H3C华为路由端口映射

从零开始教你配置华为3COM路由器经过几十年的开展,从最初的只有四个节点的ARPANET：展到现今无处不在的Internet , 计算机网络已经深入到了我们生活当中. 随着计算机网络规模的爆炸性增长, 作为连接设备的路由器也变得更加重要.公司在构建网络时,如何对路由器进行合理的配置治理成为网络治理者的重要任务之一.本专题就为读者从最简单的配置开始为大家介绍如何配置华为3CO端由器.很多读者都对路由器的概念非常模糊,其实在很多文献中都提到,路由器就是一种具有多个网络接口的计算机.这种特殊的计算机内部也有CPU内存、系统总线、输入输出接口等等和PC相似的硬件,只不过它所提供的功能与普通计算机不同而已.根底配置：华为3COM IOS与CISCO IOS的区别以前华为公司的产品配置指令和CISCO公司的一样,但由于版权与官司的问题,华为3COM公司于2002年到2003年期间进行了IOS的升级工作,升级后的IOS与CISCO公司有很大区别.主要表现在以下三个方面.一、全新IOS支持中文界面：在新版IOS中用户可以选择英文或中文界面,这样对于那些英文水平不高或不习惯看英文的用户来说可以切换到中文界面,各项命令的注解一目了然.对中文的支持显示了华为3COM公司外乡化作战的目标.二、平安级别的提升：我们先往返忆一下CISCO公司的平安级别,CISCO路由器通过模式分配权限,cisco IOS软件将EXEC会话分为用户(USER模式和特权(privileged )模式,另外很多配置命令还需要进入到配置模式下进行.通过ENABLES入特权模式,通过configure terminal进入配置模式.华为3CO必司的IOS平安级别是基于用户的而不是基于模式的.也就是说我们可以为一台路由器配置很多个用户, 不同的用户分配不同的权限, 要想进入路由器必须输入正确的用户名和密码才可以.这一点有点类似于WINDOWS作系统,当登录系统后要想进入桌面必须输入正确的用户名和密码.对用户进行权限划分比划分模式更平安,更方便治理.三、配置命令的全面变化：由于涉及到版权的问题,华为公司在此次升级IOS后对所有的配置命令也进行了很大程度的变动.可以说现在的指令和以前的指令有天壤之别, 与CISCO公司的配置命令而是相去甚远,经常配置CISCO路由器的用户初次接触华为3COM^由器会很不适应.新旧命令变化如图所示：也[电少exit中11entI lognaiitip hoivtJ ：Ed]In*-pt1有如何设置华为3COM^由器主机名每台路由器在网络中都应该有自己的名称,一般情况下华为3CO必司的路由器默认名称为router,即主机名为router .为了更好的区分不同的路由器,我们需要对主机名进行修改, 一方面方便了记忆,另一方面降低了排除故障的难度.配置方法:这里我们以将主机名设置为syxx为例,输入“sysname syxx〞,然后按回车键执行命令,这时主机提示符前的主机名变为syxx,说明设置主机名成功.如何配置一个以太网接口路由器就好比一台PC机,不同的接口就好比计算机的网卡.每个计算机都要设置IP地址才能在网络中进行通信,路由器也是如此,我彳门要为接口分配IP地址和子网掩码才能正常工作.最常见的接口是以太网接口,本文将为大家介绍如何配置一个以太网接口.第一步：登录路由器用正确的用户名和密码登录路由器,要求是治理员权限或操作员权限.第二步：进入以太网接口E0int e0第三步：设置IP地址和子网掩码ip address 192.168.1.1 255.255.255.0这样就完成了对E0端口的IP地址分配.当然华为3CO版由器默认情况下当给接口设置了IP地址就会自动翻开.所以不用象CISCO设备那样还需要执行no shutdown命令翻开接口.小提示：有的时候需要短时间的将某端口禁用,如果将其IP地址取消等以后再使用时还需要重新配置,这时候也可以在华为3CO端由器上时候禁用端口命令.即输入shutdown后回车这样该端口就被禁用了,如果想恢复那么输入undo shutdown将端口重新激活.如何修改华为3CO版由器的显示语言通过华为3COMOS与CISCOIOS的区别那篇文章我们已经知道华为3COM＞司的IOS支持中文显示与中文注释,那么如何将显示语言从英文切换到中文呢配置方法:[n¥』icinnngu 』 @由Ctmnl: "30“蠹：FMGLICHWill ^ou ifwi cell Ian ,uayiHs Fiodle "?C1lfZH> y ¥nu Kaufr r tun E ?B d the lAm9uAyB mode syxjK I I JIH ?l>tftuiirf gc我们登录到路由器上直接输入language,然后回车,在接下来的对话中会询问用户是否切换 语言模式,我们选择丫后IOS 会自动切换到中文模式,所有命令的注释都是中文的.同样当 我们想回到英文模式显示时只需要再次输入language 后回车,然后选择 Y 就会从中文显示 模式返回到英文显示模式.当用户登录到路由器时,我们可能不知道哪个端口是干什么用的,在这种情况下我们可以为 端口加上注释信息,这样直接查看注释信息就能了解端口的用途了,方便我们治理路由器. 设置方法如下：1、成功登录路由器2、进入E0端口 int eOI K W-aa-n EnduhUe ■al杷IM hr idy#clockrnn41^ril« camXro L lerC 口时delMi4y LilialV . :^*指甯电配设An 膏』,£.箱,A曾独配为一闵广君配需A十髭 泥帆 和茬H・■ridd -eiidblLfl nt 1 Gir 广brld.t 8； luck■: onl i 事「W Ue ifian-tT^n L liap 晶口»¥*4/Mi 每为 Uiy雄卜尸 fiiJiler■,« 115 dlispla y dltvdouikluaitl工评AAA(Aiithent ic Jtti n n B nmlAificciunt in*? conf4./❷好川七 1 口郭tfiah 1 妙 AAfKfilut htfnt i€-d.t io h , ftuithDipiz^t iun and Alec u-unt in.) Eprc if structure aT acc nss lis t conf Lgurc in [ crviiflC: 1 or Add f Afl P n|h t IrEiMhls<dlBaklt BGP ornwl 身*1d .事Set E IfTR c lotkE,e lect r 口 nF 讨 ri Ii- st orc d i_n F la= Jn or HU RAH Sf-t 筑 Ei^ri^ruzTj *咽上HNCo-^y c«nf if <IP a^9：tan f Ll« Ed peiw>t4 tf 息雄卜、 tn«b !■> «dolMii^y ifiij f tunc t l&nvt Jw conFitiuNt F ilv in f l*i>» or n^Mit?!!『 ire IMMCF rvar parauRBtnr?Create tfw TU I IS 口 fmi* filtering packets riinn in<r inf or-mattiionSet dlsu DiiurfUktlvriDau«i<lt»4.d t he »ew "唯I *B lun eeinf lyll«nniMfif ? <tr>toyrtK I?3、添加注释信息“waiwang chu kou description waiwang chu kou设置完毕后我们就可以通过display cur 命令查看信息了,这时会看到在ethernet0接口下 方出现了 description waiwang chu kou 的注释信息.〔如图〕i n t er-f ace 上好充3 dLSYRG ・oRe Flow1 PPPEthemetB ——-----、 cripti»n waiwang elm 1：10-.252.0in tepf ace Ethernetlip 3r d■di'es：掌 10_82-2_97 255 ,255 .255.252 f i^euall packet^Filter 108 outbound *i n t er-F ace Seria 10Link-prwtoGol ppp Esvxxl如何设置路由器的密码在讲述华为IOS 升级三大特性时我们提到了新版华为3COM 勺IOS 是通过用户与权限来保证 平安的,而不是通过简单的几个密码来实现.那么如何在华为3CO 版由器上建立用户并分 配相应的权限呢本文将为您介绍这个问题.配置命令:aallLhjiub -murwber 卷立.IFytJllB■1 la 1in^ c hd t^ac-1 ■ i■ str inu f OF CJ I iltuclc usiferl£"dli -nuhbt!r S-uwcif y tJllB ui£Hr J,£CEillirig riumfjjitjF£UHE - rrrf tp d Irfctargi Spe c if 孽t J K user k sperraitt cd ftp diitcturjfPPFb.fift PTP<cr>1. 黑 J ]5 口•[归好l| Weir'd L" 1. plw F 11411 1 f 6 |P U f C H ~t VW*-代i ITI j 用工产口 ft"登录路由器后输入 local-user softer password cipher 111111 service-type exec-administrator 回车就创立了一个名为 softer ,密码为111111的治理员权限的用户, 该用户登录时候输入正确的用户名和密码就可以治理路由器了.HoCiH L user soLjrfrciplicr 111111 seruice-typc ?trxtrc tr|>K - EX 废C ■■ ■jtdmln int mt&r ■ - imas EXInG «a u.gfz EXEC At A 心hM 型,tu 肝ifirjFzt9i mtoy «K I Soeji I (■ .«1* t ea6 甲事喟#3tM &iplie r 111111 a eru i c■eKecint rnt sr小提示：1、在cipher处我们还可以输入simple替彳弋cipher ,不过那样的话密码111111就会以明文方式显示,而不是采用cipher时的加密方式显示了.建议仍然使用cipher.2、service-type 后的exec-administrator表示的是治理员权限,华为3COM勺IOS还提供了exec-guest〔游客权限,权限很低,类似于WINDOWS的GUES咻户〕,exec-operator〔操作权限,对某项配置可以修改的用户〕,我们可以根据实际情况对不同的用户分配不同的权限.如何远程登录路由器一般情况下初次设置都是通过CONSOL践连接路由器的CONSOLE口进行配置的.不过对于网络治理员来说经常不能物理接触到路由器,这时如果需要修改路由器配置时怎么办呢我们可以采用TELNET的方式来完成,经过配置了TELNE修录路由器方式后我们可以在网络中任何一个节点治理路由器了.路由器的E0端口IP地址为192.168.1.1,那么通过TELNET登录的命令如下：1、没有密码的情况一般情况下初次配置完路由器后如果没有为路由器设置任何用户和密码,我们可以直接使用telnet 192.168.1.1完成登录路由器的操作.2、设置了用户名和密码的情况如果为路由器配置了用户名为root,密码为111111的帐户,这时候我们在执行telnet192.168.1.1 命令后还需要在username后输入root,在password后输入111111才能正常登录路由器.华为路由器DISPLAY命令大全这篇文章为读者介绍了一些华为3CO版由器display命令的例子,在网络中网络治理员应该随时了解路由器的各种状态,以便及时排除故障.华为路由器的display命令类似于cisco 的show命令.用好它可以大大方便我们日常工作.华为公司的display命令可以在某个接口下运行也可以在正常情况下运行. 我们可以通过输入display ? 查看全部命令.display current-configuration display saved-configurationdisplay history-command 显示键入过的命令历史列表.display arp 显示路由器的 ARP 地址映射对应表如何将IP 地址映射到路由器主机名通过在路由器上配置主机表,治理者可以在使用 Telnet 或ping 命令的时候直接键入预先建 立好的主机名,而不需要再去记忆每个路由器的IP 地址.