- A+
H3CER6300高性能企业级路由网关
产品特点
全千兆接口
ER6300提供2个10/100/1000BASE-T以太网WAN接口,同时提供3个10/100/1000BASE-T以太网LAN接口。
高处理性能
ER6300采用64位双核网络处理器,主频高达500MHz,处理能力相当于1GHz的专业网络处理器,同时配合DDRII 64M RAM进行高速转发。
内置高性能防火墙
ER6300路由网关内置高性能防火墙,除了支持普遍的访问控制和状态防火墙之外,还提供了丰富的防攻击和安全日志功能,有效地保证网络的安全性,解决内网经常受到攻击的难题。
能提供多种攻击防范技术,包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击的防范等等。可以防范大多数网络上存在的攻击。
ARP病毒双重防护
ER6300路由网关通过IP<->MAC地址绑定功能,固定了网关的ARP列表,可以有效防止ARP欺骗引起的内网通讯中断;此外ER6300路由网关毫秒级的免费ARP的定时发送机制,可以有效地避免局域网PC中毒后引发的ARP攻击。
网络流量限速
BT,迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务,ER6300路由器通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制单台PC的上/下行流量和建立的NAT表项的个数,限制了P2P软件对网络带宽的过度占用。
双WAN口负载均衡
负载均衡可以让用户根据线路实际带宽分配网络流量,达到充分利用带宽的目的,满足了双线路接入用户对带宽的灵活应用需求。智能负载均衡根据用户实际带宽比分配实际的网络流量;手动负载均衡根据导入的路由表进行转发;支持策略路由表的导入/导出功能,只需导入合适的路由表即可实现“电信走电信,联通走联通”的功能。
网络流量监控
ER6300路由网关提供内网流量的实时监控和排序功能,同时提供多种安全日志,包括内外网攻击实时日志、地址绑定日志、流量告警日志和会话日志,供网管员实时监控网络运行状态和安全状态。
产品规格
固定端口
2个10/100/1000Base-T WAN端口
3个10/100/1000Base-T LAN端口
1个Console接口
处理器(CPU)
MIPS 64位双核500MHz 网络处理器
内存
DDR II 64MB
FLASH
8MB
指示灯
每端口:Link/Act,Speed
每设备: Power,W1/W2
外形尺寸(长×宽×高)
440(W)×230(D)×44(H) mm
标准的19 英寸机架安装宽度,1U 高
输入电压
100~240V AC,50/60Hz
功耗
20W
工作温度
0℃~40℃
存储温度
-10℃~70℃
工作湿度
10%~90%无凝结
存储湿度
5%~90%无凝结
散热方式
风扇散热
软件特性
工作模式
主备模式
智能负载均衡
手动负载均衡(电信走电信,联通走联通)
路由转发模式
网络协议
PPPoE
DHCP 客户端
DHCP服务器
NAPT
NTP
DDNS(www.3322.org)
防火墙
出站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
入站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
网络安全
内网异常流量防护
报文源认证(伪装报文直接丢弃不处理)
ARP防攻击/免费ARP
状态数据包检查
防止WAN口的Ping
防止TCP syn扫描
防止Stealth FIN扫描
防止TCP Xmas Tree扫描
防止TCP Null扫描
防止UDP扫描功能
防止Land 攻击功能
防止Smurf攻击功能
防止WinNuke攻击功能
防止Ping of Death攻击
防止SYN Flood攻击功能
防止UDP Flood攻击功能
防止ICMP Flood攻击功能
防止IP Spoofing功能
防止碎片包攻击
防止TearDrop攻击
防止Fraggle攻击功能
访问控制
IP<->MAC地址绑定(静态ARP)
URL过滤(黑白名单)
QoS
历史流量统计
流量统计(基于IP/端口的流量统计)
网络流量限速(基于IP,上下行流量分别限速)
NAT表项限制
应用通道限制(绿色通道/限制通道)
流量监控
基于物理端口的流量统计
基于IP的流量统计,支持自动排序功能
基于IP的NAT链接数统计
路由
静态路由
策略路由(基于源IP/目的IP/协议/端口/出接口/时间段)
系统服务
ALG
端口触发
UPnP
虚拟服务器
静态NAT(一对一NAT)
DMZ 主机
VPN透传(PPTP、L2TP、IPSec)
配置管理
基于Web的用户管理接口(远程管理/本地管理)
HTTPS远程管理
命令行CLI
通过HTTP 升级系统软件
故障诊断
Ping / Tracert
设备自检
故障信息一键导出
认证
CE ClassA
CCC
H3C ER6300在中型网吧+策略路由的典型应用
H3C ER6300网吧专用路由器在作为出口路由进行NAT转发的同时还支持策略路由功能,可以支持双线接入,同时根据内置的负载均衡表可以解决根据目的IP地址指定ISP,实现“电信走电信,联通走联通”的功能,最大限度的利用已有带宽。
H3C ER6300在企事业单位的典型应用
某单位上网的PC数量在200台左右,并且内网经常受到病毒攻击的困扰。采用ER6300作为出口路由器,采用双链路上行实现链路备份(主链路故障时能切换到备份链路),保证业务不中断;内置高性能防火墙以及ARP病毒防护功能可以有效的保护内网安全性,防止黑客或病毒的入侵;通过网络流量限速功能可以有效地限制员工使用BT、迅雷等P2P软件造成公司网络资源被占用,提升工作效率。
好书推借——009《H3C路由器配置与管理完全手册(第二版)》
史上最大型的H3C路由器配置与管理手册
史上最系统的H3C路由器配置与管理手册
深入浅出的技术原理剖析与分层次配置示例的完美结合
综合的配置思路分析和详尽的配置步骤介绍的完美结合
内容推荐
本书是目前国内图书市场中第一本,也是国内最全面、最系统的纯H3C路由器大型配置与管理手册。
全书近900页,共15章。从最基础的H3C路由器设备选型,Comware5.2系统的使用与管理,以及各种H3C路由器接口、各种WAN接入、DHCP/DNS、ARP、NAT、静态路由、RIP路由等配置与管理,到高级的OSPF路由、IS-IS路由、BGP路由、路由策略和策略路由、L2TPVPN、IPSecVPN、DVPN等配置与管理。书中提供了全面、翔实的各功能工作原理、功能配置思路分析,详尽的功能配置步骤和上千个各层次配置示例。
本书既是读者进行全面、系统、深入学习H3C路由器配置与管理的首选工具图书,又是目前各大高校和H3C培训机构的最佳H3C路由器教材。目录
第1章 H3C主要系列路由器安装、选型和应用
1.1 H3C路由器产品系列综述
1.1.1 H3C路由器系列分类
1.1.2 H3C ER系列路由器
1.1.3 H3C MSR系列路由器
1.1.4 H3C MSR系列路由器的接口卡和接口模块
1.1.5 H3C SR系列路由器
1.2 MSR 900系列
1.2.1 MSR900系列路由器基本配置和主要功能特性
1.2.2 MSR900系列路由器的主要应用
1.3 H3C MSR 20系列路由器
1.3.1 H3C MSR 20系列路由器基本配置和主要功能特性
1.3.2 H3C MS20系列路由器的主要应用
1.4 H3C MSR 30系列路由器
1.4.1 H3C MSR 30系列路由器简介
1.4.2 H3C MSR 30系列路由器基本配置和主要特性比较
1.5 H3C MSR 50系列路由器
1.5.1 H3C MSR 50系列路由器基本配置和主要特性
1.5.2 H3C MSR 50系列路由器的主要应用
1.6 H3C MSR系列路由器接口及指示灯
