用與管理
2.1 Comware 5基礎
2.1.1 Comware 5體系架構及主要優勢
2.1.2 Comware CLI視圖
2.2 Comware 5下載、安裝和備份
2.2.1 MSR Comware版本
2.2.2 通過FTP方式進行Comware軟件的下載與升級安裝
2.2.3 通過FTP方式進行Comware軟件的備份
2.2.4 通過BOOTROM設置啟動文件
2.3 Comware 5命令行接口
2.3.1 Comware 5命令行接口簡介
2.3.2 命令行在線幫助的使用方法
2.3.3 命令行同步信息輸出功能的啟用
2.3.4 命令行的undo格式
2.3.5 命令行的編輯功能
2.3.6 命令行的顯示控制
2.3.7 命令行的歷史命令記錄
2.3.8 命令行常見錯誤信息
2.4 Comware 5的基本使用與配置
2.4.1 Comware 5的基本使用方法
2.4.2 系統時間的配置步驟及示例
2.4.3用戶級別和命令級別的配置步驟及示例
2.4.4 用戶級別切換的配置步驟及示例
2.4.5 命令級別的修改方法
2.5 Comware 5文件系統管理
2.5.1 存儲設備的命名
2.5.2 文件名參數輸入規則
2.5.3 文件操作
2.5.4 目錄操作
2.5.6 Comware5存儲設備操作
2.6 Comware 5配置文件管理
2.6.1 Comware5配置文件簡介
2.6.2 多配置文件
2.6.3 保存當前配置的方法
2.6.4 配置回滾的方法
2.6.5 設置下次啟動配置文件
2.6.6 備份下次啟動配置文件
2.6.7 刪除設備中的下次啟動配置文件
2.6.8 恢復下次啟動配置文件
2.6.9 設備配置文件的查看方法
2.7 MSR系列路由器的Web配置方法
2.7.1 登錄Web方法
2.7.2 Web網管頁面布局介紹
2.7.3 Web網管用戶級別
2.7.4 通過命令行管理Web網管
第3章 接口配置與管理
3.1 以太網接口/子接口基本配置
3.1.1 以太網接口類型
3.1.3 以太網接口的基本配置
3.1.4 以太網子接口的基本配置
3.1.5 配置以太網接口的流量控制功能
3.1.6配置以太網接口物理連接狀態抑制功能
3.1.7 啟用以太網接口環回測試功能
3.1.8 配置以太網接口工作模式
3.1.9 配置Combo接口
3.2 二層以太網接口/子接口的高級配置
3.2.1 配置以太網端口組
3.2.2 配置以太網接口自協商速率
3.2.3 配置以太網接口/子接口風暴抑制比
3.2.4 配置以太網接口環回監測功能
3.2.5 配置以太網接口的MDI模式
3.2.6 配置檢測以太網接口的連接電纜
3.2.7配置以太網接口流量閾值控制功能
3.3 三層以太網接口/子接口配置
3.3.1 配置以太網接口/子接口的MTU
3.3.2 配置以太網接口/子接口的MAC地址
3.3.3 配置以太網接口為混雜模式
3.4 以太網接口管理
3.5 異步串口和AUX接口配置
3.5.1 配置異步串口
3.5.2 配置AUX接口
3.6 Loopback/NULL接口配置
3.6.1 配置Loopback接口
3.6.2 配置Null接口
3.7 CE1/PRI接口配置與管理
3.7.1 CE1/PRI接口簡介
3.7.2 配置CE1/PRI接口工作在E1方式
3.7.3 配置CE1/PRI接口工作在CE1方式
3.7.4配置CE1/PRI接口工作在PRI方式
3.7.5 配置CE1/PRI接口其他參數
3.7.6 CE1/PRI接口管理
3.8 CT1/PRI接口配置與管理
3.8.1 配置CT1/PRI接口作為CT1接口
3.8.2 配置CT1/PRI接口作為PRI接口
3.8.3 配置CT1/PRI接口其他參數
3.8.4 CT1/PRI接口管理
3.9 E1-F/T1-F接口配置
3.9.1 配置E1-F接口工作在成幀方式
3.9.2 配置E1-F接口工作在非成幀方式
3.9.3 配置E1-F接口的其他參數
3.9.4 配置T1-F接口參數
3.10 路由器接口IP地址配置
3.10.1 配置接口IP地址
3.10.2 接口IP地址的配置示例
3.10.3 配置接口借用IP地址
3.10.4接口借用IP地址的配置示例
3.10.5 以太網子接口配置示例
第4章 WAN接入配置與管理
4.1 PPP協議基礎
4.1.1 PPP協議體系結構
4.1.2 PPP會話身份認證原理
4.2 PPP協議配置
4.2.1 PPP協議配置基本思路
4.2.2 配置PAP認證
4.2.3 認證方配置了用戶名情形下的CHAP認證配置
4.2.4認證方沒有配置用戶名情形下的CHAP認證配置
4.2.5 PPP PAP單向認證配置示例
4.2.6 PPP PAP雙向認證配置示例
4.2.7 PPP CHAP認證配置示例
4.3 PPP協商參數配置
4.3.1 配置協商超時時間間隔
4.3.2 配置協商IP地址
4.3.3 配置協商DNS服務器地址
4.3.4 PPP協商IP地址配置示例
4.4 MP配置
4.4.1 MP的實現方式和協商過程
4.4.2 通過虛擬模板接口配置MP
4.4.3 通過MP-group方式配置MP
4.4.4 MP配置示例
4.5 Modem撥號配置
4.6 PPPoE ADSL配置
4.6.1 配置PPPoE服務器
4.6.2 配置PPPoE客戶端的撥號接口
4.6.3 配置PPPoE會話
4.6.4 PPPoE服務器配置示例
4.6.5 PPPoE服務器和客戶端配置示例
4.6.6 利用ADSLModem將局域網接入Internet的配置示例
第5章 DHCP/DNS服務配置與管理
5.1 DHCP服務器地址池配置與管理
5.1.1 H3C設備上DHCP服務器地址池基礎
5.1.2 創建DHCP服務器地址池
5.1.3 配置普通模式地址池的靜態綁定地址分配方式
5.1.4 配置普通模式地址池的動態分配地址方式
5.1.5 配置擴展模式地址池的動態地址分配方式
5.1.6 配置DHCP客戶端域名后綴
5.1.7 配置DHCP客戶端DNS服務器地址
5.1.8配置DHCP客戶端WINS服務器和NetBIOS節點類型
5.1.9 配置DHCP客戶端網關地址
5.1.10 配置DHCP服務器自動配置
5.1.11 配置DHCP服務器Option82處理方式
5.1.12 DHCP服務器管理
5.2 啟動DHCP服務
5.3 在H3C設備接口上應用DHCP服務器配置
5.3.1配置接口工作在DHCP服務器模式
5.3.2引用擴展模式DHCP服務器地址池
5.4 H3C設備基本DHCP服務器配置示例
