h3c UTM内部服务器映射配置

UTM开局预配置(三层)（1）拓扑：(2) U200-S运行于UTM模式[H3C]startup utm[H3C](3) 接口模式G0/0、G0/1、G0/2、Eth0/0均为三层接口Eth0/0的IP地址设置为10.254.254.1/24（必须设为该地址）。

系统管理> 接口管理> 指定接口操作栏中修改本接口按钮（4）安全域G0/0、Eth0/0置于Management域G0/1置于root设备Trust域G0/2置于root设备Untrust域Web页面“系统管理> 安全域管理> 指定安全域操作栏中编辑安全域按钮”(5) 配置ACL创建三个ACL：一个用于内网访问Internet时进行NAT（规则的源IP为内网IP网段）一个用于i-ware的对外访问（规则的源IP为10.254.254.2/32）一个用于深度安全策略（两条规则：源IP或目的IP为内网IP网段）●“策略管理> ACL > 新建> 输入访问控制列表ID号（2000~3999）>点击<确定>”●已创建ACL“操作”栏中“详细资料> 新建> 输入‘规则ID’”●选择“操作”；●对于基本ACL，输入“源IP地址”和“源地址通配符”(可选)，对于高级ACL选择协议、配置源IP地址/源地址通配符（可选）、配置目的IP地址/目的地址通配符（可选）、配置源操作/端口（可选，基于协议选择）、配置目的操作/端口（可选，基于协议选择）、点击<确定>；(6) 配置NAT包括：内网用户访问Internet时的NAT；i-ware更新特征库时的NAT；以及对i-ware 进行配置管理时的NAT Server。

“策略管理> 地址转换策略> 地址转换> 新建> 选择接口（G0/2）”，输入acl 号，地址转换方式选择Easy IP > 点击<确定>。

H3C路由器设置1. 端口映射如某公司内网有做游戏或者其他服务机器，需要外网的机器访问时，需要设置端口映射内部机器:192.168.2.223外网IP:61.190.38.198需要做端口映射:在NAT配置中设置2. 内网中的PC通过域名访问内部的服务器内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1)命令配置:Acl number 3400Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination192.168.3.2 0destination-port eg 80Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination192.168.3.2 0destination-port eg 3777Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0destination-port eg 80Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0destination-port eg 3777Interface vlan-interface 3Nat outbound 3400注:acl的子网掩码和子网掩码是相反的，192.168.1.0/24的子网掩码是255.255.255.0则acl的子网掩码是0.0.0.2553. IP和MAC地址绑定防止ARP欺骗1) arp扫描:ARP防攻击2) 固化4. 互联网访问控制1) 设置时间注:1-2、2-1无内置电池，设备重启后时间恢复成2007年1月1日。

华为路由器配置端口映射华为的这个路由器，在指定outside 和inside的端口有一点不一样，希望对大家有帮助，不走弯路！Quidway#show runNow create configuration...Current configuration!version 1.66enable password ,Y@JM,UXNZL0XaLTV.U4*!!!access-list normal 100 permit ip 10.0.0.0 0.255.255.255 any!interface Aux0async mode interactiveencapsulation ppp!interface Ethernet0 #inside port#speed autoduplex autono loopbackip address 10.0.0.2 255.255.255.0!interface Ethernet1 #outside port#speed autoduplex autono loopbackip address 192.168.0.198 255.255.255.0nat inside 100 interface #通过这个命令帮定访问列表和地址池在外部端口上#!interface Serial0encapsulation ppp!exitip route 0.0.0.0 0.0.0.0 192.168.0.254 preference 60!endQuidway#NAT的配置任务列表如下：1. 配置地址池2. 配置访问控制列表和地址池的关联3. 配置访问控制列表和接口的关联（EASY IP特性）4. 配置内部服务器增加一个内部服务器（1 ）提权SYS（2 ）进网卡inter Eth 0/0/1（3 ） NAT[Quidway-Ethernet0/1]nat server protocol tcp global XXXXX 80 inside 192.168.1.31 80（4）保存save（5） LOOK[Quidway-Ethernet0/1]dis currnat serverglobal global-addr [ global-port] inside inside-addrinside-port protocol例子： 202.38.160.101-103为公网IP设置内部FTP服务器Quidway(config-if-Serial0)# nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp！设置内部WWW服务器1Quidway(config-if-Serial0)# nat server global 202.38.160.102 inside 10.110.10.2 www tcp！设置内部WWW服务器2Quidway(config-if-Serial0)# nat server global 202.38.160.102 8080 inside10.110.10.3 www tcp！设置内部SNMP服务器Quidway(config-if-Serial0)# nat server global 202.38.160.103 inside 10.110.10.4 snmp udpnat server protocol tcp global 218.80.xx 65534 inside 192.168.0.243 65534 nat server global 218.80.xx 65534 inside 192.168.0.243 65534 tcp删除一条规则undo nat s g ip prot inside ip prot tcp。

H3C SecPath UTM系列NAT典型配置举例关键词：NAT NAPT摘要：NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。

