H3C MSR系列路由器典型配置举例

MSR系列路由器IKEDPD功能的配置举例

MSR系列路由器IKE DPD功能的配置举例

Copyright ? 2014杭州华三通信技术有限公司版权所有，保留⼀切权利。

⾮经本公司书⾯许可，任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部，

并不得以任何形式传播。本⽂档中的信息可能变动，恕不另⾏通知。

⽬录

1 简介 (1)

2 配置前提 (1)

3 配置举例 (1)

3.1 组⽹需求 (1)

3.2 使⽤版本 (1)

3.3 配置注意事项 (1)

3.4 配置步骤 (1)

3.4.1 Router A的配置 (1)

3.4.2 Router B的配置 (2)

3.5 验证配置 (3)

3.6 配置⽂件 (6)

4 相关资料 (7)

1 简介

本⽂档介绍MSR系列路由器IKE DPD功能的典型配置举例。

2 配置前提

本⽂档不严格与具体软、硬件版本对应，如果使⽤过程中与产品实际情况有差异，请参考相关产品⼿册，或以设备实际情况为准。

本⽂档中的配置均是在实验室环境下进⾏的配置和验证，配置前设备的所有参数均采⽤出⼚时的缺省配置。如果您已经对设备进⾏了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本⽂档假设您已了解IPsec特性。

3 配置举例

3.1 组⽹需求

如图1所⽰，Router A和Router B之间建⽴IPsec连接。要求：在Router A和Router B上都配置DPD 功能进⾏对等体存活状态检测。

图1MSR系列路由器IKE DPD功能的配置组⽹图

3.2 使⽤版本

本举例是在Release 2317版本上进⾏配置和验证的。

7 相关资料

1 简介

本文档介绍IPsec的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例

3.1 组网需求

如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：

•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图

3.2 配置思路

由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本

本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤

3.4.1 Device的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view

[Device] interface gigabitethernet 2/0/1

H3C-MSR路由器配置

路由器作为网络中的重要设备之一，扮演着连接不同网络、实现数

据转发的关键角色。H3C-MSR路由器作为一款功能强大、性能稳定的

产品，被广泛应用于各种规模的网络中。为了使H3C-MSR路由器能够正常工作并满足网络需求，正确的配置是至关重要的。本文将详细介

绍H3C-MSR路由器的配置方法，帮助用户快速上手。

一、基本配置

1. 连接路由器

首先，使用网线将H3C-MSR路由器的Console接口与计算机的串

口相连。然后，使用串口终端工具，如SecureCRT等，通过串口连接

到路由器。打开终端工具后，选择正确的串口号和波特率，确保与路

由器连接成功。

2. 登录路由器

成功连接到路由器后，输入登录用户名和密码，即可登录路由器的

命令行界面。默认的用户名为admin，密码为空。为了提高安全性，建议用户在首次登录后立即修改密码。

3. 设定主机名

在路由器命令行界面下，通过以下命令来为路由器设定一个主机名：configure terminal

hostname <主机名>

exit

二、接口配置

1. 配置接口IP地址

为了使路由器能够与其他设备进行通信，需要为其配置IP地址。假设要为接口GigabitEthernet 0/0/1配置IP地址为192.168.1.1，子网掩码为255.255.255.0，可以在命令行界面下执行以下命令：interface GigabitEthernet 0/0/1

ip address 192.168.1.1 255.255.255.0

2. 配置接口描述

h3cMSR20-20路由配置实例

#

version 5.20, Release 1809P01, Basic

#

sysname H3C

#

nat address-group 1 10.19.66.2 10.19.66.254 #

domain default enable system

#

dns server 19.104.8.3

#

dar p2p signature-file cfa0:/p2p_default.mtd #

port-security enable

#

time-range work 00:00 to 12:00 working-day time-range work 14:00 to 23:59 working-day #配置 acl