5.4.1靜態綁定普通模式DHCP服務器地址池配置示例
5.4.2動態分配方式普通模式DHCP服務器地址池配置示例
5.4.3擴展模式DHCP服務器池配置示例
5.5 DHCP服務器的安全功能配置
5.5.1配置偽DHCP服務器檢測功能
5.5.2 配置IP地址重復分配檢測功能
5.5.3 配置授權ARP功能
5.6 DHCP中繼配置與管理
5.6.1 DHCP中繼簡介及配置任務
5.6.2 配置接口的DHCP中繼工作模式
5.6.3 配置DHCP服務器組
5.6.4 配置DHCP中繼的地址匹配檢查
5.6.5配置DHCP中繼動態用戶地址表項定時刷新
5.6.6 配置DHCP中繼支持授權ARP
5.6.7 配置DHCP中繼的偽DHCP服務器檢測
5.6.8 通過DHCP中繼釋放客戶端IP地址
5.6.9 配置DHCP中繼支持Option 82功能
5.6.10 DHCP中繼管理
5.6.11 偽DHCP服務器檢測示例
5.6.12 DHCP中繼配置示例
5.7 DHCP Snooping配置與管理
5.7.1 DHCP Snooping的兩個主要功能
5.7.2 配置DHCP Snooping基本功能
5.7.3 配置DHCP Snooping支持Option82功能
5.7.4 配置DHCPSnooping表項備份功能
5.7.5 配置防止DHCP餓死攻擊
5.7.6配置防止偽造DHCP續約報文攻擊
5.7.7 DHCPSnooping管理
5.7.8 DHCPSnooping配置示例
5.7.9 DHCP Snooping支持Option82配置示例
5.8 DHCP客戶端配置與管理
5.8.1 配置作為DHCP客戶端
5.8.2 DHCP客戶端管理
5.9 DNS服務配置與管理
5.9.1 DNS域名解析功能的配置步驟及示例
5.9.2 配置DNS代理
5.9.3 配置DNS spoofing
5.9.4 靜態域名解析配置示例
5.9.5 DNS代理配置示例
第6章 ARP配置與管理
6.1 ARP協議基礎
6.1.1 ARP緩存表項
6.1.2 ARP協議報文格式
6.1.3 ARP地址解析原理
6.2 ARP配置與管理
6.2.1 添加靜態ARP表項
6.2.2 配置支持的ARP表項最大數目
6.2.3 配置接口動態學習ARP表項的最大數目
6.2.4 配置動態ARP表項的老化時間
6.2.5 啟用動態ARP表項檢查功能
6.2.6 配置授權ARP
6.2.7 ARP管理
6.2.8 ARP配置示例
6.2.9 DHCP中繼上的授權ARP功能配置示例
6.3 免費ARP配置與管理
6.3.1 免費ARP報文的主要功能
6.3.2 免費ARP的主要應用
6.3.3 配置免費ARP
6.4 代理ARP配置與管理
6.4.1 兩種代理ARP應用
6.4.2 配置代理ARP功能
6.4.3 代理ARP管理
6.4.4 普通代理ARP配置示例
6.4.5 本地代理ARP配置示例
6.5 ARP Snooping配置與管理
6.6 ARP攻擊防御配置與管理
6.6.1 ARP攻擊類型和原理
6.6.2 接入設備ARP攻擊解決方案
6.6.3網關設備攻擊解決方案及配置任務
6.6.4 ARP防止IP報文攻擊功能的配置與管理
6.6.5 源MAC地址固定的ARP攻擊檢測功能配置與管理
6.6.6 ARP報文源MAC地址一致性檢查功能的配置與管理
6.6.7 ARP主動確認功能的配置與管理
6.6.8 配置ARP自動掃描、固化功能
第7章 NAT配置與管理
7.1 H3C路由器主要NAT類型
7.1.1 靜態NAT地址轉換
7.1.2 動態NAT地址轉換
7.2 配置靜態NAT地址轉換
7.2.1 配置一對一靜態NAT地址轉換
7.2.2 配置網段對網段靜態NAT地址轉換
7.2.3 一對一靜態地址轉換配置示例
7.3 配置動態NAT地址轉換
56、H3CER5200G2路由器連接網絡的設置方法
把路由器的LAN口與電腦連接,并把電腦的網絡設置為自動獲取。等到連接之后,打開瀏覽器,輸入:http://192.168.1.1,回車,如下圖:
路由器的登錄界面打開了,用戶名和密碼相同,都是admin
先設置LAN口,默認是: 192.168.1.1
LAN口可以根據需要設置,我設置為: 192.168.3.254
設置好LAN口之后,路由器會自動重啟,在瀏覽器地址欄輸入http://192.168.3.254, 再次進入路由設置WAN口,
因為這個路由器是放在防火墻下面的,由防火墻(帶路由功能)給它分配地址,所以我選擇的是“靜態地壇”,圖中的IP地址:192.168.1.19和缺省網關:192.168.1.254都是上一級防火墻(帶路由功能)給它分配的。
開啟路由的DHCP功能,雙擊圖中的位置進行設置。
在彈出的窗口中進行設置,設置完成之后,連接在它下在的電腦就可以上網了。
“一對一NAT”的作用:如果局域網中有一些電腦需要在外網訪問,你可以把這個路由連接到最前端(做為整個網絡的網關使用),并在這里做設置就可以了。
為了防止有人擅自進入路由器修改設置,最好設置一個密碼:
H3C以太網交換機典型配置指導(H3C網絡學院參考書系列)
圖書簡介:
本書從簡到難,通過貼近實際應用的場景,給出大量的交換機配置實例,包括交換機基本配置、以太網接口配置、以太網交換配置、生成樹協議配置、堆疊技術配置、IP業務配置、IP路由配置、IPv6配置、IP組播配置、ACL與QoS配置、安全特性配置、可靠性配置、網絡管理與監控配置、MPLS與MCE配置、EPONOLT配置等。
本書的最大特點是將配置實例與實際應用場景緊密結合,通過給定場景與相應的配置實例,能夠使讀者更快、更直觀地掌握交換機特性的應用和配置,增強讀者的動手技能。
本書是為具備一定IP網絡基礎知識的人員編寫的,尤其適合于學習了H3C網絡學院系列教程的讀者。對于網絡工程技術人員,本書是簡單易用的H3C交換機配置工具書。另外,本書還可以作為H3C網絡學院系列教程的補充教材。
教師用戶如需教材,請回復“聯系方式”,與當地院系代表聯系。
H3C通過TELNET登錄路由器的配置
H3C通過TELNET登錄路由器的配置
第一步:配置至少一個IP地址,以便提供IP連通性 路由的端口配置一個ip地址
system-view 進入系統視圖模式
interface Ethernet 0/0 進入以太網端口視圖
[H3C-ethernet0/0]ip address ip-address{ mask | mask-length}
undo shutdown 打開以太網端口
第二步:啟動Telnet服務器
[H3C]telnet server enable
第三步進入VTY 用戶界面視圖