这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

缩略语：缩略语英文全名中文解释NAPT Network Address Port Translation 网络地址端口转换网络地址转换TranslationNAT NetworkAddress目录1 特性简介 (1)1.1 多对多地址转换及地址转换的控制 (1)1.2 NAPT (1)1.3 Easy IP (2)1.4 内部服务器 (2)2 应用场合 (2)3 注意事项 (2)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (3)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置域和域间策略 (5)4.4.3 配置地址池 (7)4.4.4 配置动态地址转换 (7)4.4.5 配置静态地址转换 (8)4.4.6 配置内部服务器 (9)4.5 验证结果 (9)4.5.1 PAT方式 (9)4.5.2 NO PAT方式 (10)4.5.3 Easy IP方式 (10)4.5.4 静态地址方式 (10)4.5.5 内部服务器方式 (11)5 相关资料 (11)5.1 相关协议和标准 (11)5.2 其它相关资料 (12)1 特性简介NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在因特网上全球唯一的IP地址。

RFC 1918为私有网络预留出了三个IP地址块，如下：z A类：10.0.0.0～10.255.255.255z B类：172.16.0.0～172.31.255.255z C类：192.168.0.0～192.168.255.255上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。

UTM内部效劳器(NAT Server)典型配置1 配置举例外网访问私网的效劳器一、组网需求某公司内部对外提供FTP效劳，公司内部网址为。

其中，内部FTP效劳器地址为。

公司拥有至三个IP 地址。

需要实现如下功能：外部的主性能够访问内部的效劳器。

选用作为公司对外的接口IP地址，FTP效劳器利用作为对外的IP地址二、组网图具体配置可通过命令行或WEB方式进行配置：3、命令行配置（接口已经配置IP地址，并加入平安域）# 配置访问操纵列表。

//概念内网流量<U200A> system-view[U200A] acl number 3010[U200A-acl-adv-3010] rule permit ip source quit# 配置NAT转换。

//概念内网用户访问外网时需要将源地址转换为G0/1的地址[U200A] interface inter GigabitEthernet 0/1[U200A-GigabitEthernet0/1] nat outbound 3010#配置内部FTP效劳器。

//概念内网效劳器被外网用户访问时将地址转换成nat server protocol tcpglobal ftp inside ftp4、WEB配置# 配置访问操纵列表ACL 3010。

在导航栏被选择“策略治理> ACL”，新建ID为3010的ACL，配置许诺源IP地址为“，通配符为“的流通过。

#配置动态地址转换在导航栏被选择“策略治理> 地址转换策略> 动态地址转换”，在对外的接口g0/1上引用ACL3010。

注：如上采纳Easy-IP方式，即直接利用该接口的IP地址作为转换后的公网地址。

也能够在该接口上配置ACL3010和NAT地址池（）相关联（在“对象治理”中配置），即PAT 方式，符合ACL规那么的报文的源IP地址能够利用地址池中的地址进行地址转换。

#配置内部FTP效劳器，选择“策略治理>地址转换策略>内部效劳器”，在对外的接口g0/1上配置FTP 效劳器的地址转换。

UTM系列PPPoE典型配置举例关键词：PPPoE摘要：PPPoE拨号功能通常用于ADSL接入。

用户通过此方式可以访问公网资源。

缩略语：缩略语英文全名中文解释PPPoE Point-to-Point Protocol over Ethernet 点对点协议目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (3)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置域和域间策略 (5)4.4.3 配置PPPoE (7)4.4.4 配置出接口NAT (8)4.5 验证结果 (8)4.5.1 配置PPPoE验证结果 (8)5 相关资料 (9)5.1 其它相关资料 (9)1 特性简介PPP（Point to Point Protocol）协议是在点到点链路上承载网络层数据包的一种链路层协议，由于它能够提供用户验证、易于扩充，并且支持同/异步通信，因而获得广泛应用。