命令如下：1、使用治理员帐号和密码登录路由器2、输入ip host syxx 10.82.2.97设置主机名与ip 地址的对应关系.3、输入save 命令将设置保存这样我们在输入 Telnet syxx 命令时,路由器会自动将这个主机名映射到10.82.2.97这个IP 地址上.同理解析也会自动发生在ping syxx 命令中.■ vyxM pinvf 3 1.七工国.1心31£ pAckflti H lr«riisin*ii tutd 5 [Mckfft MH CH ikied ^1 r lMn< pH 匚 k-1rgiiirid-trip■ lztZ2 M保存配置到路由器 当我们配置了几条命令后如何将修改的信息保存呢默认情况下虽然执行命令后马上可以 生效实际上命令都是保存在“当前配置文件〞中也就是 current-configuration ,该配置文 件会随着路由器的重新启动而消失.如果要想彻底的将配置命令保存需要保存到saved-configuration 中.命令如下：1、将当前设置保存到saved-configuration ,重启路由器后仍然有效.显示当前配置信息显示启动时的配置文件display interfaces显示接口状态及配置信息 display local-user显示路由器当前所有的用户信息display version显示系统的软件硬件状态信息,包括当前的 IOS 版本信息display clock显示系统时钟当前时间设置display sysname显示系统名称,主机名f run HU金片qu4nle 时工3 ftSet|uencB a4 111-ta h re ok tig - 2 time - 1 = 1 t im - 1 ti>IB = 1 ns ns m rtcnoRepl y K CD I J , 除“¥ 蚪山liuplv Froiw 10.92.2,97^F HJR IB .8Z.2,?7：hjrtCiaFE Sc(j4ience_0i tt 1^255b,七白tt 1-2S5save2、命令配置出错时我们需要读取原来的saved-configuration并覆盖现在的current-configuration ,这时可以执行reboot路由器会重新启动,在启动时将saved-configuration 的配置读入current-configuration文件中.小提示：如果配置命令出错导致我们无法正常登录路由器输入reboot命令的话,可以人工拔掉路由器电源,将其重新启动,和执行reboot命令效果一样.如何设置容许远程登录路由器如何有效的治理华为3CO端由设备呢最常见的是通过telnet命令来实现.默认情况下华为3CO殿备是开启telnet功能的,也就是说如果不经过任何配置我们可以通过治理限制台的CONSOLS来连接路由器的限制界面,也可使用telnet来治理,不过为了让我们能够更高效的治理路由器,今天就为大家详细介绍如何设置容许远程登录路由器……如何有效的治理华为3CO端由设备呢最常见的是通过telnet命令来实现,正如上面所说的如果路由器的某个接口IP地址为192.168.1.1 ,那么我们就可以在任何一台已经连入网络的PC机上执行telnet 192.168.1.1命令来登录路由器的设置界面.FC1、默认设置:默认情况下我们在设置了路由器某个接口后就可以通过“telnet该IP地址〞来登录治理界面了.登录到路由器时无用输用户名和密码即可进入.由于默认情况没有任何平安保证, telnet即可进入连密码都不用输,所以我们要对其默认设置进行修改.2、设置只有正确用户名和密码才能登录为了提升路由器的平安,我们需要使用带身份验证的方式对路由器进行治理.第一步：进入路由器治理界面,输入"local -user softer service-type exec- administrator password simple 111111〞后回车.第二步：这样我们就完成了对路由器添加身份验证的步骤,路由器中添加了一个治理员身份的用户,用户名为softer ,密码为111111.第三步：再次登录路由器时就会出现用户名和密码提示,只有输入用户名为softer ,密码为111111才能正确登录.小提示：经过上面的设置,不管是通过telnet远程治理还是直接使用console限制台,都需要先通过身份验证的检查.3、只容许某IP的用户远程治理路由器俗话说权限越不限制,平安越没有保证.如果我们开启了telnet功能,即使是添加了身份验证,网络中任何一台计算机都可以访问和治理路由设备,为实际使用带来了一定的平安隐患.例如网络治理员不小心将密码告诉给别人,那么知道了密码的用户可以任意限制路由器其实华为3COM^由器还为我们提供了一个远程治理范围的过滤功能,他可以为我们的路由器提供双重保险,即使密码被别人所知道, 只要他进入不了网络治理员限制室一样无法操作路由器.环境介绍: 网络治理员限制室中计算机IP地址为192.168.1.253.我们要设置华为3COM^备只容许这个IP地址通过telnet访问路由器治理界面,其中路由器以太接口IP地址为192.168.1.1 .第一步：进入路由器治理界面,输入"local -user softer service-typeexec- administrator password simple 111111〞后回车建立一个用户,为路由器加上身份验证功能.第二步：输入“acl 101 〞〔不含空格〕后回车,建立一个访问限制列表,我们通过这个控制列表实现对远程治理路由器地址的限制.第三步：输入"rule permit tcp source 192.168.1.253 0.0.0.0 destination 192.168.1.1 0.0.0.0 eq telnet 〞,这句话的意思是只容许192.168.1.253 这个IP地址的计算机通过telnet 访问以太接口〔192.168.1.1 〕.第四步：由于默认情况下华为3CO破备的访问限制列表是“容许〞,所以我们还需要添加 "拒绝规那么".输入"rule deny tcp source any destination 192.168.1.1 0.0.0.0 eqtelnet 〞,这样其他计算机就都不能通过telnet访问以太接口192.168.1.1 了.第五步：最后在以太接口192.168.1.1 上应用此访问限制列表即可.命令为“ firewall packet-filt er 101 inbound 〞.设置完毕后仅ip为192.168.1.253 的设备才能登录到192.168.1.1这台路由器上,其他设备即使知道了身份验证信息也无法登录.升级华为3COM勺VRP版本CISCO设备中是通过升级IOS版本来解决以上问题,而在华为3COM^备中取消了IOS版本这个定义,取而代之的是VRP版本.其实和IOS版本是一样的,只是叫法不同而已.今天笔者就为各位读者介绍如何升级华为3CO 峨备的VRP......熟悉CISCO设备的朋友一定知道在CISCO设备中是采用IOS版本号来标明网络操作系统的新旧.随着网络吞吐量,接入设备的增多和对速度的要求提升, 初期路由器的指标很难满足我们现在的需求.在这种情况下就需要我们更新设备内部版本. 另外很多设备软件方面的漏洞也是通过升级内部版本来弥补的.一、FTP上传升级法：我们最常用的升级VRP版本的方法就是FTP升级法,首先在路由器上建立一个FTP站点,然后在网络中一台PC机上访问这个FTP效劳器,将下载的新版VR3：件上传到FTP效劳器上〔路由器〕,从而实现了升级的目的.〔如图1〕FC图1第一步：登录华为3COM^由器,输入“local -user ftp service-type ftp password simple111111〞后回车建立一个帐户,帐户是FTP权限,用户名为FTP,密码是111111.第二步：将华为3COM^由器设置为FTP效劳器,使用命令"ftp - server enable".这样网络中其他计算机都可以通过用户名FTP,密码111111来访问路由器建立的FTP站点了.第三步：在PC机上通过任务栏的“开始-> 运行",输入ftp 10.0.0.1,其中10.0.0.1 是我们设置的路由器IP地址.第四步：登录后输入用户名为ftp,密码为111111.然后通过pwd命令显示路由器当前路径, 使用lcd显示本地PC机的路径,将VRP^本文件重命名为system后放入本地目录.小提示：修改为system后不用加任何后缀名.第五步：使用bin命令将传输方式修改为二进制方式.使用hash命令设置在传输时显示传输进度.第六步：然后通过“ put system〞命令将本地的VR"：件上传至U路由器ROMh界面中将出现一个又一个的“ #〞说明开始上传工作.〔如图2〕图2第七步：当显示a file transmit success "字样时 ,用reboot命令重启路由器.最后还要将FTP效劳器关闭,预防以后非法用户攻击路由器.使用的命令是“ undo即enable 〞.〔如图3〕小提示：具体设备的bootrom和vrp配套版本我们可以到data.huawei 的软件中央查询并下载.另外在上传及更新VRP版本时一定要先对路由器上的设置进行备份,减少因更新失败带来的损失.升级过程如果出现中断,请重新升级正确版本,而且升级过程中不要重启路由器,否那么路由器将无法正常启动.二、TFTP下载升级法：TFTP升级法是最早的升级VRP的方法,和CISCO设备一样使用TFTP升级的话需要先在一台PC机上用相应的软件建立一个TFTP效劳器,将VRP版本文件放到这个TFTP效劳器的主目录中.具体操作如下.第一■步：从:〃perso.wanadoo.fr/philippe.jounin/default.html 这个地址下载建立TFTP服务器的工具.在一台连接到网络的PC机上通过这个工具建立一个TFTP站点.这里假设PC机的IP地址为10.0.0.254 .第二步：启动路由器,根据安装配置向导设置路由器根本信息.〔如图4)Ou ip1 L .''_ boctizigX J ,:三 l =t 7 三J. jidvay roster con figuration or iC' -ontinu& ? :M：::LI £ UCZ 〔Z 上她1千口工sach. 口£ the- f□二二口"二二g quest icna, ycQ can p?&ss <Re*urc> 二口select the 丁mluE WR口父力in tiraces, or ?ou c<n Enter A r€w t〞Aluw.IHTIRR^二'二班二为三FAJHJ受二球5：Do yi：'U NAR:a LAN interna3e? [H：/Thia boa^d, s LAN HP add*esar '165-254.13.103 二-1m■二Gt nas< Xvl L^JT 7 M二: 5X〕7 [委"二K,3 7；；?：,£;5,；：;.；图4第三步：在向导中设置TFTP效劳器的IP地址以及VRP配置文件的名字.〔如图5〕二£ a39 ;：f the T7TF aw 尸之工2[ 1^ . 25411C 二匚.0,：,二三、雨mt二二l三^七5彳甘二工=zc匕与leaded ird:匕己24.二三丁.,三工二：二占c 3 - 6KXE-V1. € 3-002. B：W图5第四步：路由器正常运转后按ctrl+b进入启动选单,在启动选单中输入“ 2〞,选择从TFTP效劳器上下载文件.〔如图6〕X3冲二号7：二1n^tnory. . .CK![彳三豆；rt3三班寻甥J Jf J J J *窗L/tea flu a 3r.er.oz7Er^as .t£_-r 二口erter B CJCJE. >ben^flease 1 「二号口.■:工二r pes^WQit;：F OOT；星EUti：二；二七行二匚三；1 MFF LI C'品匚二二工9二二三三工手3；h二：口口片工1.息zJ ^pliceitiDi ptnm工忌二vitti 7FTFJ:二：E3H =rpliiitio* pas3rd4：:二一二3□: ijuwtK'M5; Qu IT a2d rtboazInLer yotiz choice 〔- - 5〕J 2图6第五步：路由器就会根据刚刚配置的TFTP地址及配置文件名下载VRPff版本文件.根据文件的大小不同会延续几分钟的时间,当出现成功提示那么说明我们通过TFTP升级VRP版本成功,新版本文件已经写入到路由器的FLASH中.。