[H3C]user-interface vty first-num2[last-num2] (vty標號為0~4) 第四步;為VTY用戶界面視圖配置驗證方式. [H3C-ui-vty0]authentication-mode{none|password|scheme} l
none:不驗證 l
password:使用單純的密碼驗證 l
scheme:使用用戶名/密碼驗證
第五步;為Telnet 用戶配置驗證信息
如果選擇了password 驗證方法,則須配置一個驗證密碼:
[H3C-ui-vty0]set authentication password {cipher | simple} password 并可以在用戶界面視圖下配置通過本用戶界面登陸后的用戶級別: [H3C-ui-vty0]user privilege level level
如果選擇了scheme驗證方法,則系統默認采用本地用戶數據庫中的用戶信息進行驗證,因此須配置本地用戶名、密碼、用戶級別等信息,用戶服務類型原則為telent,供遠程登錄驗證使用: [H3C]local-user username
[H3C-luser-xxx] password {cipher | simple } password [H3C-luser-xxx]service-type telnet [H3C-luser-xxx]level level
H3CER8300高性能企業級路由網關
產品特點:
全千兆接口
ER8300提供2個10/100/1000BASE-T以太網WAN接口,同時提供8個10/100/1000BASE-T以太網LAN接口,足以滿足多數常見中小型局域網組網需求。
高處理性能
ER8300采用64位雙核網絡處理器,主頻高達700MHz,處理能力相當于1.4GHz的專業網絡處理器,同時配合DDRII 128M RAM進行高速轉發。
內置高性能防火墻
ER8300路由網關內置高性能防火墻,除了支持普遍的訪問控制和狀態防火墻之外,還提供了豐富的防攻擊和安全日志功能,有效地保證網絡的安全性,解決內網經常受到攻擊的難題。
能提供多種攻擊防范技術,包括針對Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊的防范等等。可以防范大多數網絡上存在的攻擊。
ARP病毒雙重防護
ER8300路由網關通過IP<->MAC地址綁定功能,固定了網關的ARP列表,可以有效防止ARP欺騙引起的內網通訊中斷;此外ER8300路由網關毫秒級的免費ARP的定時發送機制,可以有效地避免局域網PC中毒后引發的ARP攻擊。
網絡流量限速
BT,迅雷等P2P軟件對網絡帶寬的過度占用會影響到網內其他用戶的正常業務,ER8300路由器通過基于IP或基于NAT表項的網絡流量限速機制可以有效地控制單臺PC的上/下行流量和建立的NAT表項的個數,限制了P2P軟件對網絡帶寬的過度占用。
雙WAN口負載均衡
負載均衡可以讓用戶根據線路實際帶寬分配網絡流量,達到充分利用帶寬的目的,滿足了雙線路接入用戶對帶寬的靈活應用需求。智能負載均衡根據用戶實際帶寬比分配實際的網絡流量;手動負載均衡根據導入的路由表進行轉發;支持策略路由表的導入/導出功能,只需導入合適的路由表即可實現“電信走電信,聯通走聯通”的功能。
網絡流量監控
ER8300路由網關提供內網流量的實時監控和排序功能,同時提供多種安全日志,包括內外網攻擊實時日志、地址綁定日志、流量告警日志和會話日志,供網管員實時監控網絡運行狀態和安全狀態。
產品規格:
概述
固定端口
2個10/100/1000Base-T WAN端口
8個10/100/1000Base-T LAN端口
1個Console接口
處理器(CPU)
MIPS 64位雙核700MHz 網絡處理器
內存
DDR II 128MB
FLASH
8MB
指示燈
每端口:Link/Act,Speed
每設備: Power、Diag
外形尺寸(長×寬×高)
440(W)×230(D)×44(H) mm
標準的19 英寸機架安裝寬度,1U 高
輸入電壓
100~240V AC,50/60Hz
功耗
20W
工作溫度
0℃~40℃
存儲溫度
-10℃~70℃
工作濕度
10%~90%無凝結
存儲濕度
5%~90%無凝結
散熱方式
風扇散熱
軟件特性
工作模式
主備模式
智能負載均衡
手動負載均衡(電信走電信,聯通走聯通)
路由轉發模式
網絡協議
PPPoE
DHCP 客戶端
DHCP服務器
NAPT
NTP
DDNS(www.3322.org)
防火墻
出站通信策略(源接口/IP/MAC/用戶/目的IP/協議/端口/時間段)
入站通信策略(源接口/IP/MAC/用戶/目的IP/協議/端口/時間段)
網絡安全
內網異常流量防護
報文源認證(偽裝報文直接丟棄不處理)
ARP防攻擊/免費ARP
狀態數據包檢查
防止WAN口的Ping
防止TCP syn掃描
防止Stealth FIN掃描
防止TCP Xmas Tree掃描
防止TCP Null掃描
防止UDP掃描功能
防止Land 攻擊功能
防止Smurf攻擊功能
防止WinNuke攻擊功能
防止Ping of Death攻擊
防止SYN Flood攻擊功能
防止UDP Flood攻擊功能
防止ICMP Flood攻擊功能
防止IP Spoofing功能
防止碎片包攻擊
防止TearDrop攻擊
防止Fraggle攻擊功能
訪問控制
IP<->MAC地址綁定(靜態ARP)
URL過濾(黑白名單)
QoS
歷史流量統計
流量統計(基于IP/端口的流量統計)
網絡流量限速(基于IP,上下行流量分別限速)
NAT表項限制
應用通道限制(綠色通道/限制通道)
流量監控
基于物理端口的流量統計
基于IP的流量統計,支持自動排序功能
基于IP的NAT鏈接數統計
路由
靜態路由
策略路由(基于源IP/目的IP/協議/端口/出接口/時間段)
系統服務
ALG
端口觸發
UPnP
虛擬服務器
靜態NAT(一對一NAT)
DMZ 主機
VPN透傳(PPTP、L2TP、IPSec)
配置管理
基于Web的用戶管理接口(遠程管理/本地管理)
HTTPS遠程管理
命令行CLI
通過HTTP 升級系統軟件
故障診斷
Ping / Tracert
設備自檢
故障信息一鍵導出
認證
CE ClassA
CCC
H3C ER8300在大型無盤網吧+策略路由的典型應用
H3C ER8300網吧專用路由器在作為出口路由進行NAT轉發的同時還支持策略路由功能,可以支持雙線接入,同時根據內置的負載均衡表可以解決根據目的IP地址指定ISP,實現“電信走電信,聯通走聯通”的功能,最大限度的利用已有帶寬。