1.6.1 MSR 20系列路由器接口及指示灯说明
1.6.2 MSR 30系列路由器接口及指示灯说明
1.6.3 MSR 50系列路由器接口及指示灯说明
第2章 Comware 5基本使用与管理
2.1 Comware 5基础
2.1.1 Comware 5体系架构及主要优势
2.1.2 Comware CLI视图
2.2 Comware 5下载、安装和备份
2.2.1 MSR Comware版本
2.2.2 通过FTP方式进行Comware软件的下载与升级安装
2.2.3 通过FTP方式进行Comware软件的备份
2.2.4 通过BOOTROM设置启动文件
2.3 Comware 5命令行接口
2.3.1 Comware 5命令行接口简介
2.3.2 命令行在线帮助的使用方法
2.3.3 命令行同步信息输出功能的启用
2.3.4 命令行的undo格式
2.3.5 命令行的编辑功能
2.3.6 命令行的显示控制
2.3.7 命令行的历史命令记录
2.3.8 命令行常见错误信息
2.4 Comware 5的基本使用与配置
2.4.1 Comware 5的基本使用方法
2.4.2 系统时间的配置步骤及示例
2.4.3用户级别和命令级别的配置步骤及示例
2.4.4 用户级别切换的配置步骤及示例
2.4.5 命令级别的修改方法
2.5 Comware 5文件系统管理
2.5.1 存储设备的命名
2.5.2 文件名参数输入规则
2.5.3 文件操作
2.5.4 目录操作
2.5.6 Comware5存储设备操作
2.6 Comware 5配置文件管理
2.6.1 Comware5配置文件简介
2.6.2 多配置文件
2.6.3 保存当前配置的方法
2.6.4 配置回滚的方法
2.6.5 设置下次启动配置文件
2.6.6 备份下次启动配置文件
2.6.7 删除设备中的下次启动配置文件
2.6.8 恢复下次启动配置文件
2.6.9 设备配置文件的查看方法
2.7 MSR系列路由器的Web配置方法
2.7.1 登录Web方法
2.7.2 Web网管页面布局介绍
2.7.3 Web网管用户级别
2.7.4 通过命令行管理Web网管
第3章 接口配置与管理
3.1 以太网接口/子接口基本配置
3.1.1 以太网接口类型
3.1.3 以太网接口的基本配置
3.1.4 以太网子接口的基本配置
3.1.5 配置以太网接口的流量控制功能
3.1.6配置以太网接口物理连接状态抑制功能
3.1.7 启用以太网接口环回测试功能
3.1.8 配置以太网接口工作模式
3.1.9 配置Combo接口
3.2 二层以太网接口/子接口的高级配置
3.2.1 配置以太网端口组
3.2.2 配置以太网接口自协商速率
3.2.3 配置以太网接口/子接口风暴抑制比
3.2.4 配置以太网接口环回监测功能
3.2.5 配置以太网接口的MDI模式
3.2.6 配置检测以太网接口的连接电缆
3.2.7配置以太网接口流量阈值控制功能
3.3 三层以太网接口/子接口配置
3.3.1 配置以太网接口/子接口的MTU
3.3.2 配置以太网接口/子接口的MAC地址
3.3.3 配置以太网接口为混杂模式
3.4 以太网接口管理
3.5 异步串口和AUX接口配置
3.5.1 配置异步串口
3.5.2 配置AUX接口
3.6 Loopback/NULL接口配置
3.6.1 配置Loopback接口
3.6.2 配置Null接口
3.7 CE1/PRI接口配置与管理
3.7.1 CE1/PRI接口简介
3.7.2 配置CE1/PRI接口工作在E1方式
3.7.3 配置CE1/PRI接口工作在CE1方式
3.7.4配置CE1/PRI接口工作在PRI方式
3.7.5 配置CE1/PRI接口其他参数
3.7.6 CE1/PRI接口管理
3.8 CT1/PRI接口配置与管理
3.8.1 配置CT1/PRI接口作为CT1接口
3.8.2 配置CT1/PRI接口作为PRI接口
3.8.3 配置CT1/PRI接口其他参数
3.8.4 CT1/PRI接口管理
3.9 E1-F/T1-F接口配置
3.9.1 配置E1-F接口工作在成帧方式
3.9.2 配置E1-F接口工作在非成帧方式
3.9.3 配置E1-F接口的其他参数
3.9.4 配置T1-F接口参数
3.10 路由器接口IP地址配置
3.10.1 配置接口IP地址
3.10.2 接口IP地址的配置示例
3.10.3 配置接口借用IP地址
3.10.4接口借用IP地址的配置示例
3.10.5 以太网子接口配置示例
第4章 WAN接入配置与管理
4.1 PPP协议基础
4.1.1 PPP协议体系结构
4.1.2 PPP会话身份认证原理
4.2 PPP协议配置
4.2.1 PPP协议配置基本思路
4.2.2 配置PAP认证
4.2.3 认证方配置了用户名情形下的CHAP认证配置
4.2.4认证方没有配置用户名情形下的CHAP认证配置
4.2.5 PPP PAP单向认证配置示例
4.2.6 PPP PAP双向认证配置示例
4.2.7 PPP CHAP认证配置示例
4.3 PPP协商参数配置
4.3.1 配置协商超时时间间隔
4.3.2 配置协商IP地址
4.3.3 配置协商DNS服务器地址
4.3.4 PPP协商IP地址配置示例
4.4 MP配置
4.4.1 MP的实现方式和协商过程
4.4.2 通过虚拟模板接口配置MP
4.4.3 通过MP-group方式配置MP
4.4.4 MP配置示例
4.5 Modem拨号配置
4.6 PPPoE ADSL配置
4.6.1 配置PPPoE服务器
4.6.2 配置PPPoE客户端的拨号接口
4.6.3 配置PPPoE会话
4.6.4 PPPoE服务器配置示例
4.6.5 PPPoE服务器和客户端配置示例
4.6.6 利用ADSLModem将局域网接入Internet的配置示例
第5章 DHCP/DNS服务配置与管理
5.1 DHCP服务器地址池配置与管理
5.1.1 H3C设备上DHCP服务器地址池基础
5.1.2 创建DHCP服务器地址池
5.1.3 配置普通模式地址池的静态绑定地址分配方式
5.1.4 配置普通模式地址池的动态分配地址方式
5.1.5 配置扩展模式地址池的动态地址分配方式
5.1.6 配置DHCP客户端域名后缀
5.1.7 配置DHCP客户端DNS服务器地址
5.1.8配置DHCP客户端WINS服务器和NetBIOS节点类型
5.1.9 配置DHCP客户端网关地址
5.1.10 配置DHCP服务器自动配置
5.1.11 配置DHCP服务器Option82处理方式
5.1.12 DHCP服务器管理
5.2 启动DHCP服务
5.3 在H3C设备接口上应用DHCP服务器配置
5.3.1配置接口工作在DHCP服务器模式
5.3.2引用扩展模式DHCP服务器地址池
5.4 H3C设备基本DHCP服务器配置示例
5.4.1静态绑定普通模式DHCP服务器地址池配置示例
5.4.2动态分配方式普通模式DHCP服务器地址池配置示例
5.4.3扩展模式DHCP服务器池配置示例
5.5 DHCP服务器的安全功能配置
5.5.1配置伪DHCP服务器检测功能
5.5.2 配置IP地址重复分配检测功能
5.5.3 配置授权ARP功能
5.6 DHCP中继配置与管理
5.6.1 DHCP中继简介及配置任务
5.6.2 配置接口的DHCP中继工作模式
5.6.3 配置DHCP服务器组
5.6.4 配置DHCP中继的地址匹配检查
5.6.5配置DHCP中继动态用户地址表项定时刷新
5.6.6 配置DHCP中继支持授权ARP
5.6.7 配置DHCP中继的伪DHCP服务器检测
5.6.8 通过DHCP中继释放客户端IP地址
5.6.9 配置DHCP中继支持Option 82功能
5.6.10 DHCP中继管理
5.6.11 伪DHCP服务器检测示例
5.6.12 DHCP中继配置示例
5.7 DHCP Snooping配置与管理
5.7.1 DHCP Snooping的两个主要功能
5.7.2 配置DHCP Snooping基本功能