acl number 3001

rule 1 permit ip source 192.168.0.3 0

rule 2 permit ip source 192.168.0.4 0

rule 3 permit ip source 192.168.0.5 0

rule 4 permit ip source 192.168.0.6 0

rule 5 permit ip source 192.168.0.7 0

rule 6 permit ip source 192.168.0.8 0

rule 7 permit ip source 192.168.0.9 0

rule 8 permit ip source 192.168.0.10 0

rule 9 permit ip source 192.168.0.11 0 rule 10 permit ip source 192.168.0.12 0 rule 11 permit ip source 192.168.0.15 0 rule 12 permit ip source 192.168.0.19 0 rule 13 permit ip source 192.168.0.22 0 rule 14 permit ip source 192.168.0.23 0 rule 15 permit ip source 192.168.0.29 0 rule 16 permit ip source 192.168.0.31 0 rule 17 permit ip source 192.168.0.33 0 rule 18 permit ip source 192.168.0.34 0 rule 19 permit ip source 192.168.0.35 0 rule 20 permit ip source 192.168.0.38 0 rule 21 permit ip source 192.168.0.44 0 rule 22 permit ip source 192.168.0.45 0 rule 23 permit ip source 192.168.0.55 0 rule 24 permit ip source 192.168.0.59 0 rule 25 permit ip source 192.168.0.60 0 rule 26 permit ip source 192.168.0.63 0 rule 27 permit ip source 192.168.0.67 0 rule 28 permit ip source 192.168.0.79 0 rule 29 permit ip source 192.168.0.81 0 rule 30 permit ip source 192.168.0.90 0 rule 31 permit ip source 192.168.0.91 0 rule 32 permit ip source 192.168.0.110 0 rule 33 permit ip source 192.168.0.111 0 rule 34 permit ip source 192.168.0.112 0 rule 35 permit ip source 192.168.0.113 0 rule 36 permit ip source 192.168.0.114 0 rule 37 permit ip source 192.168.0.115 0 rule 38 permit ip source 192.168.0.116 0

H3C-MSR800路由器配置说明H3C-MSR800路由器配置说明

1、引言

1.1 目的

1.2 读者对象

1.3 参考资料

2、准备工作

2.1 硬件准备

2.2 软件准备

2.3 连接设置

3、路由器基本配置

3.1 登录路由器

3.2 密码配置

3.3 系统基本配置

3.4 接口配置

3.5 路由配置

4.1 IP地质配置

4.2 子网掩码配置

4.3 网关配置

4.4 DNS配置

4.5 NAT配置

5、路由器安全配置

5.1 访问控制列表（ACL）配置

5.2 防火墙配置

5.3 用户认证配置

5.4 安全策略配置

6、功能配置

6.1 VLAN配置

6.2 QoS配置

6.3 VPN配置

6.4 动态主机配置协议（DHCP）配置 6.5 虚拟路由器冗余协议（VRRP）配置

7.1 SNMP配置

7.2 日志配置

7.3 命令行接口（CLI）配置

7.4 图形用户界面（GUI）配置

8、故障排除

8.1 故障排除工具和命令

8.2 常见问题及解决方法

9、附件

- H3C-MSR800路由器安装手册

- H3C-MSR800路由器用户手册

注释：

- IP地质：Internet Protocol Address的缩写，指网络上的设备的唯一标识符。

- 子网掩码：用于划分网络地质和主机地质的掩码。

- 网关：支持不同子网之间通信的设备或系统。

- DNS：Domn Name System的缩写，用于将域名映射为IP地质的系统。

- NAT：Network Address Translation的缩写，用于在不同网络之间转换IP地质。

- ACL：Access Control List的缩写，用于限制网络中的数据流动。

7 相关资料

1 简介

本文档介绍IPsec的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例

3.1 组网需求

如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：

•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图

3.2 配置思路

由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本

本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤

3.4.1 Device的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[Device] interface gigabitethernet 2/0/1

H3C MSR系列路由器作为TFTP client升级版本的典型配置举例(V7)

Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，

并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目录

1 简介 (1)

2 配置前提 (1)

3 配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (1)

3.3 使用版本 (1)

3.4 配置注意事项 (1)

3.5 配置步骤 (2)

3.5.1 Host的配置 (2)

3.5.2 Router的配置 (2)

3.6 验证配置 (4)

3.7 配置文件 (5)

4 相关资料 (5)