华为路由器配置端口映射华为的这个路由器，在指定outside 和inside的端口有一点不一样，希望对大家有帮助，不走弯路！Quidway#show runNow create configuration...Current configuration!version 1.66enable password ,Y@JM,UXNZL0XaLTV.U4*!!!access-list normal 100 permit ip 10.0.0.0 0.255.255.255 any!interface Aux0async mode interactiveencapsulation ppp!interface Ethernet0 #inside port#speed autoduplex autono loopbackip address 10.0.0.2 255.255.255.0!interface Ethernet1 #outside port#speed autoduplex autono loopbackip address 192.168.0.198 255.255.255.0nat inside 100 interface #通过这个命令帮定访问列表和地址池在外部端口上#!interface Serial0encapsulation ppp!exitip route 0.0.0.0 0.0.0.0 192.168.0.254 preference 60!endQuidway#NAT的配置任务列表如下：1. 配置地址池2. 配置访问控制列表和地址池的关联3. 配置访问控制列表和接口的关联（EASY IP特性）4. 配置内部服务器增加一个内部服务器（1 ）提权SYS（2 ）进网卡inter Eth 0/0/1（3 ） NAT[Quidway-Ethernet0/1]nat server protocol tcp global XXXXX 80 inside 192.168.1.31 80（4）保存save（5） LOOK[Quidway-Ethernet0/1]dis currnat serverglobal global-addr [ global-port] inside inside-addrinside-port protocol例子： 202.38.160.101-103为公网IP设置内部FTP服务器Quidway(config-if-Serial0)# nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp！设置内部WWW服务器1Quidway(config-if-Serial0)# nat server global 202.38.160.102 inside 10.110.10.2 www tcp！设置内部WWW服务器2Quidway(config-if-Serial0)# nat server global 202.38.160.102 8080 inside10.110.10.3 www tcp！设置内部SNMP服务器Quidway(config-if-Serial0)# nat server global 202.38.160.103 inside 10.110.10.4 snmp udpnat server protocol tcp global 218.80.xx 65534 inside 192.168.0.243 65534 nat server global 218.80.xx 65534 inside 192.168.0.243 65534 tcp删除一条规则undo nat s g ip prot inside ip prot tcp。