5.7.3 配置DHCP Snooping支持Option82功能
5.7.4 配置DHCPSnooping表项备份功能
5.7.5 配置防止DHCP饿死攻击
5.7.6配置防止伪造DHCP续约报文攻击
5.7.7 DHCPSnooping管理
5.7.8 DHCPSnooping配置示例
5.7.9 DHCP Snooping支持Option82配置示例
5.8 DHCP客户端配置与管理
5.8.1 配置作为DHCP客户端
5.8.2 DHCP客户端管理
5.9 DNS服务配置与管理
5.9.1 DNS域名解析功能的配置步骤及示例
5.9.2 配置DNS代理
5.9.3 配置DNS spoofing
5.9.4 静态域名解析配置示例
5.9.5 DNS代理配置示例
第6章 ARP配置与管理
6.1 ARP协议基础
6.1.1 ARP缓存表项
6.1.2 ARP协议报文格式
6.1.3 ARP地址解析原理
6.2 ARP配置与管理
6.2.1 添加静态ARP表项
6.2.2 配置支持的ARP表项最大数目
6.2.3 配置接口动态学习ARP表项的最大数目
6.2.4 配置动态ARP表项的老化时间
6.2.5 启用动态ARP表项检查功能
6.2.6 配置授权ARP
6.2.7 ARP管理
6.2.8 ARP配置示例
6.2.9 DHCP中继上的授权ARP功能配置示例
6.3 免费ARP配置与管理
6.3.1 免费ARP报文的主要功能
6.3.2 免费ARP的主要应用
6.3.3 配置免费ARP
6.4 代理ARP配置与管理
6.4.1 两种代理ARP应用
6.4.2 配置代理ARP功能
6.4.3 代理ARP管理
6.4.4 普通代理ARP配置示例
6.4.5 本地代理ARP配置示例
6.5 ARP Snooping配置与管理
6.6 ARP攻击防御配置与管理
6.6.1 ARP攻击类型和原理
6.6.2 接入设备ARP攻击解决方案
6.6.3网关设备攻击解决方案及配置任务
6.6.4 ARP防止IP报文攻击功能的配置与管理
6.6.5 源MAC地址固定的ARP攻击检测功能配置与管理
6.6.6 ARP报文源MAC地址一致性检查功能的配置与管理
6.6.7 ARP主动确认功能的配置与管理
6.6.8 配置ARP自动扫描、固化功能
第7章 NAT配置与管理
7.1 H3C路由器主要NAT类型
7.1.1 静态NAT地址转换
7.1.2 动态NAT地址转换
7.2 配置静态NAT地址转换
7.2.1 配置一对一静态NAT地址转换
7.2.2 配置网段对网段静态NAT地址转换
7.2.3 一对一静态地址转换配置示例
7.3 配置动态NAT地址转换
56、H3CER5200G2路由器连接网络的设置方法
把路由器的LAN口与电脑连接,并把电脑的网络设置为自动获取。等到连接之后,打开浏览器,输入:http://192.168.1.1,回车,如下图:
路由器的登录界面打开了,用户名和密码相同,都是admin
先设置LAN口,默认是: 192.168.1.1
LAN口可以根据需要设置,我设置为: 192.168.3.254
设置好LAN口之后,路由器会自动重启,在浏览器地址栏输入http://192.168.3.254, 再次进入路由设置WAN口,
因为这个路由器是放在防火墙下面的,由防火墙(带路由功能)给它分配地址,所以我选择的是“静态地坛”,图中的IP地址:192.168.1.19和缺省网关:192.168.1.254都是上一级防火墙(带路由功能)给它分配的。
开启路由的DHCP功能,双击图中的位置进行设置。
在弹出的窗口中进行设置,设置完成之后,连接在它下在的电脑就可以上网了。
“一对一NAT”的作用:如果局域网中有一些电脑需要在外网访问,你可以把这个路由连接到最前端(做为整个网络的网关使用),并在这里做设置就可以了。
为了防止有人擅自进入路由器修改设置,最好设置一个密码:
H3C以太网交换机典型配置指导(H3C网络学院参考书系列)
图书简介:
本书从简到难,通过贴近实际应用的场景,给出大量的交换机配置实例,包括交换机基本配置、以太网接口配置、以太网交换配置、生成树协议配置、堆叠技术配置、IP业务配置、IP路由配置、IPv6配置、IP组播配置、ACL与QoS配置、安全特性配置、可靠性配置、网络管理与监控配置、MPLS与MCE配置、EPONOLT配置等。
本书的最大特点是将配置实例与实际应用场景紧密结合,通过给定场景与相应的配置实例,能够使读者更快、更直观地掌握交换机特性的应用和配置,增强读者的动手技能。
本书是为具备一定IP网络基础知识的人员编写的,尤其适合于学习了H3C网络学院系列教程的读者。对于网络工程技术人员,本书是简单易用的H3C交换机配置工具书。另外,本书还可以作为H3C网络学院系列教程的补充教材。
教师用户如需教材,请回复“联系方式”,与当地院系代表联系。
H3C通过TELNET登录路由器的配置
H3C通过TELNET登录路由器的配置
第一步:配置至少一个IP地址,以便提供IP连通性 路由的端口配置一个ip地址
system-view 进入系统视图模式
interface Ethernet 0/0 进入以太网端口视图
[H3C-ethernet0/0]ip address ip-address{ mask | mask-length}
undo shutdown 打开以太网端口
第二步:启动Telnet服务器
[H3C]telnet server enable
第三步进入VTY 用户界面视图
[H3C]user-interface vty first-num2[last-num2] (vty标号为0~4) 第四步;为VTY用户界面视图配置验证方式. [H3C-ui-vty0]authentication-mode{none|password|scheme} l
none:不验证 l
password:使用单纯的密码验证 l
scheme:使用用户名/密码验证
第五步;为Telnet 用户配置验证信息
如果选择了password 验证方法,则须配置一个验证密码:
[H3C-ui-vty0]set authentication password {cipher | simple} password 并可以在用户界面视图下配置通过本用户界面登陆后的用户级别: [H3C-ui-vty0]user privilege level level
如果选择了scheme验证方法,则系统默认采用本地用户数据库中的用户信息进行验证,因此须配置本地用户名、密码、用户级别等信息,用户服务类型原则为telent,供远程登录验证使用: [H3C]local-user username
[H3C-luser-xxx] password {cipher | simple } password [H3C-luser-xxx]service-type telnet [H3C-luser-xxx]level level
H3CER8300高性能企业级路由网关
产品特点:
全千兆接口
ER8300提供2个10/100/1000BASE-T以太网WAN接口,同时提供8个10/100/1000BASE-T以太网LAN接口,足以满足多数常见中小型局域网组网需求。
高处理性能
ER8300采用64位双核网络处理器,主频高达700MHz,处理能力相当于1.4GHz的专业网络处理器,同时配合DDRII 128M RAM进行高速转发。
内置高性能防火墙
ER8300路由网关内置高性能防火墙,除了支持普遍的访问控制和状态防火墙之外,还提供了丰富的防攻击和安全日志功能,有效地保证网络的安全性,解决内网经常受到攻击的难题。
能提供多种攻击防范技术,包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺骗攻击的防范等等。可以防范大多数网络上存在的攻击。
ARP病毒双重防护
ER8300路由网关通过IP<->MAC地址绑定功能,固定了网关的ARP列表,可以有效防止ARP欺骗引起的内网通讯中断;此外ER8300路由网关毫秒级的免费ARP的定时发送机制,可以有效地避免局域网PC中毒后引发的ARP攻击。