大型無盤網吧采用三層組網結構,無盤服務器的直接連接匯聚交換機,交換流量下移,降低核心交換機的負載,核心交換機上劃分三層VLAN,避免不同匯聚交換機下PC注冊到相鄰的無盤服務器上。
H3C ER8300在校園的典型應用
某職業技術學院采用了ER8300路由器作為出口網關,通過雙WAN口實現Internet互聯網與教育城域網雙網接入,方便快速地訪問各類資源;高性能防火墻以及ARP病毒防護功能能有效的保護校園網內網安全性。
H3C路由器典型配置指導(H3C網絡學院參考書系列)
圖書簡介:
書從簡到難,通過貼近實際應用的場景,給出大量的H3C路由器配置實例,包括基本配置、接口配置、廣域網接入配置、IP業務配置、IP路由配置、IP組播配置、IPv6配置、MPLS配置、ACL與QoS配置、安全特性配置、語音配置、可靠性配置、網絡管理與監控配置、ACFP典型配置等。
本書的最大特點是將配置實例與實際應用場景緊密結合,通過給定場景與相應的配置實例,能夠使讀者更快、更直觀地掌握路由器特性的應用和配置,增強讀者的動手技能。
本書是為具備一定IP網絡基礎知識的人員編寫的,尤其適合于學習了H3C網絡學院系列教程的讀者。對于網絡工程技術人員,本書是簡單易用的H3C路由器配置工具書。另外,本書還可以作為H3C網絡學院系列教程的補充教材。本書封面貼有清華大學出版社防偽標簽,無標簽者不得銷售。
前言:
出版說明
伴隨著互聯網上各項業務的快速發展,作為信息化技術一個分支的網絡技術已經與人們的日常生活日益密不可分,在越來越多的人們依托網絡進行溝通的同時,網絡本身也演變成了服務、需求的創造和消費平臺,這種新的平臺逐漸創造了一種新的生產力,一股新的力量。
如同人類民族之間語言的多樣性一樣,最初的計算機網絡通信技術也呈現多樣化發展。不過伴隨著互聯網應用的成功,IP作為新的力量逐漸消除了這種多樣性趨勢。在大量開放式、自由的創新和討論中,基于IP的網絡通信技術被積累完善起來;在業務易于實現、易于擴展、靈活方便的選擇中,IP標準逐漸成為唯一的選擇。
杭州華三通信技術有限公司(H3C)作為國際領先的IP網絡技術解決方案提供商,一直專注于IP網絡通信設備的研發和制造。H3C的研發投入從成立伊始,一直高達公司營業收入的15%以上,而這些研發投入又都集中在一個領域,就是IP網絡技術,包括軟件、硬件和測試。2010年授權專利數量,僅僅擁有4800名員工的H3C位列第六,平均每個研發人員擁有1.2個專利。
另外,為了使廣大網絡產品使用者和網絡技術愛好者能夠更好地掌握H3C產品使用方法和IP網絡技術,H3C相關部門人員開發了大量的技術資料,詳細而簡明地介紹了相關知識。這些技術資料大部分是公開的,在H3C的官方網站(www.h3c.com.cn)上都能看到并可以下載。
但是,在傳統的紙質媒介仍占重要地位的今天,許多合作伙伴和學校、機構、網絡技術愛好者多次表達希望H3C能夠正式出版其技術資料,包括網絡學院教材、產品配置手冊、典型配置案例、行業解決方案等。作為國內IP領域技術和通信設備制造的領導者,華三公司深感自身責任重大,責無旁貸。
2004年10月,華三公司的前身——華為3Com公司出版了自己的第一本網絡學院教材,開創了華三公司網絡學院教材正式出版的先河,極大地推動了IP技術在網絡技術業界的普及;在后續的幾年間,華三公司陸續出版了《IPv6技術》(第2版)、《路由交換技術第1卷》、《路由交換技術第2卷》、《路由交換技術第3卷》、《路由交換技術第4卷》等網絡學院教材系列書籍,極大地推動了IP技術在網絡學院和業界的普及。
華三公司希望通過這種形式,探索出一條理論和實踐相結合的教育方法,順應國家提倡的“學以致用、工學結合”教育方向,培養更多實用型的網絡工程技術人員。
目前,華三公司正在計劃推出“H3C網絡學院參考書系列”教輔教材,主要是作為網絡學院教材系列的有益補充,在提升學員動手能力、拓展學員的技術深度方面做一些有益的嘗試。《H3C路由器典型配置指導》正是“H3C網絡學院參考書系列”中的一本。后續,華三公司還將規劃、組織產品技術開發專家陸續推出有關行業解決方案、產品配置手冊等相關書籍。
希望在IP技術領域,這一系列教材能成為一股新的力量,回饋廣大網絡技術愛好者,為推進中國IP技術發展盡綿薄之力,同時也希望讀者對我們提出寶貴的意見。
H3C客戶服務熱線4008100504
H3C客戶服務郵箱service@h3c.com
杭州華三通信技術有限公司全球技術服務部
認證培訓開發委員會路由交換編委會
2013年3月
H3C認證簡介
H3C認證培訓是國內最早建立的完善的網絡產品技術認證,也是中國第一個走向國際市場的IT廠商認證,已成為當前權威的IT認證品牌之一,通過專業考試機構向全球提供認證考試,確保公平、公正、權威、規范。截至2012年年底,已有40多個國家和地區的18萬余人次接受過培訓,逾10萬人次獲得認證證書。H3C認證將秉承“專業務實,學以致用”的理念,快速響應客戶需求的變化,提供豐富的標準化培訓認證方案及定制化培訓解決方案,幫助學員實現夢想、制勝未來。
按照技術應用場合的不同,同時充分考慮客戶不同層次的需求,H3C公司為客戶提供了從網絡工程師到網絡專家的三級技術認證體系、突出專業技術特色的專題認證體系和管理認證體系,構成了全方位的網絡技術認證體系。
要全面了解H3C認證培訓相關信息,請訪問H3C網站培訓認證欄目(http://www.h3c.com.cn/Training/ )。要了解H3C認證培訓最新動態,請關注H3C培訓認證官方微博(http://weibo.com/pxrzh3c)。
H3C認證將秉承“專業務實,學以致用”的理念,與各行各業建立更緊密的合作關系,認真研究各類客戶不同層次的需求,不斷完善認證體系,提升認證的含金量,使H3C認證能有效證明學員所具備的網絡技術知識和實踐技能,幫助學員在競爭激烈的職業生涯中保持強有力的競爭實力。
前言
隨著互聯網技術的廣泛普及和應用,通信及電子信息產業在全球迅猛發展起來,從而也帶來了網絡技術人才需求量的不斷增加,網絡技術教育和人才培養成為高等院校一項重要的戰略任務。
H3C網絡學院(HNC)主要面向高校在校學生開展網絡技術培訓,培訓使用H3C網絡學院培訓教程。HNC教程分4卷,第1卷課程涵蓋H3CNE認證課程內容,第2~4卷課程涵蓋H3CSE Routing & Switching認證課程內容。培訓課程高度強調實用性和提高學生動手操作的能力。
作為H3C網絡學院課程的參考書,本書內含大量的特性配置實例與應用場景,使讀者能夠快速地對H3C路由器的大多數常見特性進行配置。本書適合以下幾類讀者。
大專院校在校生: 本書可作為H3C網絡學院課程的實驗輔導教材,也可作為計算機通信相關專業學生的自學參考書。