H3C交换机配置常用命令大全 (2)一.用户配置: (2)二.系统IP配置: (3)三.DHCP客户端配置: (3)四.端口配置: (4)五.VLAN配置: (5)六.集群配置: (6)七.QoS配置: (6)八.系统管理: (7)九.网络协议配置: (8)十.SNMP配置: (9)十一.IGMP Snooping配置: (10)十二.系统调试: (10)十三.802.1x配置: (11)十四.RADIUS配置: (12)H3C交换机配置 (12)1）交换配置TELNET (13)H3C路由器配置 (14)12、访问控制列表 (14)13、NAT地址转换 (15)14.H3C路由器之NAT+端口映射实战 (15)15、DHCP配置 (16)16、通过SSH登录路由器的配置 (16)18、VPN配置 (17)MSR系列路由器IPSEC + IKE功能的配置 (17)一、组网需求： (17)二、组网图： (17)三、配置步骤： (17)四、配置关键点： (20)H3C S3100 Switch (22)H3C MSR 20-20 Router (22)H3C交换机更新系统版本 (28)一、通过FTP更新 (28)二、通过TFTP更新 (30)H3C 破解密码 (31)H3C交换机配置常用命令大全一.用户配置:<H3C>system-view 进入系统视图[H3C]super password H3C 设置用户分级密码[H3C]undo super password 删除用户分级密码[H3C]localuser bigheap 123456 1 Web网管用户设置,1（缺省）为管理级用户,缺省admin,admin[H3C]undo localuser bigheap 删除Web网管用户[H3C]user-interface aux 0 只支持0[H3C-Aux]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-Aux]undo idle-timeout 恢复默认值[H3C]user-interface vty 0 只支持0和1[H3C-vty]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-vty]undo idle-timeout 恢复默认值[H3C-vty]set authentication password 123456 设置telnet密码,必须设置[H3C-vty]undo set authentication password 取消密码[H3C]display users 显示用户[H3C]display user-interface 显示用户界面状态二.系统IP配置:[H3C]vlan 20 新建VLAN 20[H3C]management-vlan 20 设置VLAN 20为管理VLAN[H3C]interface vlan-interface 20 进入VLAN接口20[H3C]undo interface vlan-interface 20 删除管理VLAN接口[H3C-Vlan-interface20]ip address 192.168.1.2 255.255.255.0 配置管理VLAN接口静态IP地址(缺省为192.168.0.234)[H3C-Vlan-interface20]undo ip address 删除IP地址[H3C-Vlan-interface20]ip gateway 192.168.1.1 指定缺省网关(默认无网关地址) [H3C-Vlan-interface20]undo ip gateway 删除网关[H3C-Vlan-interface20]shutdown 关闭接口[H3C-Vlan-interface20]undo shutdown 开启端口[H3C]display ip 显示管理VLAN接口IP的相关信息[H3C]display interface vlan-interface 20 查看VLAN 20的接口信息<H3C>debugging ip 开启IP调试功能<H3C>undo debugging ip 删除开启IP调试功能三.DHCP客户端配置:[H3C-Vlan-interface20]ip address dhcp-alloc 管理VLAN接口通过DHCP方式获取IP地址[H3C-Vlan-interface20]undo ip address dhcp-alloc 取消DHCP[H3C]display dhcp 显示DHCP客户信息<H3C>debugging dhcp-alloc 开启DHCP调试功能<H3C>undo debugging dhcp-alloc 删除DHCP调试功能四.端口配置:[H3C]interface Ethernet0/3 进入以太网0/3口[H3C-Ethernet0/3]shutdown 关闭端口[H3C-Ethernet0/3]speed 100 速率,可为10,100,1000和auto(缺省)[H3C-Ethernet0/3]duplex full 双工,可为half,full和auto(缺省) 光口和汇聚后不能配置[H3C-Ethernet0/3]flow-control 开启流控,默认为关闭[H3C-Ethernet0/3]broadcast-suppression 20 设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响[H3C-Ethernet0/3]loopback internal 内环测试[H3C-Ethernet0/3]loopback external 外环测试,需插接自环头,必须为全双工或者自协商模式[H3C-Ethernet0/3]port link-type trunk 设置链路的类型为trunk,可为access(缺省),trunk[H3C-Ethernet0/3]port trunk pvid vlan 20 设置20为该trunk的缺省VLAN,默认为1(trunk线路两端的PVID必须一致)[H3C-Ethernet0/3]port access vlan 20 将当前access端口加入指定的VLAN[H3C-Ethernet0/3]port trunk permit vlan all 允许所有的VLAN通过当前的trunk端口,可多次使用该命令[H3C-Ethernet0/3]mdi auto 设置以太端口为自动监测,normal(缺省)为直通线,across为交叉线[H3C]link-aggregation Ethernet 0/1 to Ethernet 0/4 将1-4口加入汇聚组,1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚[H3C]undo link-aggregation Ethernet 0/1 删除该汇聚组[H3C]link-aggregation mode egress 配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为 ingress,egress和both,缺省为both[H3C]monitor-port Ethernet 0/2 将该端口设置为镜像端口,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变[H3C]mirroring-port Ethernet 0/3 to Ethernet 0/4 both 将端口3和4设置为被镜像端口,both为同时监控接收和发送的报文,inbound表示仅监控接收的报文,outbound表示仅监控发送的报文[H3C]display mirror 查看所有镜像端口[H3C]display interface Ethernet 0/3 查看以太网接口0/3端口信息<H3C>reset counters 清除所有端口的统计信息[H3C]display link-aggregation Ethernet 0/3 显示端口汇聚信息[H3C-Ethernet0/3]virtual-cable-test 诊断该端口的电路状况五.VLAN配置:[H3C]vlan 2 新建VLAN 2[H3C]undo vlan all 删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除[H3C-vlan2]port Ethernet 0/4 to Ethernet 0/7 将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口[H3C-vlan2]port-isolate enable 打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能[H3C-Ethernet0/4]port-isolate uplink-port vlan 2 设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置[H3C]display vlan all 显示所有VLAN的详细信息S1550E支持基于端口的VLAN,通过创建不同的user-group来实现,一个端口可以属于多个user-group,不属于同一个user-group的端口不能互相通信,最多支持50个user-group [H3C]user-group 20 创建user-group 20,默认只存在user-group 1[H3C-UserGroup20]port Ethernet 0/4 to Ethernet 0/7 将4到7号端口加入到VLAN20中,初始时都属于user-group 1中[H3C]display user-group 20 显示user-group 20的相关信息六.集群配置:S2100只能作为成员交换机加入集群中,加入后系统名改为"集群名_成员编号.原系统名"的格式.即插即用功能通过两个功能实现: 集群管理协议MAC组播地址协商和管理VLAN协商[H3C]cluster enable 启用群集功能,缺省为启用[H3C]cluster 进入群集视图[H3C-cluster]administrator-address H-H-H name switch H-H-H为命令交换机的MAC,加入switch集群[switch_1.H3C-cluster]undo administrator-address 退出集群[H3C]display cluster 显示集群信息[H3C]management-vlan 2 集群报文只能在管理VLAN中转发,同一集群需在同一个管理VLAN中,需在建立集群之前指定管理VLAN<H3C>debugging cluster 开启群集调试功能七.QoS配置:QoS配置步骤:设置端口的优先级,设置交换机信任报文的优先级方式,队列调度,端口限速[H3C-Ethernet0/3]priority 7 设置端口优先级为7,默认为0[H3C]priority-trust cos 设置交换机信任报文的优先级方式为cos(802.1p优先级,缺省值),还可以设为dscp方式(dscp优先级方式)[H3C]queue-scheduler hq-wrr 2 4 6 8 设置队列调度算法为HQ-WRR(默认为WRR),权重为2,4,6,8[H3C-Ethernet0/3]line-rate inbound 29 将端口进口速率限制为2Mbps,取1-28时,速率为rate*8*1024/125,即64,128,192...1.792M;29-127时,速率为(rate-27)*1024,即2M,3M,4M...100M,千兆时可继续往下取,128-240时,速率为(rate-115)*8*1024,即104M,112M,120M...1000M[H3C]display queue-scheduler 显示队列调度模式及参数[H3C]display priority-trust 显示优先级信任模式八.系统管理:[H3C]mac-address blackhole H-H-H vlan 1 在VLAN1中添加黑洞MAC[H3C]mac-address static H-H-H interface Ethernet 0/1 vlan 1 在VLAN1中添加端口一的一个mac[H3C]mac-address timer aging 500 设置MAC地址表的老化时间为500s[H3C]display mac-address 显示MAC地址[H3C]display arp 显示ARP表[H3C]mac-address port-binding H-H-H interface Ethernet 0/1 vlan 1 配置端口邦定[H3C]display mac-address port-binding 显示MAC地址和端口绑定信息[H3C]display saved-configuration 显示保存的配置信息[H3C]display current-configuration 显示配置文件<H3C>save 保存[H3C]restore default 恢复交换机出厂默认配置,恢复后需重启才能生效[H3C]display version 显示版本信息<H3C>reboot 重启[H3C]display device 显示设备信息[H3C]sysname bigheap 设备命名[H3C]info-center enable 启用系统日志功能,缺省情况下启用[H3C]info-center loghost ip 192.168.0.3 向指定日志主机(只能为UNIX或LINUX,不能为Windows)输出信息,需先开启日志功能,缺省关闭[H3C]info-center loghost level 8 设置系统日志级别为8,默认为5.级别说明:1.emergencies 2.alerts 3.critical 4.errors 5.warnings 6.notificationsrmational 8.debugging<H3C>terminal debugging 启用控制台对调试信息的显示,缺省控制台为禁用<H3C>terminal logging 启用控制台对日志信息的显示,缺省控制台为启用<H3C>terminal trapping 启用控制台对告警信息的显示,缺省控制台为启用[H3C]display info-center 显示系统日志的配置和缓冲区记录的信息[H3C]display logbuffer 显示日志缓冲区最近记录的指定数目的日志信息[H3C]display trapbuffer 显示告警缓冲区最近记录的指定数目的日志信息<H3C>reset logbuffer 清除日志缓冲区的信息<H3C>reset trapbuffer 清除告警缓冲区的信息九.网络协议配置:NDP即是邻居发现协议,S1550E只能开启或关闭NDP,无法配置,默认有效保留时间为180s,NDP报文发送的间隔60s[H3C]ndp enable 缺省情况下是开启的[H3C-Ethernet0/3]ndp enable 缺省情况下开启[H3C]display ndp 显示NDP配置信息[H3C]display ndp interface Ethernet 0/1 显示指定端口NDP发现的邻居信息<H3C>debugging ndp interface Ethernet 0/1HABP协议即Huawei Authentication Bypass Protocol,华为鉴权旁路协议,是用来解决当交换机上同时配置了802.1x和HGMPv1/v2时,未经授权和认证的端口上将过滤HGMP报文,从而使管理设备无法管理下挂的交换机的问题。

1 常见问题处理1.1 管理密码丢失•将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。

•恢复出厂设置。

1.2 恢复出厂设置•登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。

•管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并回车，确认后，路由器将恢复到出厂设置并重新启动。

1.3 端口映射不成功常见的端口映射不成功的原因及处理方法，如下：1. 运营商原因一般较常见的如80端口无法映射成功，内网访问正常。

处理方法：联系运营商解决或者将映射的外部端口更换为其他端口。

其他测试验证方法：可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。

2. 服务器配置原因内网访问正常，但是外网通过端口映射访问不成功。

处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。

其他测试验证方法：可以采用某台XP系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他PC是否能远程登入）并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。

3. 端口未全部映射内网访问正常，一对一NAT也正常，但是外网通过端口映射访问不成功。

处理方法：某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而客户实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。