网络流量限速
BT,迅雷等P2P软件对网络带宽的过度占用会影响到网内其他用户的正常业务,ER8300路由器通过基于IP或基于NAT表项的网络流量限速机制可以有效地控制单台PC的上/下行流量和建立的NAT表项的个数,限制了P2P软件对网络带宽的过度占用。
双WAN口负载均衡
负载均衡可以让用户根据线路实际带宽分配网络流量,达到充分利用带宽的目的,满足了双线路接入用户对带宽的灵活应用需求。智能负载均衡根据用户实际带宽比分配实际的网络流量;手动负载均衡根据导入的路由表进行转发;支持策略路由表的导入/导出功能,只需导入合适的路由表即可实现“电信走电信,联通走联通”的功能。
网络流量监控
ER8300路由网关提供内网流量的实时监控和排序功能,同时提供多种安全日志,包括内外网攻击实时日志、地址绑定日志、流量告警日志和会话日志,供网管员实时监控网络运行状态和安全状态。
产品规格:
概述
固定端口
2个10/100/1000Base-T WAN端口
8个10/100/1000Base-T LAN端口
1个Console接口
处理器(CPU)
MIPS 64位双核700MHz 网络处理器
内存
DDR II 128MB
FLASH
8MB
指示灯
每端口:Link/Act,Speed
每设备: Power、Diag
外形尺寸(长×宽×高)
440(W)×230(D)×44(H) mm
标准的19 英寸机架安装宽度,1U 高
输入电压
100~240V AC,50/60Hz
功耗
20W
工作温度
0℃~40℃
存储温度
-10℃~70℃
工作湿度
10%~90%无凝结
存储湿度
5%~90%无凝结
散热方式
风扇散热
软件特性
工作模式
主备模式
智能负载均衡
手动负载均衡(电信走电信,联通走联通)
路由转发模式
网络协议
PPPoE
DHCP 客户端
DHCP服务器
NAPT
NTP
DDNS(www.3322.org)
防火墙
出站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
入站通信策略(源接口/IP/MAC/用户/目的IP/协议/端口/时间段)
网络安全
内网异常流量防护
报文源认证(伪装报文直接丢弃不处理)
ARP防攻击/免费ARP
状态数据包检查
防止WAN口的Ping
防止TCP syn扫描
防止Stealth FIN扫描
防止TCP Xmas Tree扫描
防止TCP Null扫描
防止UDP扫描功能
防止Land 攻击功能
防止Smurf攻击功能
防止WinNuke攻击功能
防止Ping of Death攻击
防止SYN Flood攻击功能
防止UDP Flood攻击功能
防止ICMP Flood攻击功能
防止IP Spoofing功能
防止碎片包攻击
防止TearDrop攻击
防止Fraggle攻击功能
访问控制
IP<->MAC地址绑定(静态ARP)
URL过滤(黑白名单)
QoS
历史流量统计
流量统计(基于IP/端口的流量统计)
网络流量限速(基于IP,上下行流量分别限速)
NAT表项限制
应用通道限制(绿色通道/限制通道)
流量监控
基于物理端口的流量统计
基于IP的流量统计,支持自动排序功能
基于IP的NAT链接数统计
路由
静态路由
策略路由(基于源IP/目的IP/协议/端口/出接口/时间段)
系统服务
ALG
端口触发
UPnP
虚拟服务器
静态NAT(一对一NAT)
DMZ 主机
VPN透传(PPTP、L2TP、IPSec)
配置管理
基于Web的用户管理接口(远程管理/本地管理)
HTTPS远程管理
命令行CLI
通过HTTP 升级系统软件
故障诊断
Ping / Tracert
设备自检
故障信息一键导出
认证
CE ClassA
CCC
H3C ER8300在大型无盘网吧+策略路由的典型应用
H3C ER8300网吧专用路由器在作为出口路由进行NAT转发的同时还支持策略路由功能,可以支持双线接入,同时根据内置的负载均衡表可以解决根据目的IP地址指定ISP,实现“电信走电信,联通走联通”的功能,最大限度的利用已有带宽。
大型无盘网吧采用三层组网结构,无盘服务器的直接连接汇聚交换机,交换流量下移,降低核心交换机的负载,核心交换机上划分三层VLAN,避免不同汇聚交换机下PC注册到相邻的无盘服务器上。
H3C ER8300在校园的典型应用
某职业技术学院采用了ER8300路由器作为出口网关,通过双WAN口实现Internet互联网与教育城域网双网接入,方便快速地访问各类资源;高性能防火墙以及ARP病毒防护功能能有效的保护校园网内网安全性。
H3C路由器典型配置指导(H3C网络学院参考书系列)
图书简介:
书从简到难,通过贴近实际应用的场景,给出大量的H3C路由器配置实例,包括基本配置、接口配置、广域网接入配置、IP业务配置、IP路由配置、IP组播配置、IPv6配置、MPLS配置、ACL与QoS配置、安全特性配置、语音配置、可靠性配置、网络管理与监控配置、ACFP典型配置等。
本书的最大特点是将配置实例与实际应用场景紧密结合,通过给定场景与相应的配置实例,能够使读者更快、更直观地掌握路由器特性的应用和配置,增强读者的动手技能。
本书是为具备一定IP网络基础知识的人员编写的,尤其适合于学习了H3C网络学院系列教程的读者。对于网络工程技术人员,本书是简单易用的H3C路由器配置工具书。另外,本书还可以作为H3C网络学院系列教程的补充教材。本书封面贴有清华大学出版社防伪标签,无标签者不得销售。
前言:
出版说明
伴随着互联网上各项业务的快速发展,作为信息化技术一个分支的网络技术已经与人们的日常生活日益密不可分,在越来越多的人们依托网络进行沟通的同时,网络本身也演变成了服务、需求的创造和消费平台,这种新的平台逐渐创造了一种新的生产力,一股新的力量。
如同人类民族之间语言的多样性一样,最初的计算机网络通信技术也呈现多样化发展。不过伴随着互联网应用的成功,IP作为新的力量逐渐消除了这种多样性趋势。在大量开放式、自由的创新和讨论中,基于IP的网络通信技术被积累完善起来;在业务易于实现、易于扩展、灵活方便的选择中,IP标准逐渐成为唯一的选择。
杭州华三通信技术有限公司(H3C)作为国际领先的IP网络技术解决方案提供商,一直专注于IP网络通信设备的研发和制造。H3C的研发投入从成立伊始,一直高达公司营业收入的15%以上,而这些研发投入又都集中在一个领域,就是IP网络技术,包括软件、硬件和测试。2010年授权专利数量,仅仅拥有4800名员工的H3C位列第六,平均每个研发人员拥有1.2个专利。
另外,为了使广大网络产品使用者和网络技术爱好者能够更好地掌握H3C产品使用方法和IP网络技术,H3C相关部门人员开发了大量的技术资料,详细而简明地介绍了相关知识。这些技术资料大部分是公开的,在H3C的官方网站(www.h3c.com.cn)上都能看到并可以下载。
但是,在传统的纸质媒介仍占重要地位的今天,许多合作伙伴和学校、机构、网络技术爱好者多次表达希望H3C能够正式出版其技术资料,包括网络学院教材、产品配置手册、典型配置案例、行业解决方案等。作为国内IP领域技术和通信设备制造的领导者,华三公司深感自身责任重大,责无旁贷。
2004年10月,华三公司的前身——华为3Com公司出版了自己的第一本网络学院教材,开创了华三公司网络学院教材正式出版的先河,极大地推动了IP技术在网络技术业界的普及;在后续的几年间,华三公司陆续出版了《IPv6技术》(第2版)、《路由交换技术第1卷》、《路由交换技术第2卷》、《路由交换技术第3卷》、《路由交换技术第4卷》等网络学院教材系列书籍,极大地推动了IP技术在网络学院和业界的普及。
华三公司希望通过这种形式,探索出一条理论和实践相结合的教育方法,顺应国家提倡的“学以致用、工学结合”教育方向,培养更多实用型的网络工程技术人员。