PPP定义了一整套的协议，包括链路控制协议（LCP）、网络层控制协议（NCP）和验证协议（PAP 和CHAP）。

z链路控制协议（Link Control Protocol，LCP）：主要用来建立、拆除和监控数据链路。

z网络控制协议（Network Control Protocol，NCP）：主要用来协商在该数据链路上所传输的数据包的格式与类型。

z用于网络安全方面的验证协议族PAP和CHAP。

2 应用场合主要用于中小企业ADSL宽带接入服务。

用户通过UTM设备的PPPoE拨号功能接入ADSL网络，可以访问公网的网络资源。

3 注意事项在接口管理中只能创建Dialer口，但是Dialer口的参数（例如账号、密码、绑定的接口信息等）需要在PPPoE的Web页面进行配置。

4 配置举例4.1 组网需求图1PPPoE拨号组网图4.2 配置思路z为GE0/2所在的局域网（内网）接口配置地址为2.1.1.1/24，在Trust域。

h3c网络管理和监控配置指导-镜像配置7第2页1.3.2 配置远程源镜像组远程源镜像组需要配置源端口以及远程镜像VLAN。

表1-2配置远程源镜像组操作命令说明进入系统视图system-view-创建远程源镜像组mirroring-group group-id remote-source 必选在系统视图下配置源端口mirroring-group group-id mirroring-port mirroring-port-list { both | inbound | outbound }interface interface-type interface-number [ mirroring-group group-id ] mirroring-port { both | inbound | outbound }为镜像组配置源端口在接口视图下配置源端口quit 二者必选其一用户可以在系统视图下同时配置多个源端口，也可以在具体的接口视图下配置源端口，两种视图下的配置效果相同为镜像组配置远程镜像VLAN mirroring-group group-id remote-probevlan rprobe-vlan-id必选z请不要将源端口加入到远程镜像VLAN，否则会影响设备的性能。

z配置远程镜像VLAN时，要求该VLAN已经存在并且为静态VLAN。

当配置VLAN为远程镜像VLAN后，不能直接删除该VLAN，必须先删除远程镜像VLAN的配置才能够删除这个VLAN。

如果组生效后，VLAN被删除，那么组也将失效。

z建议远程镜像VLAN不用做其它用途，仅用于远程镜像。

z一个端口只能在一个镜像组中被配置，同一个VLAN只能被一个镜像组使用。

z建议用户不要在目的端口上使能STP、MSTP或RSTP，否则会影响镜像功能的正常使用。

1.3.3 配置远程目的镜像组远程目的镜像组需要配置远程镜像VLAN和目的端口。

表1-3配置远程目的镜像组操作命令说明进入系统视图system-view -创建远程目的镜像组mirroring-group group-id remote-destination 必选为镜像组配置远程镜像VLAN mirroring-group group-id remote-probe vlanrprobe-vlan-id必选操作命令说明在系统视图下配置目的端口mirroring-group group-id monitor-port monitor-port-idinterface interface-type interface-number [ mirroring-group group-id ] monitor-port为镜像组配置目的端口在接口视图下配置目的端口quit 二者必选其一两种视图下的配置效果相同进入目的接口视图interface interface-type interface-number-目的端口为Access端口port access vlan rprobe-vlan-id目的端口为Trunk 端口port trunk permit vlan rprobe-vlan-id将目的端口加入远程镜像VLAN目的端口为Hybrid端口port hybrid vlan rprobe-vlan-id { tagged |untagged }三者必选其一1.4 端口镜像显示和维护在完成上述配置后，在任意视图下执行display命令可以显示配置后镜像组的运行情况，通过查看显示信息验证配置的效果。

H3C SecPath UTM系列配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对设备进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (1)2 应用场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组网需求 (1)4.2 配置思路 (1)4.3 使用版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 配置管理 (4)4.5 验证结果 (7)4.5.1 配置保存 (7)4.5.2 配置备份 (7)4.5.3 配置恢复 (7)4.5.4 恢复出厂配置 (7)4.5.5 软件升级 (7)4.5.6 设备重启 (7)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 备份恢复时，若文件名与当前系统的配置文件名不同，需要修改一下。

(3) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，UTM设备使用的是UTM200-S。

图4-1配置管理组网图4.2 配置思路GE0/1所在的局域网（内网）接口配置地址为2.1.1.1/24，在Trust域。

4.3 使用版本<H3C>display versionH3C Comware Platform SoftwareComware Software, Version 5.20, Beta 5112Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C SecPath U200-S uptime is 0 week, 3 days, 15 hours, 25 minutesCPU type: RMI XLS404 800MHz CPU512M bytes DDR2 SDRAM Memory32M bytes Flash MemoryPCB Version:Ver.BLogic Version: 3.0Basic BootWare Version: 1.21Extend BootWare Version: 1.21[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)3.0[SUBCARD 1] The SubCard is not present4.4 配置步骤4.4.1 基本配置1. 配置接口IP地址z在左侧导航栏中点击“设备管理 > 接口管理”。