公司職員: 本書能夠使員工快速配置H3C路由器,幫助員工理解和熟悉H3C路由器相關網絡應用和設置,提升工作效率。
一般用戶: 本書可以作為所有對網絡技術感興趣的愛好者學習網絡技術的自學參考書籍。
本書的內容涵蓋了目前主流的路由器特性配置與應用場景,內容由淺入深。這充分突顯了H3C網絡學院系列教程的特點——專業務實,學以致用。本書經過精心設計,便于知識的連貫和理解,學員可以在較短的學時內完成全部內容的學習。本書內容遵循國際標準,從而保證了良好的開放性和兼容性。
全書共15章。
第1章H3C路由器系列產品介紹
本章介紹了路由器的發展歷程、性能指標,H3C系列路由器的命名規則、特性和應用場合;最后,通過典型的路由器解決方案,展示如何在網絡中部署和應用H3C路由器產品。
第2章基本配置指導
本章給出了如何通過Console口、Telnet、Web網管等登錄路由器的配置示例,并給出了如何對路由器的文件系統和配置文件進行管理的配置示例,最后給出了如何通過FTP、TFTP對路由器進行升級的配置示例。第3章接口配置指導
本章首先給出了以太網接口的配置示例,包括如何配置Combo端口、接口雙工、速率、MDI、二三層模式切換等;接著給出了WAN接口的配置示例,包括串口、CE1、AM接口、CE3等;之后給出了ATM和DSL接口的配置示例;最后給出了POS和CPOS接口的配置示例。
第4章廣域網接入配置指導
本章給出了廣域網接入技術相關特性的配置示例,主要包括PPP、幀中繼、DCC、HDLC、L2TP、3G接入等特性的配置示例。
第5章IP業務配置指導
本章給出了有關IP業務的相關特性配置示例,主要包括IP地址與性能、ARP、DHCP、域名解析、NAT、UDP Helper等特性的典型配置示例。
第6章IP路由配置指導
本章給出了IP路由相關的配置示例,主要包括靜態路由、RIP、OSPF、ISIS、BGP、路由策略等。其中OSPF和BGP配置內容豐富,示例數量眾多。
第7章IP組播配置指導
本章給出了IGMP和PIM的配置示例,其中PIM又包括了PIMDM、PIMSM、PIMSSM等配置示例。
第8章IPv6配置指導
本章給出了IPv6相關的配置示例,主要包括IPv6基礎配置、DHCPv6配置、IPv6域名解析配置、IPv6靜態路由配置、RIPng配置、OSPFv3配置、IPv6 ISIS配置、IPv6 BGP配置、NATPT配置、IPv6單播策略路由配置、MLD配置、IPv6 PIM配置、IPv6隧道配置等。
第9章MPLS配置指導
本章給出了MPLS相關的配置示例,主要包括MPLS基本配置、MPLS L2VPN配置、MPLS L3VPN配置等。
第10章ACL與QoS配置指導
本章首先給出了IPv4 ACL的配置示例,然后給出了優先級映射、流量整形、流量監管等配置示例,最后給出了擁塞管理、擁塞避免、流量過濾等配置示例。
第11章安全特性配置指導
本章首先給出了AAA的典型配置示例,然后給出了IPSec和PKI的配置示例。另外,本章還給出了包過濾防火墻、Portal認證、端口安全,以及SSH、SSL VPN等眾多安全特性的配置示例。
第12章語音配置指導
本章給出了語音特性相關的典型配置示例,主要包括語音實體、語音用戶線、撥號策略、SIP、H.323等特性的配置示例。
第13章可靠性配置指導
本章給出了路由器上眾多可靠性特性的配置示例,主要包括BFD、接口備份、Track、VRRP等特性的配置示例。
第14章網絡管理與監控配置指導
本章給出了網絡管理與監控特性的配置示例,主要包括SNMP、RMON、NTP、信息中心、NQA、端口鏡像等配置示例。第15章ACFP典型配置指導
本章給出了ACFP特性的配置示例。
由于編者水平有限,加之時間倉促,書中疏漏之處在所難免,歡迎讀者批評指正。來函可發到本書主編處(Email: zhangdongliang@h3c.com)。
H3C培訓中心
2013年3月
教師用戶如需樣書,請回復“聯系方式”,與當地院校代表聯系。
H3C交換機簡單配置案例
這里使用的H3C交換機是H126A,僅僅只做了最基本的配置以滿足使用。
配置中可以通過display current-configura命令來顯示當前使用的配置內容。
# 配置VLAN 1
<Sysname>system-view
System View:return to User View with Ctrl+Z.
[Sysname]vlan 1
[Sysname-vlan1]quit
[Sysname]management-vlan1
[Sysname]interfaceVlan-interface 1
[Sysname-Vlan-interface1]ip address 10.0.1.201 255.255.255.0
# 顯示VLAN 接口1 的相關信息。
<Sysname>display ip interface Vlan-interface 1
# 創建VLAN(H3C不支持cisco的VTP,所以只能添加靜態VLAN)
<H3C_TEST>system-view
System View:return to User View with Ctrl+Z.
[H3C_TEST]vlan 99
[H3C_TEST-vlan99]nameseicoffice
[H3C_TEST-vlan99]quit
# 把交換機的端端口劃分到相應的Vlan中
[H3C_TEST]interfaceethernet1/0/2//進入端口模式
[H3C_TEST-Ethernet1/0/2]portlink-type access //設置端口的類型為access
[H3C_TEST-Ethernet1/0/2]portaccess vlan 99//把當前端口劃到vlan 99
[H3C_TEST]vlan 99
[H3C_TEST-vlan99]portethernet1/0/1 to ethernet1/0/24//把以及網端口1/0/1到1/0/24劃到vlan99
[H3C_TEST-vlan99]quit
[H3C_TEST-GigabitEthernet1/2/1]porttrunk permit vlan 1 99 // {ID|All} 設置trunk端口允許通過的VLAN
------------------------------------
# 配置本地用戶
<Sysname>system-view
System View:return to User View with Ctrl+Z.
[Sysname]local-userh3c
New local useradded.