目前,华三公司正在计划推出“H3C网络学院参考书系列”教辅教材,主要是作为网络学院教材系列的有益补充,在提升学员动手能力、拓展学员的技术深度方面做一些有益的尝试。《H3C路由器典型配置指导》正是“H3C网络学院参考书系列”中的一本。后续,华三公司还将规划、组织产品技术开发专家陆续推出有关行业解决方案、产品配置手册等相关书籍。
希望在IP技术领域,这一系列教材能成为一股新的力量,回馈广大网络技术爱好者,为推进中国IP技术发展尽绵薄之力,同时也希望读者对我们提出宝贵的意见。
H3C客户服务热线4008100504
H3C客户服务邮箱service@h3c.com
杭州华三通信技术有限公司全球技术服务部
认证培训开发委员会路由交换编委会
2013年3月
H3C认证简介
H3C认证培训是国内最早建立的完善的网络产品技术认证,也是中国第一个走向国际市场的IT厂商认证,已成为当前权威的IT认证品牌之一,通过专业考试机构向全球提供认证考试,确保公平、公正、权威、规范。截至2012年年底,已有40多个国家和地区的18万余人次接受过培训,逾10万人次获得认证证书。H3C认证将秉承“专业务实,学以致用”的理念,快速响应客户需求的变化,提供丰富的标准化培训认证方案及定制化培训解决方案,帮助学员实现梦想、制胜未来。
按照技术应用场合的不同,同时充分考虑客户不同层次的需求,H3C公司为客户提供了从网络工程师到网络专家的三级技术认证体系、突出专业技术特色的专题认证体系和管理认证体系,构成了全方位的网络技术认证体系。
要全面了解H3C认证培训相关信息,请访问H3C网站培训认证栏目(http://www.h3c.com.cn/Training/ )。要了解H3C认证培训最新动态,请关注H3C培训认证官方微博(http://weibo.com/pxrzh3c)。
H3C认证将秉承“专业务实,学以致用”的理念,与各行各业建立更紧密的合作关系,认真研究各类客户不同层次的需求,不断完善认证体系,提升认证的含金量,使H3C认证能有效证明学员所具备的网络技术知识和实践技能,帮助学员在竞争激烈的职业生涯中保持强有力的竞争实力。
前言
随着互联网技术的广泛普及和应用,通信及电子信息产业在全球迅猛发展起来,从而也带来了网络技术人才需求量的不断增加,网络技术教育和人才培养成为高等院校一项重要的战略任务。
H3C网络学院(HNC)主要面向高校在校学生开展网络技术培训,培训使用H3C网络学院培训教程。HNC教程分4卷,第1卷课程涵盖H3CNE认证课程内容,第2~4卷课程涵盖H3CSE Routing & Switching认证课程内容。培训课程高度强调实用性和提高学生动手操作的能力。
作为H3C网络学院课程的参考书,本书内含大量的特性配置实例与应用场景,使读者能够快速地对H3C路由器的大多数常见特性进行配置。本书适合以下几类读者。
大专院校在校生: 本书可作为H3C网络学院课程的实验辅导教材,也可作为计算机通信相关专业学生的自学参考书。
公司职员: 本书能够使员工快速配置H3C路由器,帮助员工理解和熟悉H3C路由器相关网络应用和设置,提升工作效率。
一般用户: 本书可以作为所有对网络技术感兴趣的爱好者学习网络技术的自学参考书籍。
本书的内容涵盖了目前主流的路由器特性配置与应用场景,内容由浅入深。这充分突显了H3C网络学院系列教程的特点——专业务实,学以致用。本书经过精心设计,便于知识的连贯和理解,学员可以在较短的学时内完成全部内容的学习。本书内容遵循国际标准,从而保证了良好的开放性和兼容性。
全书共15章。
第1章H3C路由器系列产品介绍
本章介绍了路由器的发展历程、性能指标,H3C系列路由器的命名规则、特性和应用场合;最后,通过典型的路由器解决方案,展示如何在网络中部署和应用H3C路由器产品。
第2章基本配置指导
本章给出了如何通过Console口、Telnet、Web网管等登录路由器的配置示例,并给出了如何对路由器的文件系统和配置文件进行管理的配置示例,最后给出了如何通过FTP、TFTP对路由器进行升级的配置示例。第3章接口配置指导
本章首先给出了以太网接口的配置示例,包括如何配置Combo端口、接口双工、速率、MDI、二三层模式切换等;接着给出了WAN接口的配置示例,包括串口、CE1、AM接口、CE3等;之后给出了ATM和DSL接口的配置示例;最后给出了POS和CPOS接口的配置示例。
第4章广域网接入配置指导
本章给出了广域网接入技术相关特性的配置示例,主要包括PPP、帧中继、DCC、HDLC、L2TP、3G接入等特性的配置示例。
第5章IP业务配置指导
本章给出了有关IP业务的相关特性配置示例,主要包括IP地址与性能、ARP、DHCP、域名解析、NAT、UDP Helper等特性的典型配置示例。
第6章IP路由配置指导
本章给出了IP路由相关的配置示例,主要包括静态路由、RIP、OSPF、ISIS、BGP、路由策略等。其中OSPF和BGP配置内容丰富,示例数量众多。
第7章IP组播配置指导
本章给出了IGMP和PIM的配置示例,其中PIM又包括了PIMDM、PIMSM、PIMSSM等配置示例。
第8章IPv6配置指导
本章给出了IPv6相关的配置示例,主要包括IPv6基础配置、DHCPv6配置、IPv6域名解析配置、IPv6静态路由配置、RIPng配置、OSPFv3配置、IPv6 ISIS配置、IPv6 BGP配置、NATPT配置、IPv6单播策略路由配置、MLD配置、IPv6 PIM配置、IPv6隧道配置等。
第9章MPLS配置指导
本章给出了MPLS相关的配置示例,主要包括MPLS基本配置、MPLS L2VPN配置、MPLS L3VPN配置等。
第10章ACL与QoS配置指导
本章首先给出了IPv4 ACL的配置示例,然后给出了优先级映射、流量整形、流量监管等配置示例,最后给出了拥塞管理、拥塞避免、流量过滤等配置示例。
第11章安全特性配置指导
本章首先给出了AAA的典型配置示例,然后给出了IPSec和PKI的配置示例。另外,本章还给出了包过滤防火墙、Portal认证、端口安全,以及SSH、SSL VPN等众多安全特性的配置示例。
第12章语音配置指导
本章给出了语音特性相关的典型配置示例,主要包括语音实体、语音用户线、拨号策略、SIP、H.323等特性的配置示例。
第13章可靠性配置指导
本章给出了路由器上众多可靠性特性的配置示例,主要包括BFD、接口备份、Track、VRRP等特性的配置示例。
第14章网络管理与监控配置指导
本章给出了网络管理与监控特性的配置示例,主要包括SNMP、RMON、NTP、信息中心、NQA、端口镜像等配置示例。第15章ACFP典型配置指导
本章给出了ACFP特性的配置示例。
由于编者水平有限,加之时间仓促,书中疏漏之处在所难免,欢迎读者批评指正。来函可发到本书主编处(Email: zhangdongliang@h3c.com)。
H3C培训中心
2013年3月
教师用户如需样书,请回复“联系方式”,与当地院校代表联系。
H3C交换机简单配置案例
这里使用的H3C交换机是H126A,仅仅只做了最基本的配置以满足使用。
配置中可以通过display current-configura命令来显示当前使用的配置内容。
# 配置VLAN 1
<Sysname>system-view
System View:return to User View with Ctrl+Z.
[Sysname]vlan 1
[Sysname-vlan1]quit
[Sysname]management-vlan1
[Sysname]interfaceVlan-interface 1
[Sysname-Vlan-interface1]ip address 10.0.1.201 255.255.255.0
# 显示VLAN 接口1 的相关信息。
<Sysname>display ip interface Vlan-interface 1
# 创建VLAN(H3C不支持cisco的VTP,所以只能添加静态VLAN)
<H3C_TEST>system-view
System View:return to User View with Ctrl+Z.