其他测试验证方法：尝试将服务器设置为DMZ主机或者配置一对一NAT（外网地址不能是WAN 口地址）验证是否正常来确认是否该原因引起。

/files/19543/19543.htm/zh_cn/netsch ool/net/167716/20070924/14361984.htmllWindows端口映射实现外网访问内网(1)端口映射开放分类：网络端口映射（Port Mapping）：如果你是ADSL、MODEM或光纤等宽带接入用户，想在公司或单位内部建一个服务器或WEB站点，并且想让互联网上的用户访问你的服务器，那么你就会遇到端口映射问题。

通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL的电话线口或路由宽带外网口)，而访问不到内部服务器。

要想让互联网用户访问到你建的服务器，就要在路由器上做一个转发设置，也就是端口映射设置，让互联网用户发送的请求到达路由器后,再转发到你建立的服务器或WEB站点。

这就是端口映射。

由于各个路由器厂商所取功能名称不一样，有的叫虚拟服务器，有的叫NAT设置(BitComet中常见问题)端口映射。

其实做端口映射设置很简单，例如要映射一台内网IP地址为192.168.0.66的WEB服务器，只需把WEB服务器的IP地址192.168.0.66和TCP端口80填入到路由器的端口映射表中就OK了。

关于打开端口映射后的安全问题：设置了端口映射后，互联网用户能够通过设置好映射的端口，跳过路由器防火墙访问到你的服务器，在通过攻击你服务器上的漏洞控制你的主机，所以打开端口映射后有必要在你的服务器上再挂一个防火墙也确保安全性。

华为H3C ER3260 说明书|使用手册系统服务在系统服务中，您可以设置：1 虚拟服务器，设置内部服务器提供给因特网用户访问。

2 dmz（demilitarized zone，非管制区），dmz 的主机，实际就是缺省的虚拟服务器，当需要设置的虚拟服务器的开放端口不确定时，可以把它设置成dmz主机。

3 端口触发，可以实现er3000 系列根据局域网访问因特网的端口来自动开放向内的服务端口。

端口映射不通的原因端口映射不通，是指在网络通信中，无法通过端口映射实现两个不同网络之间的连接。

端口映射不通可能会导致无法进行远程访问或者无法正常进行网络服务。

下面将从不同角度分析端口映射不通的原因，并提供相应的解决方法。

一、网络设备设置问题1. 路由器防火墙设置：路由器作为网络的关键设备，它可以通过防火墙设置来控制网络流量。

如果防火墙设置得过于严格，可能会导致端口映射不通。

解决方法是检查路由器的防火墙设置，确保允许需要映射的端口通过。

2. 路由器端口转发设置：端口映射实质上是通过路由器的端口转发功能来实现的。

如果端口转发设置不正确，也会导致端口映射不通。

解决方法是检查路由器的端口转发设置，确保设置正确。

二、网络环境问题1. 公网IP地址：端口映射需要使用公网IP地址来实现不同网络之间的连接。

如果网络中的某一方没有公网IP地址，就无法进行端口映射。

解决方法是获取公网IP地址或者使用动态域名解析服务来进行映射。

2. 网络延迟：网络延迟会对端口映射的效果产生影响。

如果网络延迟过高，可能导致端口映射不通。

解决方法是优化网络环境，减少延迟。

三、网络服务问题1. 服务未开启：端口映射的前提是网络服务已经开启。

如果服务没有正确开启，端口映射就无法正常进行。

解决方法是确保服务已经正确开启并监听指定端口。

2. 端口冲突：如果多个服务使用了同一个端口，就会导致端口冲突，从而导致端口映射不通。

解决方法是检查网络中的服务端口是否存在冲突，并将其修改为不同的端口。

四、软件设置问题1. 防火墙设置：除了路由器防火墙外，电脑上的防火墙也可能对端口映射产生影响。

解决方法是检查电脑上的防火墙设置，确保允许需要映射的端口通过。

2. 软件配置问题：一些软件可能有自己的配置文件，需要进行相应的设置才能实现端口映射。

解决方法是查阅软件的相关文档，了解如何正确配置端口映射。

端口映射不通可能是由于网络设备设置问题、网络环境问题、网络服务问题或者软件设置问题导致的。

各种ADSL Modem 及路由器的端口映射方法1、华为MT80C型路由器的端口映射1）在IE的地址栏里输入路由器的地址（默认的ip是：192.168.1.1 ，用户名是：admin，密码是admin ）,IE自然会弹出一窗口要求输入路由器的”用户名”和"密码”,MT800的隐含的设置是admin/admin2）进入MT800的设置页面后，点击左上角的”其他设定".再选"NAT"（在"其他设定”的下拉菜单中）3）在进入"NAT"的页面后，首先确定一下"NAT"的选项是"允许",然后点击”添加"4）在弹出的NAT规则添加中出现一表格，做如下设置：RULE FLAVO选RDRRULE ID 填2IF NAME里选ppp-0协议里选TCPLocal地址From里填192.168.X.X（这个就是你的内部IP地址,如果有变，今后自己修改）Local 地址To 里也填192.168.X.XGlobal地址from 和to 里,两个都不要填，也就是保持0.0.0.0最后3个端口（目标端口起始值，目标端口终止值丄ocal端口）填上你想要BS开的TCP端口（BS定义的设置是16881,这里我们输入16881至16889）这样提交完后，端口映象就算做完了•如果还不行，可能出错的地方就是IF NAME（有可能是ppp-1)2、神州数码DCAD-6010RA ADS路由设置1）登陆路由器的Web管理界面（默认的ip是:192.168.1.1，用户名是：adsl,密码是：adsl1234）2）进入管理界面后依次按如下顺序选择：Services—>NAT3）在NAT Option选择NAT Rule Entry。

然后点击添加”填入相应参数，具体参数说明如下：Rule Flavor:规则种类Rule ID:判断地址翻译规则的序号，最小的序号最先执行，如有规则符合，不再向更高的ID判断执行IF Name:请选择相应的广域网接口，如PPP，1483B等Protocol:选择相应协议（TCP/UDP/ICMP 等Local Address From:使用规则的本地IP起始值，如果选择全部则填0.0.0.0Local Address To:使用规则的本地IP终结值，如果是单一IP,填入IP起始值。

如果访问某加油站路由器可以正常访问，交换机有丢包现象，一般是路由器连接端口出现问题（默认端口Ethernet0/0），此时需要更改一下路由器端口（例如：更改到Ethernet0/1）：1、访问该路由器的互联地址：telnet 10.199.121.*(10.199.121.74)2、输入用户名密码：user:adminpassword:hh33ccDOS窗口会出现该加油站的地区名称，加油站名称，设备名称和端口名称：3、输入sys命令并回车：发现此时进入了端口模式。

4、输入：dis cur 回车出现该端口的详细信息，多按几次空格键，看到看到了该端口划分的VLAN等配置信息。

5、输入如下命令：interface Ethernet0/0.1undo ip address 10.96.192.142 255.255.255.240删除Ethernet0/0.1的地址信息interface Ethernet0/0.2undo ip address 10.96.192.158 255.255.255.240删除Ethernet0/0.2的地址信息interface Ethernet0/0.3undo ip address 10.199.125.62 255.255.255.240删除Ethernet0/0.2的地址信息interface Ethernet0/1port link-mode routedescription to (AM-AYQ09Z-ZX2826-01)-ETH0/24-100M启用AM-AYQ09Z-ZX2826-01 端口连接到交换机的24口以下是配置端口的详细信息：interface Ethernet0/1.1description Vlan 10 to provincevlan-type dot1q vid 10firewall packet-filter 3001 inboundfirewall packet-filter 3001 outboundip address 10.96.192.142 255.255.255.240interface Ethernet0/1.2description Vlan 20 to provincevlan-type dot1q vid 20firewall packet-filter 3001 inboundfirewall packet-filter 3001 outboundip address 10.96.192.158 255.255.255.240interface Ethernet0/1.3description Vlan 30 to province(video_monitor)vlan-type dot1q vid 30firewall packet-filter 3000 inboundfirewall packet-filter 3000 outboundip address 10.199.125.62 255.255.255.240此时端口更改完毕。

华为路由器如何设置端⼝映射 华为是世界上知名的通讯⾏业⼤品牌，你知道华为路由器如何设置端⼝映射吗?下⾯是店铺整理的⼀些关于华为路由器如何设置端⼝映射的相关资料，供你参考。

华为路由器设置端⼝映射的⽅法 宽带⽹关⼀般集成了防⽕墙，通常情况下⼴域⽹中的计算机想要通过⽹关访问局域⽹中的某些服务器就⽆法实现。

⽹关提供了端⼝映射功能，给端⼝映射定义⼀个服务端⼝，所有来⾃⼴域⽹对此端⼝的服务请求将被⽹关重新定位给局域⽹中的相应服务器。

这样，⼴域⽹中的计算机就能访问您局域⽹的服务器了。

如下图所⽰，在“应⽤”中选择所需的模式，选定后⽹关会⾃动关联出协议、WAN侧起始/结束端⼝号、映射名字，填写LAN侧端⼝(如192.168.3.2)，源IP地址可不填，然后提交。