[Sysname-luser-h3c]service-typetelnet level 3
[Sysname-luser-h3c]passwordsimple h3c
# 配置歡迎信息
[H3C_TEST]headerlogin %Welcome to login h3c!%
# 配置用戶認證方式telnet(vty 0-4)
[H3C_TEST]user-interfacevty 0 4
[H3C_TEST-ui-vty0-4]authentication-modescheme
[H3C_TEST-ui-vty0-4]protocolinbound telnet
[H3C_TEST-ui-vty0-4]superauthentication-mode super-password
[H3C_TEST-ui-vty0-4]quit
[H3C_TEST]superpassword level 3 simple h3c //用戶登陸后提升權限的密碼
# 配置Radius策略
[H3C_TEST]radiusscheme radius1
New Radius scheme
[H3C_TEST-radius-radius1]primaryauthentication 10.0.1.253 1645
[H3C_TEST-radius-radius1]primaryaccounting 10.0.1.253 1646
[H3C_TEST-radius-radius1]secondaryauthentication 127.0.0.1 1645
[H3C_TEST-radius-radius1]secondaryaccounting 127.0.0.1 1646
[H3C_TEST-radius-radius1]timer5
[H3C_TEST-radius-radius1]keyauthentication h3c
[H3C_TEST-radius-radius1]keyaccounting h3c
[H3C_TEST-radius-radius1]server-typeextended
[H3C_TEST-radius-radius1]user-name-formatwithout-domain
# 配置域
[H3C_TEST]domainh3c
[H3C_TEST-isp-h3c]authenticationradius-scheme radius1 local
[H3C_TEST-isp-h3c]schemeradius-scheme radius1 local
[H3C_TEST]domaindefault enable h3c
# 配置在遠程認證失敗時,本地認證的key
[H3C_TEST]local-servernas-ip 127.0.0.1 key h3c
H3C交換機路由器telnet和console口登錄配置
2009年11月09日星期一 10:00
級別說明
Level 名稱
命令
0
參觀
ping、tracert、telnet
1
監控
display、debugging
2
配置
所有配置命令(管理級的命令除外)
3
管理
文件系統命令、FTP命令、TFTP命令、XMODEM命令
telnet僅用密碼登錄,管理員權限
[Router]user-interfacevty 0 4[Router-ui-vty0-4]user privilege level 3[Router-ui-vty0-4]setauthentication password simple abc
telnet僅用密碼登錄,非管理員權限
[Router]superpassword level 3 simple super
[Router]user-interfacevty 0 4[Router-ui-vty0-4]user privilege level 1[Router-ui-vty0-4]setauthentication password simple abc
telnet使用路由器上配置的用戶名密碼登錄,管理員權限
[Router]local-useradmin password simple admin[Router]local-user admin service-typetelnet[Router]local-user admin level 3
[Router]user-interfacevty 0 4[Router-ui-vty0-4]authentication-mode local
telnet使用路由器上配置的用戶名密碼登錄,非管理員權限
[Router]superpassword level 3 simple super
[Router]local-usermanage password simple manage[Router]local-user manage service-typetelnet[Router]local-user manage level 2
[Router]user-interfacevty 0 4[Router-ui-vty0-4]authentication-mode local
對console口設置密碼,登錄后使用管理員權限
[Router]user-interfacecon 0[Router-ui-console0]user privilege level 3[Router-ui-console0]setauthentication password simple abc
對console口設置密碼,登錄后使用非管理員權限
[Router]superpassword level 3 simple super
[Router]user-interfacecon 0[Router-ui-console0]user privilege level 1[Router-ui-console0]setauthentication password simple abc
對console口設置用戶名和密碼,登錄后使用管理員權限
[Router]local-useradmin password simple admin[Router]local-user admin service-typeterminal[Router]local-user admin level 3
[Router]user-interfacecon 0[Router-ui-console0]authentication-mode local
對console口設置用戶名和密碼,登錄后使用非管理員權限
[Router]superpassword level 3 simple super
[Router]local-usermanage password simple manage[Router]local-user manage service-typeterminal[Router]local-user manage level 2
[Router]user-interfacecon 0[Router-ui-console0]authentication-mode local
simple 是明文顯示,cipher 是加密顯示
路由器不設置telnet登錄配置時,用戶無法通過telnet登錄到路由器上
[Router-ui-vty0-4]acl2000 inbound可以通過acl的規則只允許符合條件的用戶遠程登錄路由器
路由器命令
~~~~~~~~~~
[Quidway]displayversion 顯示版本信息
[Quidway]displaycurrent-configuration 顯示當前配置
[Quidway]displayinterfaces 顯示接口信息
[Quidway]displayip route 顯示路由信息
[Quidway]sysnameaabbcc 更改主機名
[Quidway]superpasswrod 123456 設置口令
[Quidway]interfaceserial0 進入接口
[Quidway-serial0]ipaddress <ip><mask>
[Quidway-serial0]undoshutdown 激活端口
[Quidway]link-protocolhdlc 綁定hdlc協議
[Quidway]user-interfacevty 0 4
[Quidway-ui-vty0-4]authentication-modepassword
[Quidway-ui-vty0-4]setauthentication-mode password simple 222
[Quidway-ui-vty0-4]userprivilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugginghdlc all serial0 顯示所有信息
[Quidway]debugginghdlc event serial0 調試事件信息
[Quidway]debugginghdlc packet serial0 顯示包的信息
靜態路由:
[Quidway]iproute-static <ip><mask>{interfacenumber|nexthop}[value][reject|blackhole]
例如:
[Quidway]iproute-static 129.1.0.0 16 10.0.0.2
[Quidway]iproute-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]iproute-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static0.0.0.0 0.0.0.0 10.0.0.2
動態路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]ripoutput
[Quidway-rip]network1.0.0.0 可以all
[Quidway-rip]network2.0.0.0
[Quidway-rip]peerip-address
[Quidway-rip]summary
[Quidway]ripversion 1
[Quidway]ripversion 2 multicast
[Quidway-Ethernet0]ripsplit-horizon 水平分隔
[Quidway]router idA.B.C.D 配置路由器的ID
[Quidway]ospfenable 啟動OSPF協議
[Quidway-ospf]import-routedirect 引入直聯路由
[Quidway-Serial0]ospfenable area <area_id> 配置OSPF區域
標準訪問列表命令格式如下:
acl<acl-number> [match-order config|auto]默認前者順序匹配。
rule[normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rulenormal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rulenormal deny source any
擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表:
rule{normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination<ip wild>|any}
[operate]
配置ICMP協議的擴展訪問列表:
rule{normal|special}{permit|deny}icmp source {<ip wild>|any]destination{<ip wild>|any]
[icmp-code][logging]
擴展訪問控制列表操作符的含義
equalportnumber 等于
greater-thanportnumber 大于
less-thanportnumber 小于
not-equalportnumber 不等
range portnumber1portnumber2 區間
擴展訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]ruledeny souce any destination any
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rulepermit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]ruledeny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewallenable
[Quidway]firewalldefault permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewallpacket-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewallenable
[Quidway]firewalldefault permit
[Quidway]acl 101
[Quidway-acl-101]ruledeny ip source any destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rulepermit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rulepermit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewallpacket-filter 101 inbound
[Quidway-Serial0]firewallpacket-filter 102 inbound
[Quidway]nataddress-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rulepermit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]ruledeny source any
[Quidway-acl-1]intserial 0
[Quidway-Serial0]natoutbound 1 address-group pool1
[Quidway-Serial0]natserver global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]natserver global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]natserver global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]natserver global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP驗證:
主驗方:pap|chap
[Quidway]local-useru2 password {simple|cipher} aaa
[Quidway]interfaceserial 0
[Quidway-serial0]pppauthentication-mode {pap|chap}
[Quidway-serial0]pppchap user u1 //pap時,不用此句
pap被驗方:
[Quidway]interfaceserial 0
[Quidway-serial0]ppppap local-user u2 password {simple|cipher} aaa
chap被驗方:
[Quidway]interfaceserial 0
[Quidway-serial0]pppchap user u1
[Quidway-serial0]local-useru2 password {simple|cipher} aaa
----------------------------------------------------
H3C路由器配置方案注解
#
version 5.20,Release 1719 //版本信息,自動顯示
#
sysname H3C //給設備命名為H3C
#
super passwordlevel 3 cipher 7WC1<3E`[Y)./a!1$H@GYA!! //設置super密碼
#
domain defaultenable system
#
telnet serverenable
#
vlan 1
#
domain system
access-limitdisable
state active
idle-cut disable
self-service-urldisable
#
user-group system//從此以上未標注的為默認配置,不用去理解
#
local-user admin//添加用戶名為admin的用戶
password cipher.]@USE=B,53Q=^Q`MAF4<1!! //設置密碼(密文)
authorization-attributelevel 3 //設置用戶權限為3級(最高)
service-typetelnet //設置用戶的模式為telnet用戶
local-user share//從此往下四行同上
password cipher[HM$GH8P1GSQ=^Q`MAF4<1!!