本文主要向大家介绍了对于华为3com路由器的端口如何进行映射设置，具体进行怎样的操作呢？下面的文章给出了详细配置步骤和命令操作。

本文介绍了华为3com路由器的端口映射的方法，并且给出了详细的操作步骤和命令语句，相信看完此文会对具体配置有详细的了解。

********************************************************************************* Copyright(c) 2004-2006 Hangzhou Huawei-3Com Tech. Co., Ltd. ** Without the owner''''s prior written consent, ** no decompiling or reverse-engineering shall be allowed. *********************************************************************************Login authenticationUsername:adminPassword:<H3C>dis int <-(预示端口状况)Ethernet1/0 current state :UPLine protocol current state :UPDescription : Ethernet1/0 InterfaceThe Maximum Transmit Unit is 1500, Hold timer is 10(sec)Internet Address is 218.206.191.49 <---(找到公网地址的端口)IP Sending Frames'''' Format is PKTFMT_ETHNT_2, Hardware address is000f-e24b-90c1Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s, Full-duplex, link type is autonegotiationOutput flow-control is disabled, input flow-control is disabledOutput queue : (Urgent queuing : Size/Length/Discards) 0/50/0Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0Last clearing of counters: NeverLast 300 seconds input rate 76409.96 bytes/sec, 611279 bits/sec, 221.16 packets/secLast 300 seconds output rate 169645.62 bytes/sec, 1357165 bits/sec, 217.84 packets/secInput: 84913558 packets, 1899317081 bytes, 84913558 buffers1556505 broadcasts, 124223 multicasts, 0 pauses374 errors, 0 runts, 0 giants0 crc, 0 align errors, 374 overruns0 dribbles, 0 drops, 0 no buffersOutput:73691649 packets, 1323897889 bytes, 73691649 buffers19084 broadcasts, 0 multicasts, 0 pauses0 errors, 0 underruns, 0 collisions0 deferred, 0 lost carriers<H3C>sys <--(步入体系视图）[H3C]int e1/0[H3C]nat server protocol tcp global 218.206.191.49 www inside 192.168.1.96 www [H3C]nat server protocol tcp global 218.206.191.49 22 inside 192.168.1.96 22 [H3C]nat server protocol udp global 218.206.191.49 snmp inside 192.168.1.96 snmp[H3C]nat server protocol udp global 218.206.191.49 snmptrap inside 192.168.1.96 snmptrap <--(一看就大白tcp/udp是以及谈，www是80,snmp以及snmptrap是161.162端口)[H3C]dis thellosinterface Ethernet1/0ip address 218.206.191.49 255.255.255.248firewall packet-filter 3000 inboundnat outbound 3001 <--(这是客户上彀用的地址池不消管，其它的就是端口照射了) nat server protocol tcp global 61.178.77.9 www inside 192.168.1.96 wwwnat server protocol tcp global 61.178.77.9 22 inside 192.168.1.96 22nat server protocol udp global 61.178.77.9 snmp inside 192.168.1.96 snmp nat server protocol udp global 61.178.77.9 snmptrap inside 192.168.1.96 snmptrap思科网络的端口照射原理是同样的号令纷歧样罢了，这搭只给出配备布置。

H3C路由器设置概述H3C路由器是一种常用的网络设备，用于实现局域网和广域网之间的数据传输。

本文档将介绍如何进行H3C路由器的基本设置和配置。

硬件连接在进行H3C路由器的设置之前，确保已正确连接硬件设备。

以下是常见的硬件连接步骤：1.通过网线将H3C路由器的WAN口与外部网络连接，例如将WAN口连接到宽带调制解调器或其他网络设备。

2.使用网线将H3C路由器的LAN口与计算机或其他局域网设备连接。

登录路由器1.打开你的计算机的网络连接，并确保与H3C路由器连接的网线正常工作。

2.打开一个浏览器，输入H3C路由器的默认网关地址（一般为192.168.1.1或192.168.0.1）。

3.在浏览器中按下回车键后，将显示H3C路由器的登录页面。

4.输入默认的用户名和密码进行登录。

常见的默认用户名和密码是admin/admin或者root/admin。

如果你不确定，请参考H3C路由器的用户手册或者咨询网络管理员。

路由器基本设置完成登录后，可以进行以下基本设置：修改管理员密码为了保护路由器的安全，需要修改默认的管理员密码。

以下是修改管理员密码的步骤：1.在路由器的管理界面中，找到“系统管理”或“设置”选项。

2.点击“密码”或“管理员密码”选项。

3.输入当前的管理员密码。

4.输入新的管理员密码，并确认新密码。

5.点击“保存”或“应用”按钮以保存修改后的密码。

设置路由器名称为了便于识别和管理，可以设置一个自定义的路由器名称。

以下是设置路由器名称的步骤：1.在路由器的管理界面中，找到“系统管理”或“设置”选项。

2.点击“设备名称”或“路由器名称”选项。

3.输入新的路由器名称。

4.点击“保存”或“应用”按钮以保存修改后的路由器名称。

配置IP地址和子网掩码路由器需要一个IP地址和子网掩码才能与其他设备通信。

以下是配置IP地址和子网掩码的步骤：1.在路由器的管理界面中，找到“网络设置”或“LAN设置”选项。

2.点击“IP地址设置”或“IP配置”选项。

H3CSecPathUTM系列特征库升级典型配置举例H3C SecPath UTM系列特征库升级典型配置举例关键词：特征库摘要：本⽂主要描述了UTM设备特征库升级的典型配置⽅法。

缩略语：缩略语英⽂全名中⽂解释UTM Unified Threat Management 统⼀威胁管理AV Anti-virus 防病毒IPS Intrusion prevention system ⼊侵防御系统⽬录1 特性简介 (1)2 应⽤场合 (1)3 注意事项 (1)4 配置举例 (1)4.1 组⽹需求 (1)4.2 配置思路 (2)4.3 使⽤版本 (2)4.4 配置步骤 (2)4.4.1 基本配置 (2)4.4.2 主要配置步骤 (3)4.5 验证结果 (5)5 相关资料 (5)5.1 其它相关资料 (5)1 特性简介特征库记录了设备可识别的攻击特征、病毒特征等，因此对于安全设备来说，必须保证特征库能够实时的更新升级，以保证它总是最新版本。