1 简介

本文档介绍使用TFTP方式升级集中式路由器软件版本的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解TFTP的特性。

3 配置举例

3.1 组网需求

如图1所示，Host连接Router的GigabitEthernet0/0接口，Router作为TFTP客户端，Host作为TFTP 服务器。

现要求：通过TFTP方式为Router升级软件版本。

图1配置组网图

3.2 配置思路

H3C MSR 路由器 VLAN 配置

本文档旨在为用户提供H3C MSR 路由器VLAN配置的详细指南。以下是各个章节的详细细化内容：

1.章节一：引言

1.1 概述

1.2 目的

1.3 适用范围

2.章节二：相关概念

2.1 VLAN概述

2.2 VLAN标识

2.3 VLAN划分方式

3.章节三：H3C MSR 路由器VLAN配置步骤

3.1 配置VLAN接口

3.1.1 查看接口列表

3.1.2 创建VLAN接口

3.1.3 配置接口类型和参数

3.2 配置VLAN绑定

3.2.1 查看VLAN绑定状态

3.2.2 绑定接口至VLAN

3.2.3 配置接口上的VLAN参数

3.3 配置VLAN间路由

3.3.1 创建VLAN间的IP路由

3.3.2 配置VLAN间的静态路由

3.3.3 配置VLAN间的动态路由协议

4.章节四：故障排除

4.1 VLAN配置验证

4.2 VLAN通信故障排查

5.章节五：常见问题与解答

5.1 VLAN名称重复如何处理

5.2 VLAN间通信异常如何排查

6.章节六：附录

6.1 附件一：示例配置文件

6.2 附件二：常用命令参考

以上是本文档的主要章节内容。请注意，本文中涉及到的法律名词及注释如下：

1.VLAN (Virtual Local Area Network) - 虚拟局域网，是一种将物理上分散的设备通过逻辑手段组织起来的网络技术。

2.IP (Internet Protocol) - 互联网协议，是一种用于在网络中进行数据传输的协议。

3.路由器 - 是一种计算机网络设备，用于将数据包从一个网络传输到另一个网络。

MSR系列路由器VRRP功能配置

关键字：MSR;VRRP

一、组网需求

PCA把RTA和RTB组成的VRRP备份组作为自己的缺省网关，访问PCB。按照

组网环境接好线，并在路由器和主机上配置好IP地址和掩码信息。其中，主机PCA的网关要配置成202.38.160.11。

二、组网图

设备清单：MSR路由器2台

PC机2台

三、配置步骤

RTA 配置

#

sysname RTA

#

interface GigabitEthernet0/0

ip address 202.38.160.1 255.255.255.0

vrrp vrid 1 virtual-ip 202.38.160.11//配置虚拟网关地址

vrrp vrid 1 priority 110//设置路由器在备份组中的优先级为110 vrrp vrid 1 preempt-mode timer delay 5//设置抢占方式下的延迟时间

#

interface GigabitEthernet0/1

ip address 1.1.1.1 255.255.255.0

#

RTB 配置

#

sysname RTB

#

interface GigabitEthernet0/0

【此文档部分内容来源于网络，如有侵权请告知删除，本文档可自行编辑和修改内容，感谢您的支持！】

[MSR20-20]aclnumber3000

[MSR20-20-acl-adv-3000]rule0permitip

4、配置外网接口（ Ethernet0/1 ）

[MSR20-20]interfaceEthernet0/1

[MSR20-20-Ethernet0/1]ipadd 公网IP

[MSR20-20-Ethernet0/1]natoutbound3000address-group15．加默缺省路由

[MSR20-20]route-stac 外网网关

总结：

在2020路由器下面,

配置外网口,

配置内网口,

配置acl 作nat,

一条默认路由指向电信网关.ok!