authorization-attributelevel 1
service-type telnet
#
controller E1 0/0//進入E1物理端口(兩兆口)
using e1 //設置端口模式為E1(設置后下面會出現interface Serial0/0:0)
#
interface Aux0 //從此以下三行為主控板aux口默認配置
async mode flow
link-protocol ppp
#
interfaceEthernet0/0 //進入E0/0接口(以太網口)
port link-moderoute //配置該接口為路由模式
#
interface Serial0/0:0//進入Serial0/0:0端口(前面用using e1命令后產生,對應E1端口)
link-protocol ppp//配置鏈路協議為ppp(默認)
ip address74.1.63.170 255.255.255.252 //配置該接口IP地址
#
interface NULL0
#
interfaceVlan-interface1 //lan口vlan地址(lan口地址)
ip address192.168.1.1 255.255.255.0
#
interfaceEthernet0/1
port link-modebridge
#
interfaceEthernet0/2
port link-modebridge
#
interfaceEthernet0/3
port link-modebridge
#
interfaceEthernet0/4
port link-modebridge
#
ip route-static74.1.8.0 255.255.255.0 74.1.63.169 //配置靜態路由
#
user-interface aux0
user-interface vty0 4 //進入vty接口(遠程登陸接口)0-4通道
authentication-modescheme //配置登陸驗證類型為scheme(用戶驗證型)
user privilegelevel 1 //設置當驗證模式不是scheme類型時的登錄級別(廢配置)
#
return
-----------------------------------------------
H3C路由器基本配置命令
[Quidway]displayversion 顯示版本信息
[Quidway]displaycurrent-configuration 顯示當前配置
[Quidway]displayinterfaces 顯示接口信息
[Quidway]displayip route 顯示路由信息
[Quidway]sysnameaabbcc 更改主機名
[Quidway]superpasswrod 123456 設置口令
[Quidway]interfaceserial0 進入接口
[Quidway-serial0]ipaddress <ip><mask>
[Quidway-serial0]undoshutdown 激活端口
[Quidway]link-protocolhdlc 綁定hdlc協議
[Quidway]user-interfacevty 0 4
[Quidway-ui-vty0-4]authentication-modepassword
[Quidway-ui-vty0-4]setauthentication-mode password simple 222
[Quidway-ui-vty0-4]userprivilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugginghdlc all serial0 顯示所有信息
[Quidway]debugginghdlc event serial0 調試事件信息
[Quidway]debugginghdlc packet serial0 顯示包的信息
靜態路由:
[Quidway]iproute-static <ip><mask>{interfacenumber|nexthop}[value][reject|blackhole]
例如:
[Quidway]iproute-static 129.1.0.0 16 10.0.0.2
[Quidway]iproute-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]iproute-static 129.1.0.0 16 Serial 2
[Quidway]iproute-static 0.0.0.0 0.0.0.0 10.0.0.2
動態路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]ripoutput
[Quidway-rip]network1.0.0.0 ;可以all
[Quidway-rip]network2.0.0.0
[Quidway-rip]peerip-address
[Quidway-rip]summary
[Quidway]ripversion 1
[Quidway]ripversion 2 multicast
[Quidway-Ethernet0]ripsplit-horizon ;水平分隔
[Quidway]router idA.B.C.D 配置路由器的ID
[Quidway]ospfenable 啟動OSPF協議
[Quidway-ospf]import-routedirect 引入直聯路由
[Quidway-Serial0]ospfenable area <area_id> 配置OSPF區域
標準訪問列表命令格式如下:
acl<acl-number> [match-order config|auto]默認前者順序匹配。
rule[normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rulenormal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rulenormal deny source any
擴展訪問控制列表配置命令
配置TCP/UDP協議的擴展訪問列表:
rule{normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination<ip wild>|any}
[operate]
配置ICMP協議的擴展訪問列表:
rule{normal|special}{permit|deny}icmp source {<ip wild>|any]destination{<ip wild>|any]
[icmp-code][logging]
擴展訪問控制列表操作符的含義
equalportnumber 等于
greater-thanportnumber 大于
less-thanportnumber 小于
not-equalportnumber 不等
range portnumber1portnumber2 區間
擴展訪問控制列表舉例
[Quidway]acl 101
[Quidway-acl-101]ruledeny souce any destination any
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rulepermit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]ruledeny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewallenable
[Quidway]firewalldefault permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewallpacket-filter 101 inbound|outbound
地址轉換配置舉例
[Quidway]firewallenable
[Quidway]firewalldefault permit
[Quidway]acl 101
[Quidway-acl-101]ruledeny ip source any destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rulepermit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rulepermit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewallpacket-filter 101 inbound
[Quidway-Serial0]firewallpacket-filter 102 inbound
[Quidway]nataddress-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rulepermit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]ruledeny source any