特征库的升级分为⼿动升级和⾃动升级：z⾃动升级可以帮助⽤户每隔指定的时间，使⽤特定的协议从特定的特征库版本服务器获取当前最新的特征库到设备。

z⼿动升级允许⽤户在需要的时候⼿动进⾏升级，⽤户可以⼿动设定获取特征库的协议、服务器地址和特征库⽂件名称，并且⼿动升级可以获取与设备兼容的任意⼀个版本的特征库。

⼿动升级⼀般是在⽤户的局域⽹内进⾏的。

2 应⽤场合运⾏在⽹络中的UTM设备启⽤了IPS和AV的功能，需要及时更新特征库3 注意事项要更新升级特征库，必须保证当前的License⽂件合法，并且在有效期限内。

主要配置步骤中的配置是在“应⽤安全策略”界⾯进⾏的，在左侧导航栏中点击“IPS|AV|应⽤控制 > ⾼级设置”，点击“应⽤安全策略”链接就可以进⼊“应⽤安全策略”界⾯。

4 配置举例4.1 组⽹需求某公司的内⽹⽹段为192.168.1.0/24，通过GE0/2连接到外⽹。

⽤户登录UTM的内⽹或外⽹接⼝地址，可以对UTM进⾏⼿动特征库升级操作；设置⾃动升级后，UTM会按照设定的时间⾃动进⾏特征库升级。

H3C各种型号交换机端口镜像配置方法总结一、端口镜像概念：Port Mirror(端口镜像）是用于进行网络性能监测。

可以这样理解：在端口A 和端口B 之间建立镜像关系，这样，通过端口A 传输的数据将同时复制到端口B ，以便于在端口B 上连接的分析仪或者分析软件进行性能分析或故障判断。

二、端口镜像配置『环境配置参数』1. PC1接在交换机E0/1端口，IP地址1.1.1.1/242. PC2接在交换机E0/2端口，IP地址2.2.2.2/243. E0/24为交换机上行端口4. Server接在交换机E0/8端口，该端口作为镜像端口『组网需求』1. 通过交换机端口镜像的功能使用server对两台pc的业务报文进行监控。

2. 按照镜像的不同方式进行配置：1) 基于端口的镜像2) 基于流的镜像2 数据配置步骤『端口镜像的数据流程』基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

【3026等交换机镜像】S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一1. 配置镜像（观测）端口[SwitchA]monitor-port e0/82. 配置被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2方法二1. 可以一次性定义镜像和被镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 【8016交换机端口镜像配置】1. 假设8016交换机镜像端口为E1/0/15，被镜像端口为E1/0/0，设置端口1/0/15为端口镜像的观测端口。

[SwitchA] port monitor ethernet 1/0/152. 设置端口1/0/0为被镜像端口，对其输入输出数据都进行镜像。

H3C防火墙路由器配置公网静态IP上网H3C配置2011-01-12 08:28:11 阅读140 评论0 字号：大中小订阅【杭州IT外包服务】【杭州硬盘数据恢复】【杭州电脑维修】【杭州笔记本维修】system-viewdns server enabledns server x.x.x.x //设置DNS地址firewall packet-filter enablefirewall packet-filter default permitquitinterface Ethernet0/0 // 内网接口地址ip address 192.168.1.1 255.255.255.0quitinterface Ethernet0/1ip address x.x.x.x x.x.x.x //公网IP和子网掩码quitfirewall zone trustadd interface Ethernet0/0set priority 85quitfirewall zone untrustadd interface Ethernet0/1set priority 5quitsave回车选择Y，回车再选择Y就保存配置了web界面再配置NAT+ACL公司内部网段为192.168.20.0/24。

由ISP 分配给防火墙外部接口的地址范围为202.169.10.1～202.169.10.5。

其中防火墙的接口GigabitEthernet0/0 连接内部网络，地址为192.168.20.1 ；接口GigabitEthernet0/1 连接到Internet，地址为202.169.10.1。

WWW Server 和FTPServer 位于公司网络内部，地址分别为192.168.20.2 和192.168.20.3。

要求公司内部网络可以通过防火墙的NAT 功能访问Internet，并且外部的用户可以访问内部的WWW Server 和Telnet Server。

H3CUTM域间策略的典型配置H3C UTM域间策略的典型配置一．用户需求某用户网络使用UTM来进行内网和外网之间的访问控制，其中高优先级用户可以访问低优先级网络资源，但反之则不允许。