[H3C_TEST]vlan 99
[H3C_TEST-vlan99]nameseicoffice
[H3C_TEST-vlan99]quit
# 把交换机的端端口划分到相应的Vlan中
[H3C_TEST]interfaceethernet1/0/2//进入端口模式
[H3C_TEST-Ethernet1/0/2]portlink-type access //设置端口的类型为access
[H3C_TEST-Ethernet1/0/2]portaccess vlan 99//把当前端口划到vlan 99
[H3C_TEST]vlan 99
[H3C_TEST-vlan99]portethernet1/0/1 to ethernet1/0/24//把以及网端口1/0/1到1/0/24划到vlan99
[H3C_TEST-vlan99]quit
[H3C_TEST-GigabitEthernet1/2/1]porttrunk permit vlan 1 99 // {ID|All} 设置trunk端口允许通过的VLAN
------------------------------------
# 配置本地用户
<Sysname>system-view
System View:return to User View with Ctrl+Z.
[Sysname]local-userh3c
New local useradded.
[Sysname-luser-h3c]service-typetelnet level 3
[Sysname-luser-h3c]passwordsimple h3c
# 配置欢迎信息
[H3C_TEST]headerlogin %Welcome to login h3c!%
# 配置用户认证方式telnet(vty 0-4)
[H3C_TEST]user-interfacevty 0 4
[H3C_TEST-ui-vty0-4]authentication-modescheme
[H3C_TEST-ui-vty0-4]protocolinbound telnet
[H3C_TEST-ui-vty0-4]superauthentication-mode super-password
[H3C_TEST-ui-vty0-4]quit
[H3C_TEST]superpassword level 3 simple h3c //用户登陆后提升权限的密码
# 配置Radius策略
[H3C_TEST]radiusscheme radius1
New Radius scheme
[H3C_TEST-radius-radius1]primaryauthentication 10.0.1.253 1645
[H3C_TEST-radius-radius1]primaryaccounting 10.0.1.253 1646
[H3C_TEST-radius-radius1]secondaryauthentication 127.0.0.1 1645
[H3C_TEST-radius-radius1]secondaryaccounting 127.0.0.1 1646
[H3C_TEST-radius-radius1]timer5
[H3C_TEST-radius-radius1]keyauthentication h3c
[H3C_TEST-radius-radius1]keyaccounting h3c
[H3C_TEST-radius-radius1]server-typeextended
[H3C_TEST-radius-radius1]user-name-formatwithout-domain
# 配置域
[H3C_TEST]domainh3c
[H3C_TEST-isp-h3c]authenticationradius-scheme radius1 local
[H3C_TEST-isp-h3c]schemeradius-scheme radius1 local
[H3C_TEST]domaindefault enable h3c
# 配置在远程认证失败时,本地认证的key
[H3C_TEST]local-servernas-ip 127.0.0.1 key h3c
H3C交换机路由器telnet和console口登录配置
2009年11月09日星期一 10:00
级别说明
Level 名称
命令
0
参观
ping、tracert、telnet
1
监控
display、debugging
2
配置
所有配置命令(管理级的命令除外)
3
管理
文件系统命令、FTP命令、TFTP命令、XMODEM命令
telnet仅用密码登录,管理员权限
[Router]user-interfacevty 0 4[Router-ui-vty0-4]user privilege level 3[Router-ui-vty0-4]setauthentication password simple abc
telnet仅用密码登录,非管理员权限
[Router]superpassword level 3 simple super
[Router]user-interfacevty 0 4[Router-ui-vty0-4]user privilege level 1[Router-ui-vty0-4]setauthentication password simple abc
telnet使用路由器上配置的用户名密码登录,管理员权限
[Router]local-useradmin password simple admin[Router]local-user admin service-typetelnet[Router]local-user admin level 3
[Router]user-interfacevty 0 4[Router-ui-vty0-4]authentication-mode local
telnet使用路由器上配置的用户名密码登录,非管理员权限
[Router]superpassword level 3 simple super
[Router]local-usermanage password simple manage[Router]local-user manage service-typetelnet[Router]local-user manage level 2
[Router]user-interfacevty 0 4[Router-ui-vty0-4]authentication-mode local
对console口设置密码,登录后使用管理员权限
[Router]user-interfacecon 0[Router-ui-console0]user privilege level 3[Router-ui-console0]setauthentication password simple abc
对console口设置密码,登录后使用非管理员权限
[Router]superpassword level 3 simple super
[Router]user-interfacecon 0[Router-ui-console0]user privilege level 1[Router-ui-console0]setauthentication password simple abc
对console口设置用户名和密码,登录后使用管理员权限
[Router]local-useradmin password simple admin[Router]local-user admin service-typeterminal[Router]local-user admin level 3
[Router]user-interfacecon 0[Router-ui-console0]authentication-mode local
对console口设置用户名和密码,登录后使用非管理员权限
[Router]superpassword level 3 simple super
[Router]local-usermanage password simple manage[Router]local-user manage service-typeterminal[Router]local-user manage level 2
[Router]user-interfacecon 0[Router-ui-console0]authentication-mode local
simple 是明文显示,cipher 是加密显示
路由器不设置telnet登录配置时,用户无法通过telnet登录到路由器上
[Router-ui-vty0-4]acl2000 inbound可以通过acl的规则只允许符合条件的用户远程登录路由器
路由器命令
~~~~~~~~~~
[Quidway]displayversion 显示版本信息
[Quidway]displaycurrent-configuration 显示当前配置
[Quidway]displayinterfaces 显示接口信息
[Quidway]displayip route 显示路由信息
[Quidway]sysnameaabbcc 更改主机名
[Quidway]superpasswrod 123456 设置口令
[Quidway]interfaceserial0 进入接口
[Quidway-serial0]ipaddress <ip><mask>
[Quidway-serial0]undoshutdown 激活端口
[Quidway]link-protocolhdlc 绑定hdlc协议
[Quidway]user-interfacevty 0 4
[Quidway-ui-vty0-4]authentication-modepassword
[Quidway-ui-vty0-4]setauthentication-mode password simple 222
[Quidway-ui-vty0-4]userprivilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugginghdlc all serial0 显示所有信息
[Quidway]debugginghdlc event serial0 调试事件信息
[Quidway]debugginghdlc packet serial0 显示包的信息
静态路由:
[Quidway]iproute-static <ip><mask>{interfacenumber|nexthop}[value][reject|blackhole]
例如:
[Quidway]iproute-static 129.1.0.0 16 10.0.0.2
[Quidway]iproute-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]iproute-static 129.1.0.0 16 Serial 2
[Quidway]ip route-static0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]ripoutput
[Quidway-rip]network1.0.0.0 可以all
[Quidway-rip]network2.0.0.0
[Quidway-rip]peerip-address
[Quidway-rip]summary
[Quidway]ripversion 1
[Quidway]ripversion 2 multicast
[Quidway-Ethernet0]ripsplit-horizon 水平分隔
[Quidway]router idA.B.C.D 配置路由器的ID
[Quidway]ospfenable 启动OSPF协议
[Quidway-ospf]import-routedirect 引入直联路由
[Quidway-Serial0]ospfenable area <area_id> 配置OSPF区域
标准访问列表命令格式如下:
acl<acl-number> [match-order config|auto]默认前者顺序匹配。
rule[normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rulenormal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rulenormal deny source any
扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule{normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination<ip wild>|any}
[operate]
配置ICMP协议的扩展访问列表:
rule{normal|special}{permit|deny}icmp source {<ip wild>|any]destination{<ip wild>|any]
[icmp-code][logging]
扩展访问控制列表操作符的含义
equalportnumber 等于
greater-thanportnumber 大于
less-thanportnumber 小于
not-equalportnumber 不等
range portnumber1portnumber2 区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]ruledeny souce any destination any
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rulepermit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]ruledeny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewallenable
[Quidway]firewalldefault permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewallpacket-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewallenable
[Quidway]firewalldefault permit
[Quidway]acl 101
[Quidway-acl-101]ruledeny ip source any destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rulepermit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rulepermit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewallpacket-filter 101 inbound
[Quidway-Serial0]firewallpacket-filter 102 inbound
[Quidway]nataddress-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rulepermit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]ruledeny source any
[Quidway-acl-1]intserial 0
[Quidway-Serial0]natoutbound 1 address-group pool1
[Quidway-Serial0]natserver global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]natserver global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]natserver global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]natserver global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP验证:
主验方:pap|chap
[Quidway]local-useru2 password {simple|cipher} aaa
[Quidway]interfaceserial 0
[Quidway-serial0]pppauthentication-mode {pap|chap}
[Quidway-serial0]pppchap user u1 //pap时,不用此句
pap被验方:
[Quidway]interfaceserial 0
[Quidway-serial0]ppppap local-user u2 password {simple|cipher} aaa
chap被验方:
[Quidway]interfaceserial 0
[Quidway-serial0]pppchap user u1
[Quidway-serial0]local-useru2 password {simple|cipher} aaa
----------------------------------------------------
H3C路由器配置方案注解
#
version 5.20,Release 1719 //版本信息,自动显示
#
sysname H3C //给设备命名为H3C
#
super passwordlevel 3 cipher 7WC1<3E`[Y)./a!1$H@GYA!! //设置super密码
#
domain defaultenable system
#
telnet serverenable
#
vlan 1
#
domain system
access-limitdisable
state active
idle-cut disable
self-service-urldisable
#
user-group system//从此以上未标注的为默认配置,不用去理解
#
local-user admin//添加用户名为admin的用户
password cipher.]@USE=B,53Q=^Q`MAF4<1!! //设置密码(密文)
authorization-attributelevel 3 //设置用户权限为3级(最高)
service-typetelnet //设置用户的模式为telnet用户
local-user share//从此往下四行同上
password cipher[HM$GH8P1GSQ=^Q`MAF4<1!!