Console登陆认证功能的配置

要点词：MSR;console;

一、组网需求：

要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。

二、组网图：

三、配置步骤：

设备和版本：MSR系列、version,R1508P02

RTA要点配置脚本

#

3c3c

3c3c

3c3c

rule1deny

#

interfaceGigabitEthernet0/0 portlink-moderoute

四、配置要点点：

1）地址池要连续；

2）在出接口做变换；

3）默认路由一般要配置。

DHCPSERVER功能的配置

要点字：MSR;DHCP;基础配置

一、组网需求：

MSR1作为DHCP服务器为网段中的客户端动向分配IP地址，

该地址池网段分为两个子网网段：和。路由器的两个以太网接口G0/0和G0/1

的地址分别为和。网段内的地址租用限时为10天12小时，域名为3c，DNS服务器地址为，NBNS 服务器地址为，出口网关的地址为。网段内的地址租用限时为5天，域名为3c，DNS服务器地址为，无NBNS服务器地址，出口网关的地址为。

光纤链路排错经验

一、组网：

用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。组网如下图所示：

二、问题描述：

PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。

三、过程分析：

想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转

接到主干光纤，然后再通过核心跳线转接到核心交换上。由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。最后再检测主线路部分，检测方式同跳线一样。光路走向流程如图所示：

四、解决方法：

从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。由此可以判断出主要问题在两端的跳纤上。

H3C MSR 路由器VLAN 配置

第1章 VLAN配置

VLAN简介

VLAN概述

以太网是一种基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，载波侦听多路访问/冲突检测）的共享通讯介质的数据网络通讯技术，当主机数目较多时会导致冲突严重、广播泛滥、性能显着下降甚至使网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突（Collision）严重的问题，但仍然不能隔离广播报文。在这种情况下出现了VLAN（Virtual Local Area Network，虚拟局域网）技术，这种技术可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，如图1-1所示。

图1-1 VLAN示意图

VLAN的划分不受物理位置的限制：不在同一物理位置范围的主机可以属于同一个VLAN；一个VLAN 包含的用户可以连接在同一个交换机上，也可以跨越交换机，甚至可以跨越路由器。

VLAN的优点如下：

限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。

增强局域网的安全性。VLAN间的二层报文是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需通过路由器或三层交换机等三层设备。

灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。

H3C路由器高级ACL配置案例

1. 组网需求

禁止计算机通过TELNET登陆到路由器，路由器的Ethernet0/0端口IP为192.168.0.1/24，计算机的IP为192.168.0.2/24。

2. 组网图

图1-1 访问控制典型配置举例

3. 配置步骤

(1) 路由器以太网地址

<H3C> system-view

[H3C] int e0/0

[H3C-interface0/0] ip add 192.168.0.1 24

[H3C]user-interface vty 0

[H3C-ui-vty0]authentication password

[H3C-ui-vty0]set authentication password simple 123456

[H3C-ui-vty0]user privilege level 3

(2) 定义ACL

# 进入ACL3000视图。

[H3C] acl number 3000

# 定义访问规则。

[H3C-acl-adv-3000] rule deny tcp source 192.168.0.2 0 destination 192.168.0.1 0 destination-port eq 23

[H3C-acl-adv-3000] quit

(3) 在路由器上启动防火墙功能

[H3C] firewall enable

(4) 在端口上应用ACL

# 在端口上应用ACL 3000。

[H3C] interface ethernet0/0

[H3C-Ethernet0/0] firewall packet-filter 3000 inbound

MSR路由器PPPoE配置示例

1.配置示例图：

2.PPPoE-Server配置：

<PPPoE-Server>display current-configuration

#

version 7.1.075, Alpha 7571

#

sysname PPPoE-Server

#

ip pool pppoe 121.48.47.2 121.48.47.6 //为PPPoE客户端分配IP地址

#

dhcp enable

#

interface Virtual-Template1

ppp authentication-mode pap domain system //客户端的验证方式

remote address pool pppoe //指定为远端（PPPoE客户端）分配IP地址

ip address 121.48.47.1 255.255.255.248

dns server 8.8.8.8 //为对端分配DNS地址

#

interface NULL0

#

interface GigabitEthernet0/0

port link-mode route

combo enable copper

pppoe-server bind virtual-template 1 //应用到接口并绑定虚拟木模板1 #

domain system

authentication ppp local //PPPoE认证方式为本地址认证

#

local-user pppoe class network //创建用于PPPoE认证的本地用户

password cipher pppoe