二．组网图三．配置步骤1.配置接口GE0/0地址在左侧导航栏中点击“设备管理 > 接口管理”。

点击GE0/0栏中的按钮，进入“接口编辑”界面。

按照下图设置接口GE0/0，点击< 确定 >返回“接口管理”界面。

2.配置接口GE0/2地址在左侧导航栏中点击“设备管理 > 接口管理”。

点击G0/2栏中的按钮，进入“接口编辑”界面。

按照下图设置接口G0/2，点击< 确定 >返回“接口管理”界面。

3.接口GE0/0加入Trust域点击左侧导航栏“设备管理 > 安全域”。

点击Trust栏中的按钮，进入“修改安全域”界面。

按照下图将接口G0/0加入Trust域，点击< 确定 >返回“安全域”界面。

4.接口GE0/2加入Untrust域点击左侧导航栏“设备管理 > 安全域”。

点击Untrust栏中的按钮，进入“修改安全域”界面。

按照下图将接口GE0/2加入Untrust域，点击< 确定 >返回“安全域”界面。

5.配置用于NAT的ACL 2222点击左侧导航栏“防火墙> ACL”，在出现的界面中点击< 新建 >。

在出现的界面中，输入ID为2222，其余选择默认值。

点击< 确定>回到ACL主界面，新建ACL点击ALC 2222栏中的按钮。

在出现的界面中点击< 新建 >。

在出现的界面中配置ACL规则。

点击< 确定>后返回基本ACL2222。

6.在外网口接口G0/2上配置NAT点击左侧导航栏“防火墙 > NAT > 动态地址转换”。

在“地址转换关联”中，点击< 新建 >，出现“新建地址动态转换”。

UTM内部服务器(NAT Server)典型配置1 配置举例1.1 外网访问私网的服务器1、组网需求某公司内部对外提供FTP服务,公司内部网址为10.1.1。

0/24。

其中,内部FTP服务器地址为10.1.1。

5/24.公司拥有192。

168.100。

68/22至192.168。

100.70/22三个IP 地址.需要实现如下功能：外部的主机可以访问内部的服务器。

选用192。

168。

100。

68作为公司对外的接口IP地址，FTP服务器使用192.168.100.70作为对外的IP地址2、组网图具体配置可通过命令行或WEB方式进行配置：3、命令行配置（接口已经配置IP地址，并加入安全域）# 配置访问控制列表。

//定义内网流量〈U200A> system-view[U200A］acl number 3010［U200A-acl—adv—3010] rule permit ip source 10。

1.1。

0 0。

0。

0。

255［U200A-acl-adv-3010］quit# 配置NAT转换。

//定义内网用户访问外网时需要将源地址转换为G0/1的地址［U200A］interface inter GigabitEthernet 0/1[U200A-GigabitEthernet0/1］nat outbound 3010#配置内部FTP服务器。

//定义内网服务器被外网用户访问时将地址转换成192。

168.100.70[U200A—GigabitEthernet0/1］nat server protocol tcp global 192。

168。

100.70ftp inside 10.1。

1。

5 ftp4、WEB配置＃配置访问控制列表ACL 3010.在导航栏中选择“策略管理〉ACL”，新建ID为3010的ACL，配置允许源IP地址为“10.1.1.0"，通配符为“0.0.0.255”的流通过。

h3c的路由器怎么设置端口映射
在这个互联网高速发展的时代里,在网络互联设备中,路由器是使用最广的一种网络互联设备,是数据通信的重要互联设备，那么你知道h3c的路由器怎么设置端口映射吗?下面是店铺整理的一些关于h3c的路由器设置端口映射的相关资料，供你参考。

h3c的路由器设置端口映射的方法：
在浏览器中输入路由器的ip地址，登录到路由器中。

路由器的初始ip地址为192.168.1.1 用户名密码均为admin
依次选择“高级设置”-“地址转换”-“虚拟服务器”
点击下方新增，会出现添加虚拟服务页面。

假如我想发布内网ip 地址为192.168.100.254电脑上的http服务(默认端口为80)到公网上，那么如何填写如图。

你如果要发布其他端口，依次替换就可以了。

最后点击确定后，你在查看的话，就会发现在页面中有你新增的条目。

如图
大家可能还会问上面的DMZ重定向是怎么回事，这个只要选择“重定向到DMZ主机”并输入内网ip地址，应用后。

只要从外网访问你这台路由器的端口号不在下面的端口映射表中的条目，路由器就会将这个数据包发送到你的DMZ主机。

你可以理解成一个一对一ip映射了。

实际环境这样做是非常不安全的，DMZ主机就相当于公网ip直接连接到公网上。

只在特殊情况下使用，使用完就关闭
常见服务端口号
http(www) 80
ftp 21。

H3C UTM2000 实施总结1、网络结构：防火墙后面有2台服务器要求NAT 固定端口出去，并且服务器能够正常上网。

定义安全域和优先级，并把接口划入相应的域，内部服务器应用网关归属于DMZ 区域，公网地址归属于Untrust区域。

58.210.28.42是用来连接公网的互联地址（58.210.28.43是从地址）。

根据需要映射的端口，定义NAT的内部服务组172.16.1.1 7708 4899 →58.210.28.43 7708 4899172.16.2.1 7709 7711 881 →58.210.28.42 7709 7711 881NAT相应的地址，让服务器可以正常连接INTERNET。

nat static 172.16.1.1 58.210.28.43nat static 172.16.2.1 58.210.28.42interface GigabitEthernet0/4nat outbound static这里需要定义一条默认路由来是的内部的服务器可以访问公网：ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/4定义域间策略,使公网上的用户只能通过固定端口访问服务器。