[Quidway-acl-1]intserial 0
[Quidway-Serial0]natoutbound 1 address-group pool1
[Quidway-Serial0]natserver global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]natserver global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]natserver global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]natserver global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP驗證:
主驗方:pap|chap
[Quidway]local-useru2 password {simple|cipher} aaa
[Quidway]interfaceserial 0
[Quidway-serial0]pppauthentication-mode {pap|chap}
[Quidway-serial0]pppchap user u1 //pap時,不用此句
pap被驗方:
[Quidway]interfaceserial 0
[Quidway-serial0]ppppap local-user u2 password {simple|cipher} aaa
chap被驗方:
[Quidway]interfaceserial 0
[Quidway-serial0]pppchap user u1
[Quidway-serial0]local-useru2 password {simple|cipher} aaa
來源 |通信技術沃
思科與H3C配置命令對比靜態路由&OSPF
靜態路由:
靜態路由(static routing)是指由用戶或網絡管理員手工配置的路由信息。在早期網絡中,網絡的規模不大,路由器的數量很少,路由器也相對較小,通常采用手動的方法對每臺路由器的路由表進行配置,即靜態路由。這種方法適合于在規模較小、路由表也相對簡單的網絡中使用。它較簡單,容易實現,沿用了很長一段時間。
在小規模的網絡中,靜態路由的優點有兩點,一是手動配置,可以精確控制路由選擇,改進網絡的性能,二是不需要動態路由協議參與,這將會減少路由器的開銷,為重要的應用保證帶寬。缺點是大型和復雜的網絡環境通常不宜采用靜態路由。一方面,網絡管理員難以全面地了解整個網絡的拓撲結構;另一方面,當網絡的拓撲結構和鏈路狀態發生變化時,路由器中的靜態路由信息需要大范圍地調整,這一工作的難度和復雜程度非常高。當網絡發生變化或網絡發生故障時,不能重選路由,很可能使路由失敗。
下面具體來比較思科和H3C關于靜態路由的配置命令。
思科靜態路由配置如下:
Router(config)#ip route 目的網段 子網掩碼 下一跳/出接口
H3C 靜態路由配置如下:
[Switch]ip route-static 目的網段 子網掩碼 下一跳/出接口
注意:對于接口類型為非點對點的接口,不能夠指定出接口,必須指定下一跳地址。
目的IP地址和掩碼都為0.0.0.0的路由為默認路由。
OSPF:
OSPF(Open Shortest Path First,開放最短路徑優先)是IETF 開發的基于鏈路狀態的自治系統內部路由協議。與距離矢量協議不同,鏈路狀態路由協議使用Dijkstra的最短路徑優先算法(SPF)計算和選擇路由。這類路由協議關心網絡中鏈路或接口的狀態,每個路由器將其已知的鏈路狀態向該區域的其他路由器通告,通過這種方式,網絡上的每臺路由器對網絡結構都會有相同的認識。隨后,路由器以其為依據,使用SPF算法計算和選擇路由。
OSPF具有如下特點:
適應范圍廣:支持各種規模的網絡,最多可支持幾百臺路由器。
快速收斂:在網絡的拓撲結構發生變化后立即發送更新報文,使這一變化在自治系統中同步。
無自環:由于OSPF根據收集到的鏈路狀態用最短路徑樹算法計算路由,從算法本身保證了不會生成自環路由。
區域劃分:允許自治系統的網絡被劃分成區域來管理。路由器鏈路狀態數據庫的減小降低了內存的消耗和CPU的負擔;區域間傳送路由信息的減少降低了網絡帶寬的占用。
等價路由:支持到同一目的地址的多條等價路由。
路由分級:使用4類不同的路由,按優先順序來說分別是:區域內路由、區域間路由、第一類外部路由、第二類外部路由。
支持驗證:支持基于接口的報文驗證,以保證報文交互和路由計算的安全性。
組播發送:在某些類型的鏈路上以組播地址發送協議報文,減少對其他設備的干擾。
下面具體來比較思科和H3C關于靜態路由的配置命令。
思科OSPF配置如下:
router(config)#router ospf 進程號 //進入路由協議配置模式
router(config-router)#network 接口網段 反掩碼 area 區域號 //宣告網段
show ip ospf neighbor //查看ospf鄰居狀態
H3C OSPF配置如下:
[Router] ospf 1 //啟動OSPF進程
[Router-ospf-1] area 0 //配置OSPF區域
[Router-ospf-1-area-0.0.0.0] network 接口網段 反掩碼 //在指定的接口上啟動OSPF
[Router] display ospf peer //顯示OSPF鄰居信息
H3CS9500交換機RPR三層組網功能的配置
H3C S9500交換機RPR三層組網功能的配置
功能需求:
H3C S9500交換機RPR三層組網功能的配置
一、組網需求:
如下組網圖中,S9500 A、S9500 B、S9500 C、S9500D屬于核心設備,采用RPR技術組成一個RPR環。S9500 E、S9500 F屬于接入設備或者匯聚設備,S9500 E和S9500 F通過RPR環進行三層互通。
二、組網圖:
RPR三層典型組網圖
三、配置步驟:
軟件版本:S9500A交換機1250之后的版本
硬件版本:S9500A交換機RPR單板
配置S9500 A設備
1)創建RPR三層轉發的VLAN,配置接口IP地址,并且把RPR端口都加入VLAN
[S9500A]vlan 100
[S9500A]interface vlan-interface 100
[S9500A-Vlan-interface100]ip address100.0.0.1 24
[S9500A]interface RprPos5/1/1
[S9500A-RprPos5/1/1]portaccess vlan 100
2)創建業務接入VLAN,配置接口IP地址,并且把接入端口都加入VLAN
[S9500A]vlan 10
[S9500A]interface vlan-interface 10
[S9500A-Vlan-interface10]ip address10.0.0.1 24
[S9500A]interfaceGigabitEthernet1/1/1
[S9500A-GigabitEthernet1/1/1]port accessvlan 10
3)使能OSPF路由協議,并且引入直連路由,使本端路由信息能夠發布到對端
[S9500A]ospf
[S9500A-ospf-1]import-routedirect
[S9500A-ospf-1]area 0
[S9500A-ospf-1-area-0.0.0.0]network100.0.0.0 0.0.0.255
配置S9500 C設備
1)創建RPR三層轉發的VLAN,配置接口IP地址,并且RPR端口都加入VLAN
[S9500C]vlan 100
[S9500C]interface vlan-interface 100
[S9500C-Vlan-interface100]ip address100.0.0.3 24
[S9500C]interfaceRprPos 5/1/1
[S9500C-RprPos5/1/1]portaccess vlan 100
2)創建業務接入VLAN,配置接口IP地址,并且把接入端口都加入VLAN
[S9500C]vlan 20
[S9500C]interface vlan-interface 20
[S9500C-Vlan-interface20]ip address20.0.0.1 24
[S9500C]interfaceGigabitEthernet2/1/1
[S9500C-GigabitEthernet2/1/1]port accessvlan 20
3)使能OSPF路由協議,并且引入直連路由,使本端路由信息能夠發布到對端
[S9500C]ospf
[S9500C-ospf-1]import-routedirect
[S9500C-ospf-1]area 0
[S9500C-ospf-1-area-0.0.0.0]network100.0.0.0 0.0.0.255
RPR環上的S9500 B和S9500 D不需要任何配置,只要RPR端口物理層能夠聯通即可
四、配置關鍵點:
RPR在進行組網的時候要注意東向端口與對端的西向端口連接、西向端口與東向端口連接,否則物理端口將會處于DOWN的狀態。