华为路由器简介 ⽀持多种集群模式：NE5000E采⽤先进的⽆阻塞交换⽹络架构，单框端⼝容量双向可达1.28Tbps，未来端⼝容量可从1.28T平滑扩展到80T，⽀持每槽位40Gbps容量，转发能⼒⾼达1600Mpps;多种集群模式，如背靠背集群、2+4集群、2+8集群等，最多可达16+64集群系统。

⽀持按需灵活选择：NE5000E同时⽀持40G⽩光接⼝和彩光接⼝，华为整合了40G IP和光的领先优势，⽀持⽩光/OTN全场景40G⽅案，同时具备彩光的40G能⼒。

电信级可靠性：NE5000E采⽤⽆源背板设计，所有关键组件⽀持热插拔与热备份，并且实现了基于状态的热切换和不间断的路由转发，同时提供热补丁技术及软件平滑升级;满⾜99.999%的电信级可靠性要求，有效保证⽹络的⾼速可靠。

绿⾊集群：NE5000E关键芯⽚设计采⽤65nm⼯艺，集成度提⾼，降低功耗30%;在散热⽅⾯，采⽤循环风散热技术，⼤⼤提⾼了散热效率，降低散热功耗50%;采⽤新型材质和紧凑设计，体积⼩、重量轻，可放置于标准的19英⼨机柜中，对地⾯承重⽆特殊要求，既可快速部署，⼜节省了机房改造⼯作量。

1 常见问题处理1.1 管理密码丢失•将管理计算机的串口通过配置线缆与路由器的Console口相连，在命令行下输入password命令并回车，按照系统提示，输入新密码，并重新输入一次以确认即可。

•恢复出厂设置。

1.2 恢复出厂设置•登录Web页面，单击“恢复到出厂设置”中的<复原>按钮恢复设备到出厂设置（页面向导：设备管理→基本管理→配置管理）。

•管理计算机串口连接或Telnet到设备，命令行下输入restore default命令并回车，确认后，路由器将恢复到出厂设置并重新启动。

1.3 端口映射不成功常见的端口映射不成功的原因及处理方法，如下：1. 运营商原因一般较常见的如80端口无法映射成功，内网访问正常。

处理方法：联系运营商解决或者将映射的外部端口更换为其他端口。

其他测试验证方法：可以选择将外部端口更换为其他端口（如8099）测试，远程访问时格式为：http://XXX.XXX.XXX.XXX:8099，测试是否访问正常来确认是否该原因引起。

2. 服务器配置原因内网访问正常，但是外网通过端口映射访问不成功。

处理方法：请检查服务器配置，特别是安全策略或者防火墙设置，确认是否没有开放非本地网段的访问权限或者其他安全策略设置问题。

其他测试验证方法：可以采用某台XP系统的客户端主机开启远程协助（当然也同样需要先验证一下内网其他PC是否能远程登入）并在路由器上配置映射3389端口来验证路由器的端口映射功能是否正常。

3. 端口未全部映射内网访问正常，一对一NAT也正常，但是外网通过端口映射访问不成功。

处理方法：某些应用（特别如语音、监控系统等）在实际工作过程中需要用到多个端口通信，而客户实际可能只配置了一个或者部分端口的映射，请抓包确认整个通信过程中用到的所有端口，并确认是否均已设置映射。

其他测试验证方法：尝试将服务器设置为DMZ主机或者配置一对一NAT（外网地址不能是WAN 口地址）验证是否正常来确认是否该原因引起。

1.目的通过端口映射，实现外网透过路由器访问内网服务器，或直达公司内部某台电脑达到控制目的。

2.网络条件2.1要控制的电脑必需能够连通互联网；2.2拥有路由器（防火墙）的管理权限，能够进行各项配置；3.端口映射的方法不同型号路由器或防火墙的映射方法会有所不同，下面将列出国内常见的型号的配置方法：（1）TP-LINK R410（2）D-LINK DI524M（3）D-LINK DI624+A （4）腾达402M（5）华为MT800(6) LINKSYS WRT54G（7）磊科NR2005NR (8)飞鱼星VE982（9）欣全向NUR8021 (10)艾泰HiPER2511VF（11）侠诺VPN （12）神州数码DCR-605①TP-LINK R410在IE浏览器中输入局域网中的网关即路由器或防火墙的IP地址（如下图为192.168.1.1)，在弹出的登陆界面中输入用户名和密码后确认登陆(默认登陆的用户名和密码为admin)。

进入路由器或防火墙后找到转发规则目录下面的虚拟服务器，在虚拟服务器点击“添加新条目”如下图所示：点击“添加新条目”后弹出如下图所示的添加窗口②点击保存后即可。

（2）D-LINK DI524M打开浏览器，输入默认网关地址(http://192.168.0.1/)，即可打开登录窗口；默认的用户名和密码均为"admin" ，如图登陆后进行初始化页面，可以通过设置向导完成路由器的配置。

③在上面的这个配置向导页中，可以完成外网配置、内网配置、无线网络设置等；当配置好上网方式后，点击“进阶设定”页面，选择“端口转发”。

如下图所示：名称：自己定义的映射的名称，方便自己识别；端口：输入需要映射的端口的开始和结束，如果只需要一个端口如80，则开始和结束都填80；协议类型：any代表所有协议，你也可以根据需要选择TCP或UDP，WEB访问用的端口全是TCP协议；应用程序名称：这个是路由器中已建了一些常用应用程序的端口供大家选择，如：WEB80、FTP21等④D-LINK DI624+A登陆路由器，默认的登陆地址为http://192.168.0.1(改动后以实际情况而定）用户名、密码为admin。

本文主要向大家介绍了对于华为3com路由器的端口如何进行映射设置，具体进行怎样的操作呢？下面的文章给出了详细配置步骤和命令操作。

本文介绍了华为3com路由器的端口映射的方法，并且给出了详细的操作步骤和命令语句，相信看完此文会对具体配置有详细的了解。

********************************************************************************* Copyright(c) 2004-2006 Hangzhou Huawei-3Com Tech. Co., Ltd. ** Without the owner''''s prior written consent, ** no decompiling or reverse-engineering shall be allowed. *********************************************************************************Login authenticationUsername:adminPassword:<H3C>dis int <-(预示端口状况)Ethernet1/0 current state :UPLine protocol current state :UPDescription : Ethernet1/0 InterfaceThe Maximum Transmit Unit is 1500, Hold timer is 10(sec)Internet Address is 218.206.191.49 <---(找到公网地址的端口)IP Sending Frames'''' Format is PKTFMT_ETHNT_2, Hardware address is000f-e24b-90c1Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s, Full-duplex, link type is autonegotiationOutput flow-control is disabled, input flow-control is disabledOutput queue : (Urgent queuing : Size/Length/Discards) 0/50/0Output queue : (Protocol queuing : Size/Length/Discards) 0/500/0Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0Last clearing of counters: NeverLast 300 seconds input rate 76409.96 bytes/sec, 611279 bits/sec, 221.16 packets/secLast 300 seconds output rate 169645.62 bytes/sec, 1357165 bits/sec, 217.84 packets/secInput: 84913558 packets, 1899317081 bytes, 84913558 buffers1556505 broadcasts, 124223 multicasts, 0 pauses374 errors, 0 runts, 0 giants0 crc, 0 align errors, 374 overruns0 dribbles, 0 drops, 0 no buffersOutput:73691649 packets, 1323897889 bytes, 73691649 buffers19084 broadcasts, 0 multicasts, 0 pauses0 errors, 0 underruns, 0 collisions0 deferred, 0 lost carriers<H3C>sys <--(步入体系视图）[H3C]int e1/0[H3C]nat server protocol tcp global 218.206.191.49 www inside 192.168.1.96 www [H3C]nat server protocol tcp global 218.206.191.49 22 inside 192.168.1.96 22 [H3C]nat server protocol udp global 218.206.191.49 snmp inside 192.168.1.96 snmp[H3C]nat server protocol udp global 218.206.191.49 snmptrap inside 192.168.1.96 snmptrap <--(一看就大白tcp/udp是以及谈，www是80,snmp以及snmptrap是161.162端口)[H3C]dis thellosinterface Ethernet1/0ip address 218.206.191.49 255.255.255.248firewall packet-filter 3000 inboundnat outbound 3001 <--(这是客户上彀用的地址池不消管，其它的就是端口照射了) nat server protocol tcp global 61.178.77.9 www inside 192.168.1.96 wwwnat server protocol tcp global 61.178.77.9 22 inside 192.168.1.96 22nat server protocol udp global 61.178.77.9 snmp inside 192.168.1.96 snmp nat server protocol udp global 61.178.77.9 snmptrap inside 192.168.1.96 snmptrap思科网络的端口照射原理是同样的号令纷歧样罢了，这搭只给出配备布置。