2、问题：定义的策略不能起到应有的作用，服务器的所有端口都被发布出去了。

公网的PC可以远程桌面到其中一台Windows的服务器。

当策略定义为deny any any时也无法起到作用。

3、解决方案：定义需要映射到外网的源地址范围。

启动NAT的动态映射。

将内部服务器映射到公网，以供服务器能正常连接INTERNET。

4、总结：据H3C工程师说这款防火墙在当初设计的时候没有考虑到将服务器映射到公网后，回头还限制外网访问服务器相应的服务。

所以定义的针对端口的策略不能够正常的起效；并且启用DENY any any的策略时，也不能限制公网访问服务器。

解决方法是直接启用nat的内部服务器组；但是这样一来服务器无法正常上网，所以修改NAT的静态映射为针对源的动态隐射。

H3C SecPath UTM Series Anti-Spam ConfigurationExampleKeywords: Anti-spam,SMTP, POP3Abstract: This document presents an anti-spam configuration example for UTM devices.Acronyms:Acronym Full spellingUTM Unified Threat ManagementSMTP Simple Mail Transfer ProtocolPOP3 Post Office Protocol, Version 3Table of ContentsFeature Overview (3)Application Scenarios (3)Configuration Guidelines (3)Anti-Spam Configuration Example (3)Network Requirements (3)Configuration Considerations (4)Hardware/Software Version Used (4)Configuration Procedures (4)Basic Configuration (4)Anti-Spam Configuration (7)Verification (10)Related Documentation (11)Feature OverviewBy cooperating with a Commtouch mail server (a third-party mail server), the anti-spam feature of an H3C UTM device can inspect all emails sent from external networks to the internal network and process the emails as configured, so as to prevent spam from wasting the resources of the internal network.With the anti-spam feature configured, the device forwards all emails received from external networks to the Commtouch mail server for inspection and, after receiving the inspection results, processes the emails based on the actions specified in the anti-spam policy.The anti-spam feature supports inspecting Simple Mail Transfer Protocol (SMTP) emails and Post Office Protocol, Version 3 (POP3) emails:z SMTP: In a scenario where the SMTP clients are on the external network and the SMTP server is on the internal network.z POP3: In a scenario where the POP3 clients are on the internal network and the POP3 server is on the external network.Application ScenariosThe anti-spam feature can be deployed to check emails entering an internal network to prevent email spam from occupying resources of the internal network.Configuration GuidelinesBefore configuring the anti-spam feature, ensure that:z The device can communicate with the Commtouch mail server normally. The address of the Commtouch mail server is http://resolver%, where %d indicates a number in therange from 1 to 10.z The device has a legal, effective license of the anti-spam feature.z The device can connect to to verify the validity of the license for the anti-spam feature. When the license of the anti-spam feature expires, all anti-spam configurations will not beeffective any more.Anti-Spam Configuration ExampleNetwork RequirementsAs shown in Figure 1, the internal network of a company is 4.1.1.0/24, and the external network is 192.168.100.0/22. Configure the UTM device to inspect emails received from the POP3 server and process those emails as follows:z Modify the subjects of emails from known spam sources and log them.z Modify the subjects of emails from unknown spam sources and log them.z Log suspicious emails.z Forward normal emails normally.Figure 1 Network diagram for anti-spam configurationConfiguration Considerationsz Redirect the traffic of interest for in-depth inspection.z Configure the anti-spam policy and rules.z Apply the policy to the segment.Hardware/Software Version Used<H3C>dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Ess 5115Copyright (c) 2004-2009 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C SecPath U200-CM uptime is 0 week, 3 days, 20 hours, 54 minutesCPU type: RMI XLS404 800MHz CPU512M bytes DDR2 SDRAM Memory32M bytes Flash Memory247M bytes CF0 CardPCB Version:Ver.BLogic Version: 2.0Basic BootWare Version: 1.23Extend BootWare Version: 1.23[FIXED PORT] CON (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/0 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/1 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/2 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/3 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[FIXED PORT] GE0/4 (Hardware)Ver.B, (Driver)1.0, (Cpld)2.0[SUBCARD 1] 2GE (Hardware)Ver.B, (Driver)1.0, (Cpld)1.0Configuration ProceduresBasic ConfigurationConfiguring interface GE 0/1Select Device Management > Interface from the navigation tree and then click the icon of GE 0/1 to enter the interface configuration page. Perform the configurations shown in the following figure and click Apply.Select Device Management > Zone from the navigation tree and then click the icon of the Untrust zone to enter the page for modifying the security zone configurations. Add interface GE 0/1 to the Untrust zone as shown in the following figure, and click Apply to complete the operation and return to the security zone page.Configuring interface GE 0/4Similarly, assign IP address 4.1.1.1/24 to interface GE 0/4 and add the interface to security zone Trust. Selecting Device Management > Interface from the navigation tree, you should see the following list:Configuring NATTo enable internal hosts to connect to the external network through the UTM device, you need to configure a NAT policy on interface GE 0/1. In this example, the policy references ACL 3004 and uses the NAT mode of Easy IP.Select Firewall > ACL from the navigation tree and then create ACL 3004 and add a rule to the ACL to identify the flow of interest. In this example, the ACL permits packets sourced from 4.1.1.0/24. The configurations are shown in the following figure:Select Firewall > NAT Policy > Dynamic NAT from the navigation tree and then under Dynamic NAT, click Add and then specify ACL 3004 and Easy IP for interface GigabitEthernet 0/1. The following figure shows the configuration result:Configuring a routeSelect Network > Routing Management > Static Routing from the navigation tree and configure a default route, setting the next hop to the IP address for the intranet side interface of the router that connects the GE 0/1 interface of the UTM device with the external network (192.168.100.254 in this example).Configuring a redirect policyConfigure a redirect policy to redirect the flow of interest to the i-Ware platform for in-depth analysis. In this example, traffic between zone Trust and zone Untrust that matches ACL 3000 will be redirected to segment 0.First , select Firewall > ACL from the navigation tree and then create ACL 3000 and add rules to the ACL to identify the traffic of interest. The configurations are shown in the following figure:Then, select IPS | AV | Application Control > Advanced Configuration from the navigation tree and create a redirect policy to redirect traffic matching ACL 3000 to segment 0.Anti-Spam ConfigurationSelect IPS | AV | Application Control > Advanced Configuration from the navigation tree and click the Application Security Policy link to enter the in-depth inspection configuration page.Enabling anti-spam inspectionSelect Anti-Spam > Anti-Spam from the navigation tree and perform the following configurations in the Server Configuration area:z Select the Antispam inspection check box.z Click Apply.z After a while, you will see that the operation status becomes normal.z If the UTM device connects to the Commtouch mail server through a proxy server, you need to configure the proxy server according to the networking scheme.z The anti-spam signature database stores all email spam signatures that the device can identify.The license of the anti-spam feature has a validity period specified. After the license expires, you need to recharge to obtain a new license before upgrading the anti-spam signature database.Creating and applying the anti-spam policyUnder Policy Application List, click Add and perform the following configurations:z Type test as the name.z Select Modify subject and log as the action for POP3 emails from known spam sources.z Select Modify subject and log as the action for POP3 emails from unknown spam sources.z Select Log as the action for suspicious POP3 emails.z Select Log as the action for normal POP3 emails.z Under Apply Policy, click Add and perform the following configurations on the page that appears: z Select segment 0.z Click Apply.z Now, segment 0 should appear on the list under Apply Policy. Click Apply to complete the operation.Activating configurationsAfter the application operation is complete, the anti-spam configuration page appears again, as shown in the following figure. Click Activate and confirm your operation.VerificationOn internal host 4.1.1.2, configure Outlook Express to receive emails. Then, on the web interface of the device, select Log Management > Anti-Spam Logs from the navigation tree. Logs about inspection and processing of emails destined for the user should appear on the list.Hangzhou H3C Technologies Co., Ltd. 11/11Related DocumentationAnti-Spam Configuration of the Web configuration manual.。