authorization-attributelevel 1
service-type telnet
#
controller E1 0/0//进入E1物理端口(两兆口)
using e1 //设置端口模式为E1(设置后下面会出现interface Serial0/0:0)
#
interface Aux0 //从此以下三行为主控板aux口默认配置
async mode flow
link-protocol ppp
#
interfaceEthernet0/0 //进入E0/0接口(以太网口)
port link-moderoute //配置该接口为路由模式
#
interface Serial0/0:0//进入Serial0/0:0端口(前面用using e1命令后产生,对应E1端口)
link-protocol ppp//配置链路协议为ppp(默认)
ip address74.1.63.170 255.255.255.252 //配置该接口IP地址
#
interface NULL0
#
interfaceVlan-interface1 //lan口vlan地址(lan口地址)
ip address192.168.1.1 255.255.255.0
#
interfaceEthernet0/1
port link-modebridge
#
interfaceEthernet0/2
port link-modebridge
#
interfaceEthernet0/3
port link-modebridge
#
interfaceEthernet0/4
port link-modebridge
#
ip route-static74.1.8.0 255.255.255.0 74.1.63.169 //配置静态路由
#
user-interface aux0
user-interface vty0 4 //进入vty接口(远程登陆接口)0-4通道
authentication-modescheme //配置登陆验证类型为scheme(用户验证型)
user privilegelevel 1 //设置当验证模式不是scheme类型时的登录级别(废配置)
#
return
-----------------------------------------------
H3C路由器基本配置命令
[Quidway]displayversion 显示版本信息
[Quidway]displaycurrent-configuration 显示当前配置
[Quidway]displayinterfaces 显示接口信息
[Quidway]displayip route 显示路由信息
[Quidway]sysnameaabbcc 更改主机名
[Quidway]superpasswrod 123456 设置口令
[Quidway]interfaceserial0 进入接口
[Quidway-serial0]ipaddress <ip><mask>
[Quidway-serial0]undoshutdown 激活端口
[Quidway]link-protocolhdlc 绑定hdlc协议
[Quidway]user-interfacevty 0 4
[Quidway-ui-vty0-4]authentication-modepassword
[Quidway-ui-vty0-4]setauthentication-mode password simple 222
[Quidway-ui-vty0-4]userprivilege level 3
[Quidway-ui-vty0-4]quit
[Quidway]debugginghdlc all serial0 显示所有信息
[Quidway]debugginghdlc event serial0 调试事件信息
[Quidway]debugginghdlc packet serial0 显示包的信息
静态路由:
[Quidway]iproute-static <ip><mask>{interfacenumber|nexthop}[value][reject|blackhole]
例如:
[Quidway]iproute-static 129.1.0.0 16 10.0.0.2
[Quidway]iproute-static 129.1.0.0 255.255.0.0 10.0.0.2
[Quidway]iproute-static 129.1.0.0 16 Serial 2
[Quidway]iproute-static 0.0.0.0 0.0.0.0 10.0.0.2
动态路由:
[Quidway]rip
[Quidway]rip work
[Quidway]rip input
[Quidway]ripoutput
[Quidway-rip]network1.0.0.0 ;可以all
[Quidway-rip]network2.0.0.0
[Quidway-rip]peerip-address
[Quidway-rip]summary
[Quidway]ripversion 1
[Quidway]ripversion 2 multicast
[Quidway-Ethernet0]ripsplit-horizon ;水平分隔
[Quidway]router idA.B.C.D 配置路由器的ID
[Quidway]ospfenable 启动OSPF协议
[Quidway-ospf]import-routedirect 引入直联路由
[Quidway-Serial0]ospfenable area <area_id> 配置OSPF区域
标准访问列表命令格式如下:
acl<acl-number> [match-order config|auto]默认前者顺序匹配。
rule[normal|special]{permit|deny} [source source-addr source-wildcard|any]
例:
[Quidway]acl 10
[Quidway-acl-10]rulenormal permit source 10.0.0.0 0.0.0.255
[Quidway-acl-10]rulenormal deny source any
扩展访问控制列表配置命令
配置TCP/UDP协议的扩展访问列表:
rule{normal|special}{permit|deny}{tcp|udp}source {<ip wild>|any}destination<ip wild>|any}
[operate]
配置ICMP协议的扩展访问列表:
rule{normal|special}{permit|deny}icmp source {<ip wild>|any]destination{<ip wild>|any]
[icmp-code][logging]
扩展访问控制列表操作符的含义
equalportnumber 等于
greater-thanportnumber 大于
less-thanportnumber 小于
not-equalportnumber 不等
range portnumber1portnumber2 区间
扩展访问控制列表举例
[Quidway]acl 101
[Quidway-acl-101]ruledeny souce any destination any
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo
[Quidway-acl-101]rulepermit icmp source any destination any icmp-type echo-reply
[Quidway]acl 102
[Quidway-acl-102]rulepermit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0
[Quidway-acl-102]ruledeny ip source any destination any
[Quidway]acl 103
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp
[Quidway-acl-103]rulepermit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www
[Quidway]firewallenable
[Quidway]firewalldefault permit|deny
[Quidway]int e0
[Quidway-Ethernet0]firewallpacket-filter 101 inbound|outbound
地址转换配置举例
[Quidway]firewallenable
[Quidway]firewalldefault permit
[Quidway]acl 101
[Quidway-acl-101]ruledeny ip source any destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.4 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.1 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.2 0 destination any
[Quidway-acl-101]rulepermit ip source 129.38.1.3 0 destination any
[Quidway]acl 102
[Quidway-acl-102]rulepermit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-102]rulepermit tcp source any destination 202.38.160.1 0 destination-port great-than