环境: 因特网光纤 IP:220.166.XX.XXX 子网:255.255.255.128网关:220.166.20.129 DNS:61.139.2.69 202.98.96.68内网段 192.168.1.0 子网 255.255.255.0 网关:192.168.1.1(路由器IP) DNS:61.139.2.69 202.98.96.68要求: 内网计算机都要求上Internet,主要是开放服务器(192.168.1.2)(23000,34156,80,6800)这几个端口具体操作如下:进入华为路由器配置界面,怎么进入请见11页的文章登录成功后,进入一个命令行的窗口,英文界面.注: 命令帮助, 空一格后加问号命令补全,在输入字符后紧跟问号不要空格会显示相关命令(我试了很久才出来的,用HELP无效,用 /? 也无效只要一个问号就搞定了,呵呵)直接键入?后出来有一样language-mode 还可以改语言不错,看帮助支持中文方式命令为 lan chin 缩写只要命令不冲突华为路由支持缩写然后大家要查看相关命令或功能的话在命令行输入？就行了查看连续命令的话,比如怎么转换中文就是lan空格?号就行了然后查看本缩写的相关命令比如就是lan?没空格language-mode ? #查看命令帮助#如果有很多集果出现 --MORE--之类,用空格建换屏language-mode chinese #切换到中文要求输入y确认#有中文当然更好,为什么不用,没有的时候再用E文也一样system-view #进入系统视图local-user root #新建或切换到一个用户 root 并且切换到该用户视图password cipher ###### #给该用户设个密码service-type telnet terminal #允许该用户通过Telnet和终端登录level 3 #给用户指定权限级别 3为最高级别service-type ftp #授于该用户可以通过 FTP 登录#如果是取消该用户的FTP权限: 命令 undo service-type ftp#开始设置访问规则(设置一个基本的ACL数值为2000号表,可以在2000-2999范围内指定)#允许192.168.1.0 这个网段等会在配置的时候你会知道其意思acl number 2000rule 0 permit source 192.168.1.0 0.0.0.255#设置端口过滤使得安全功能,这个大家要根据具体情况定义#开始设置访问规则3000号表拒绝所列协议端口或什么东东访问acl number 3000 match-order autorule 0 deny udp destination-port eq 1434rule 1 deny udp destination-port eq 135rule 2 deny udp destination-port eq netbios-ssnrule 3 deny tcp destination-port eq 139rule 4 deny tcp destination-port eq 135rule 5 deny tcp destination-port eq 445rule 6 deny tcp destination-port eq 593rule 7 deny tcp destination-port eq 137rule 8 deny tcp destination-port eq 138rule 9 deny tcp destination-port eq 113rule 10 deny tcp destination-port eq 5800rule 11 deny tcp destination-port eq 5900rule 12 deny udp destination-port eq 445rule 13 deny udp destination-port eq 593rule 14 deny udp destination-port eq netbios-nsrule 15 deny udp destination-port eq netbios-dgmrule 16 deny udp destination-port eq 113rule 17 deny tcp destination-port eq 5554rule 18 deny tcp destination-port eq 9996rule 19 deny tcp destination-port eq 4444#设置以太网接口 Ethernet1/0 就是哪个接光纤的哪个外网口子interface Ethernet1/0 #进入接口视图ip address 220.166.XX.XXX 255.255.255.128 #设置这个口的外网IP以及子网firewall packet-filter 3000 inbound #防火墙应用过滤规则3000号规则表nat outbound 3000 #设置nat地址转换数值为3000号规则表nat outbound 2000 #设置nat地址转换数值为2000号规则表#下面这些是我做的端口映射注www,表示80端口,因为路由器如果开启WEB配置在端口上可以有冲突,所以用内部www来表示)nat server protocol tcp global 220.166.XX.XXX www inside 192.168.1 .2 wwwnat server protocol tcp global 220.166.XX.XXX 34156 inside 192.168 .1.2 34156nat server protocol tcp global 220.166.XX.XXX 5781 inside 192.168.1.2 5781nat server protocol tcp global 220.166.XX.XXX 6800 inside 192.168.1.253 6800因interface Ethernet2/0 此接口没有用,就跳过#设置以太网接口 Ethernet3/0 就是内网接口interface Ethernet3/0 #进入Ethernet3/0 接口视图ip address 192.168.1.1 255.255.255.0 #内网的路由器地址和网段了网掩码nat outbound 2000 #（内网口可以不设置这项,最好不要设置） FTP server enable （FT[服务器为打开做FTP不用映射直接打开还有下面一项设置就行了）ftp source-interface Ethernet3/0（指向FTP连接借口为以太网3/0口,内网接口）ip route-static 0.0.0.0 0.0.0.0 220.166.20.129 preference 60 #这里是加上外网IP的网关interface NULL0user-interface con 0user-interface vty 0 4authentication-mode schemereturn#最后保存重启路由器savereboot[/color]以下是我在网上搜到共享给大家：一. 摘自：/viewthread.php?tid=19620 作者：hollson 静态IP地址ADSL下华为AR 18-22-24路由器配置实例网络要求:所有局域网机器都受AR18-22-24控制,下分二个VLAN,分别是VLAN1(192.168.1.0,255.255.255.0),VLAN2(192.168.2.0,255.255.255.0).VLAN1不能上外网且不能访问VLAN2,VLAN2能上外网且可以访问VLAN1中的192.168.1.2.网络环境:静态IP地址ADSL的IP是218.xxx.xxx.xxx外网由ADSL MODEM进来,直接到达AR18-22-24的WAN0口,局域网中的电脑都是通过AR18-22-24相连的.配置实例是:acl number 2001rule 0 permit source 192.168.2.0 0.0.0.255rule 1 deny source any#acl number 2002rule 0 deny source any#acl number 2003rule 0 permit source 192.168.1.2 0rule 1 deny source 192.168.1.0 0.0.0.255#firewall enable#interface Ethernet1/0ip address 218.xxx.xxx.xxx 255.255.255.0nat outbound 2001interface Ethernet2/0#interface Ethernet3/0promiscuousip address 192.168.10.1 255.255.255.0 #interface ethernet3/0.1vlan-type dot1q vid 1ip address 192.168.1.1 255.255.255.0 firewall packet-filter 2002 outbound #interface ethernet3/0.2vlan-type dot1q vid 2ip address 192.168.2.1 255.255.255.0 firewall packet-filter 2003#interface Ethernet3/1port link-type accessport access vlan 1#interface Ethernet3/2port link-type accessport access vlan 1#interface Ethernet3/3port link-type accessport access vlan 1#interface Ethernet3/4port link-type accessport access vlan 1#interface Ethernet3/5port link-type accessport access vlan 1#interface Ethernet3/6port link-type accessport access vlan 1#interface Ethernet3/7port link-type accessport access vlan 1interface Ethernet3/8 port link-type access port access vlan 1#interface Ethernet3/9 port link-type access port access vlan 1#interface Ethernet3/10 port link-type access port access vlan 1#interface Ethernet3/11 port link-type access port access vlan 1#interface Ethernet3/12 port link-type access port access vlan 1#interface Ethernet3/13 port link-type access port access vlan 2#interface Ethernet3/14 port link-type access port access vlan 2#interface Ethernet3/15 port link-type access port access vlan 2#interface Ethernet3/16 port link-type access port access vlan 2#interface Ethernet3/17 port link-type access port access vlan 2#interface Ethernet3/18 port link-type access port access vlan 2interface Ethernet3/19port link-type accessport access vlan 2#interface Ethernet3/20port link-type accessport access vlan 2#interface Ethernet3/21port link-type accessport access vlan 2#interface Ethernet3/22port link-type accessport access vlan 2#interface Ethernet3/23port link-type accessport access vlan 2#interface Ethernet3/24port link-type accessport access vlan 2#interface NULL0ip route-static 0.0.0.0 0.0.0.0 218.xxx.xxx.1 preference 60#user-interface con 0#return二.华为 AR 28-11的型号基本适用多书华为路由给各为不会配的参考摘自：/BBS417926.vhtml《[原创]华为路由基本配置&nbsp;需要的进》Login authenticationUsername:ztwindows （用户）Password:sys （进如系统视图）System View: return to User View with Ctrl+Z.[quidway]dis curr （查看当前系统配置信息）#sysname quidway （系统名称）#info-center loghost 192.168.0.232（指定信息中心配置信息，这个可以不要）firewall enable（开起防火墙功能）#dns resolve （启动动态DNS解析功能）dns server 202.98.198.168（指定域名服务器IP地址）dns-proxy enable（启动动态DNS解析功能）#radius scheme system（指定radius配置信息创建scheme方案或者修改方案属性）radius scheme test （test方案名）#domain system#local-user ztwindowspassword cipher L_'-D*ST]8Z)9JV9LS027A!!service-type telnet terminallevel 3关键地方来了！#acl number 2000 （设置一个基本的ACL数值为2000）rule 0 permit source 192.168.0.0 0.0.0.255 （这里配置的时候你会知道其意思）rule 1 deny#acl number 3001 （设置端口过滤使得安全功能）rule 0 deny tcp source-port eq 3127rule 1 deny tcp source-port eq 1025rule 2 deny tcp source-port eq 5554rule 3 deny tcp source-port eq 9996rule 4 deny tcp source-port eq 1068rule 5 deny tcp source-port eq 135rule 6 deny udp source-port eq 135rule 7 deny tcp source-port eq 137rule 8 deny udp source-port eq netbios-nsrule 9 deny tcp source-port eq 138rule 10 deny udp source-port eq netbios-dgmrule 11 deny tcp source-port eq 139rule 12 deny udp source-port eq netbios-ssnrule 13 deny tcp source-port eq 593rule 14 deny tcp source-port eq 4444rule 15 deny tcp source-port eq 5800rule 16 deny tcp source-port eq 5900rule 18 deny tcp source-port eq 8998rule 19 deny tcp source-port eq 445rule 20 deny udp source-port eq 445rule 21 deny udp source-port eq 1434rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgmrule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssnrule 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444rule 45 deny tcp destination-port eq 5800rule 46 deny tcp destination-port eq 5900rule 48 deny tcp destination-port eq 8998rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445rule 51 deny udp destination-port eq 1434#interface Aux0 （这个不用解释了自己看就知道了）async mode flow#interface Ethernet0/0（设置以太网口0/0口）speed 100（设置以太网的带宽为100M）descrīption link_to_dianxin（以太网口标识我设置的意思是这个口是接如点心）tcp mss 2048（设置TCP 的MSS直最大为2048）ip address 220.172.*.* 255.255.255.192（这里是设置这个口的外网IP以及子网）nat outbound 2000（设置nat地址转换数值为2000）nat server protocol tcp global 220.172.*.* 15000 inside 192.168.0.232 15000（这些是我做的端口隐射）nat server protocol tcp global 220.172.*.* 15010 inside 192.168.0.232 15010nat server protocol tcp global 220.172.*.* 15030 inside 192.168.0.232 15030nat server protocol tcp global 220.172.*.* 15037 inside 192.168.0.232 15037nat server protocol tcp global 220.172.*.* 15047 inside 192.168.0.23215047#interface Ethernet0/1（上面说过接口了这个是0/1口看懂上面就应该看懂这里了吧）speed 100descrīption link_to_workgrouptcp mss 1536ip address 192.168.0.1 255.255.255.0nat outbound 2000（内网口可以不设置这项）#interface Serial0/0（这个自己看说明就知道什么用了）clock DTECLK1link-protocol pppshutdownip address ppp-negotiate#interface Tunnel0#interface NULL0#time-range daily 08:30 to 18:30 daily#FTP server enable （FT[服务器为打开做FTP不用隐射直接打开还有下面一项设置就行了）#ftp source-interface Ethernet0/1（指向FTP连接借口为以太网0/1口）#undo arp check enable（使得能ARP表项检测，这个可以根据自己在加上其他参数实现）#ip route-static 0.0.0.0 0.0.0.0 220.172.225.129 preference 60（这里是加上外网IP的网关）#user-interface con 0authentication-mode schemeuser-interface aux 0user-interface vty 0 4authentication-mode scheme#return[quidway]好了大家应该看得懂了吧对了支持中文方式命令为 lan chin 缩写只要命令不冲突华为路由支持缩写然后大家要查看相关命令OR功能的话在命令行输入？就行了查看连续命令的话比如怎么转换中文就是lan空格?号就行了然后查看本缩写的相关命令比如就是lan?没空格回复：你做了端口过滤，为什么不应用到接口上？firewall packet-filter 3001 inboundfirewall packet-filter 3001 outboundH3C 路由器使用手册(适用型号：Quidway AR18-22-24)简介quidway ar 18-22-24 是华为3com 公司开发的新一代专业的交换路由器设备，它将路由器和交换机设备有机地结合在一起，为企业或分支机构提供交换及接入的一体化组网解决方案。