H3C防火墙和UTM设备IPSec典型配置举例Copyright © 2013 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 使用版本 (1)2 特性简介 (1)3 应用场合 (1)4 注意事项 (1)5 基于证书的认证——IPSec配置举例 (1)5.1 组网需求 (1)5.2 配置思路 (2)5.3 配置步骤 (2)5.3.1 FW A的配置 (2)5.3.2 FW B的配置 (8)5.3.3 验证结果 (11)5.4 配置文件 (13)6 基于证书的认证——IPSec多实例配置举例 (15)6.1 组网需求 (15)6.2 配置思路 (15)6.3 配置步骤 (16)6.3.1 FW A的配置 (16)6.3.2 FW B的配置 (31)6.3.3 验证结果 (46)6.4 配置文件 (50)7 相关资料 (53)1 使用版本本文档基于F1000-E（版本：R3166P13）为例进行说明。

该配置适用于F1000-E的R3166P13及以上版本、F3169P07及以上版本。

该配置同样适用于F5000-A5（版本：R3206P18及以上）及U200系列产品（版本：F5123P08及以上）以及防火墙插卡的R3166P13及以上版本、F3169P07及以上版本。

本文档所有配置均在实验室环境下进行，仅供参考。

如果在线部署，请根据实际组网环境进行配置。

不同软件版本Web页面显示会有所差异，请以实际情况为准。

2 特性简介IPSec（IP Security）是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN（Virtual Private Network，虚拟专用网）的安全技术。