1024
[Quidway-Ethernet0]firewallpacket-filter 101 inbound
[Quidway-Serial0]firewallpacket-filter 102 inbound
[Quidway]nataddress-group 202.38.160.101 202.38.160.103 pool1
[Quidway]acl 1
[Quidway-acl-1]rulepermit source 10.110.10.0 0.0.0.255
[Quidway-acl-1]ruledeny source any
[Quidway-acl-1]intserial 0
[Quidway-Serial0]natoutbound 1 address-group pool1
[Quidway-Serial0]natserver global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0]natserver global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0]natserver global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0]natserver global 202.38.160.103 inside 10.110.10.4 smtp udp
PPP验证:
主验方:pap|chap
[Quidway]local-useru2 password {simple|cipher} aaa
[Quidway]interfaceserial 0
[Quidway-serial0]pppauthentication-mode {pap|chap}
[Quidway-serial0]pppchap user u1 //pap时,不用此句
pap被验方:
[Quidway]interfaceserial 0
[Quidway-serial0]ppppap local-user u2 password {simple|cipher} aaa
chap被验方:
[Quidway]interfaceserial 0
[Quidway-serial0]pppchap user u1
[Quidway-serial0]local-useru2 password {simple|cipher} aaa
来源 |通信技术沃
思科与H3C配置命令对比静态路由&OSPF
静态路由:
静态路由(static routing)是指由用户或网络管理员手工配置的路由信息。在早期网络中,网络的规模不大,路由器的数量很少,路由器也相对较小,通常采用手动的方法对每台路由器的路由表进行配置,即静态路由。这种方法适合于在规模较小、路由表也相对简单的网络中使用。它较简单,容易实现,沿用了很长一段时间。
在小规模的网络中,静态路由的优点有两点,一是手动配置,可以精确控制路由选择,改进网络的性能,二是不需要动态路由协议参与,这将会减少路由器的开销,为重要的应用保证带宽。缺点是大型和复杂的网络环境通常不宜采用静态路由。一方面,网络管理员难以全面地了解整个网络的拓扑结构;另一方面,当网络的拓扑结构和链路状态发生变化时,路由器中的静态路由信息需要大范围地调整,这一工作的难度和复杂程度非常高。当网络发生变化或网络发生故障时,不能重选路由,很可能使路由失败。
下面具体来比较思科和H3C关于静态路由的配置命令。
思科静态路由配置如下:
Router(config)#ip route 目的网段 子网掩码 下一跳/出接口
H3C 静态路由配置如下:
[Switch]ip route-static 目的网段 子网掩码 下一跳/出接口
注意:对于接口类型为非点对点的接口,不能够指定出接口,必须指定下一跳地址。
目的IP地址和掩码都为0.0.0.0的路由为默认路由。
OSPF:
OSPF(Open Shortest Path First,开放最短路径优先)是IETF 开发的基于链路状态的自治系统内部路由协议。与距离矢量协议不同,链路状态路由协议使用Dijkstra的最短路径优先算法(SPF)计算和选择路由。这类路由协议关心网络中链路或接口的状态,每个路由器将其已知的链路状态向该区域的其他路由器通告,通过这种方式,网络上的每台路由器对网络结构都会有相同的认识。随后,路由器以其为依据,使用SPF算法计算和选择路由。
OSPF具有如下特点:
适应范围广:支持各种规模的网络,最多可支持几百台路由器。
快速收敛:在网络的拓扑结构发生变化后立即发送更新报文,使这一变化在自治系统中同步。
无自环:由于OSPF根据收集到的链路状态用最短路径树算法计算路由,从算法本身保证了不会生成自环路由。
区域划分:允许自治系统的网络被划分成区域来管理。路由器链路状态数据库的减小降低了内存的消耗和CPU的负担;区域间传送路由信息的减少降低了网络带宽的占用。
等价路由:支持到同一目的地址的多条等价路由。
路由分级:使用4类不同的路由,按优先顺序来说分别是:区域内路由、区域间路由、第一类外部路由、第二类外部路由。
支持验证:支持基于接口的报文验证,以保证报文交互和路由计算的安全性。
组播发送:在某些类型的链路上以组播地址发送协议报文,减少对其他设备的干扰。
下面具体来比较思科和H3C关于静态路由的配置命令。
思科OSPF配置如下:
router(config)#router ospf 进程号 //进入路由协议配置模式
router(config-router)#network 接口网段 反掩码 area 区域号 //宣告网段
show ip ospf neighbor //查看ospf邻居状态
H3C OSPF配置如下:
[Router] ospf 1 //启动OSPF进程
[Router-ospf-1] area 0 //配置OSPF区域
[Router-ospf-1-area-0.0.0.0] network 接口网段 反掩码 //在指定的接口上启动OSPF
[Router] display ospf peer //显示OSPF邻居信息
H3CS9500交换机RPR三层组网功能的配置
H3C S9500交换机RPR三层组网功能的配置
功能需求:
H3C S9500交换机RPR三层组网功能的配置
一、组网需求:
如下组网图中,S9500 A、S9500 B、S9500 C、S9500D属于核心设备,采用RPR技术组成一个RPR环。S9500 E、S9500 F属于接入设备或者汇聚设备,S9500 E和S9500 F通过RPR环进行三层互通。
二、组网图:
RPR三层典型组网图
三、配置步骤:
软件版本:S9500A交换机1250之后的版本
硬件版本:S9500A交换机RPR单板
配置S9500 A设备
1)创建RPR三层转发的VLAN,配置接口IP地址,并且把RPR端口都加入VLAN
[S9500A]vlan 100
[S9500A]interface vlan-interface 100
[S9500A-Vlan-interface100]ip address100.0.0.1 24
[S9500A]interface RprPos5/1/1
[S9500A-RprPos5/1/1]portaccess vlan 100
2)创建业务接入VLAN,配置接口IP地址,并且把接入端口都加入VLAN
[S9500A]vlan 10
[S9500A]interface vlan-interface 10
[S9500A-Vlan-interface10]ip address10.0.0.1 24
[S9500A]interfaceGigabitEthernet1/1/1
[S9500A-GigabitEthernet1/1/1]port accessvlan 10
3)使能OSPF路由协议,并且引入直连路由,使本端路由信息能够发布到对端
[S9500A]ospf
[S9500A-ospf-1]import-routedirect
[S9500A-ospf-1]area 0
[S9500A-ospf-1-area-0.0.0.0]network100.0.0.0 0.0.0.255
配置S9500 C设备
1)创建RPR三层转发的VLAN,配置接口IP地址,并且RPR端口都加入VLAN
[S9500C]vlan 100
[S9500C]interface vlan-interface 100
[S9500C-Vlan-interface100]ip address100.0.0.3 24
[S9500C]interfaceRprPos 5/1/1
[S9500C-RprPos5/1/1]portaccess vlan 100
2)创建业务接入VLAN,配置接口IP地址,并且把接入端口都加入VLAN
[S9500C]vlan 20
[S9500C]interface vlan-interface 20
[S9500C-Vlan-interface20]ip address20.0.0.1 24
[S9500C]interfaceGigabitEthernet2/1/1
[S9500C-GigabitEthernet2/1/1]port accessvlan 20
3)使能OSPF路由协议,并且引入直连路由,使本端路由信息能够发布到对端
[S9500C]ospf
[S9500C-ospf-1]import-routedirect
[S9500C-ospf-1]area 0
[S9500C-ospf-1-area-0.0.0.0]network100.0.0.0 0.0.0.255
RPR环上的S9500 B和S9500 D不需要任何配置,只要RPR端口物理层能够联通即可
四、配置关键点:
RPR在进行组网的时候要注意东向端口与对端的西向端口连接、西向端口与东向端口连接,否则物理端口将会处于DOWN的状态。