一、问题描述组网图：组网说明：G0/0/0 是联通链路地址58.23.90.58G0/0/1 是电信链路地址121.205.3.126联通地址和电信地址的8008端口分别映射内部服务器8008端口要求：联通用户通过联通地址访问，电信用户通过电信地址访问。

客户设备做的是上出口链路，nat server配置如下：nat server 14 protocol tcp global 121.205.3.126 8008 inside 10.1.11.206 8008 no-reversenat server 15 protocol tcp global 58.23.90.58 8008 inside 10.1.11.206 8008 no-reverseip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 121.205.3.1ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 58.23.90.57以上配置，通过电信的地址121.205.3.126的8008端口可以访问内部服务器，但是通过联通地址58.23.90.58 不可以访问二、告警信息无三、处理过程USG2200-hidecmd]display firewall session table verbose_hideboth-direction source global 218.17.167.151tcp VPN:public --> publicZone: untrust--> trust TTL: 00:00:05 Left: 00:00:03 Interface: Vlanif1 NextHop: 10.1.100.1 MAC: 80-fb-06-b0-0d-4d <--packets:0 bytes:0 -->packets:1 bytes:60218.17.167.151:2066-->58.23.90.58:8008[10.1.11.206:8008]tcp VPN:public --> publicZone: trust--> untrust TTL: 00:00:05 Left: 00:00:03 Interface: GigabitEthernet0/0/0 NextHop: 121.205.3.1 MAC:00-e0-fc-65-0c-01<--packets:0 bytes:0 -->packets:1 bytes:6410.1.11.206:8008[58.23.90.58:8008]-->218.17.167.151:2066通过以上命令显示可以看出访问58.23.90.58:8008时，报文由接口GigabitEthernet0/0/1（联通接口）进入，回程报文由GigabitEthernet0/0/0（电信接口）发出，上行路由器开启URPF（严格路由检查）会丢掉这类报文。

/files/19543/19543.htm/zh_cn/netsch ool/net/167716/20070924/14361984.htmllWindows端口映射实现外网访问内网(1)端口映射开放分类：网络端口映射（Port Mapping）：如果你是ADSL、MODEM或光纤等宽带接入用户，想在公司或单位内部建一个服务器或WEB站点，并且想让互联网上的用户访问你的服务器，那么你就会遇到端口映射问题。

通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL的电话线口或路由宽带外网口)，而访问不到内部服务器。

要想让互联网用户访问到你建的服务器，就要在路由器上做一个转发设置，也就是端口映射设置，让互联网用户发送的请求到达路由器后,再转发到你建立的服务器或WEB站点。

这就是端口映射。

由于各个路由器厂商所取功能名称不一样，有的叫虚拟服务器，有的叫NAT设置(BitComet中常见问题)端口映射。

其实做端口映射设置很简单，例如要映射一台内网IP地址为192.168.0.66的WEB服务器，只需把WEB服务器的IP地址192.168.0.66和TCP端口80填入到路由器的端口映射表中就OK了。

关于打开端口映射后的安全问题：设置了端口映射后，互联网用户能够通过设置好映射的端口，跳过路由器防火墙访问到你的服务器，在通过攻击你服务器上的漏洞控制你的主机，所以打开端口映射后有必要在你的服务器上再挂一个防火墙也确保安全性。

华为H3C ER3260 说明书|使用手册系统服务在系统服务中，您可以设置：1 虚拟服务器，设置内部服务器提供给因特网用户访问。

2 dmz（demilitarized zone，非管制区），dmz 的主机，实际就是缺省的虚拟服务器，当需要设置的虚拟服务器的开放端口不确定时，可以把它设置成dmz主机。

3 端口触发，可以实现er3000 系列根据局域网访问因特网的端口来自动开放向内的服务端口。

网件路由器怎么设置端口映射网件netgear全球领先的企业网络解决方案，及数字家庭网络应用倡导者，那么你知道网件路由器怎么设置端口映射吗?下面是店铺整理的一些关于网件路由器设置端口映射的相关资料，供你参考。

网件路由器设置端口映射的方法：注：请在设置端口映射功能之前，确保你要映射的服务器的应用是正常的，同时把该服务器的默认网关指向FR538G即可。

1.登录路由器管理界面，选择Security>Firewall>LAN WAN Rules选项，并点击Inbound Services中的Add添加按钮，如下图所示：2.点击该页Inbound Services下面的add，添加端口映射规则：例如，FVX538中有一台FTP服务器，IP地址为:192.168.1.200，这时我们可以在相应的选项中作以下设置：Server：选择FTP服务Action：ALLOW alwaysSend to LAN Server：输入FTP服务器的IP地址，即192.168.1.200Translate to Port Number：默认不选WAN Destination IP Address：选择WAN1LAN Users：AnyWAN Users;Any注：由于路由器已将HTTP、FTP、SMTP、POP3等常用服务定义好了，所以可直接在Service菜单中选择服务名称即可，但若服务在Service中找不到，则需在进入Security组后选择Services子项先进行服务的编辑，譬如要开放TCP 3389端口，需先完成服务的定义，如下图所示：Name是给服务的命名，Type选择协议类型，有TCP、UDP、TCP/UDP、ICMP四类，视服务所需的协议来选择，Start Port和Finish Port是服务的起始端口，若服务只涉及一个端口，那二者所填相同，Default QoS Priority通常保持缺省设置，除非您有优先级设置的需要可选取其他选项。

一、问题描述组网图：组网说明：G0/0/0 是联通链路地址58.23.90.58G0/0/1 是电信链路地址121.205.3.126联通地址和电信地址的8008端口分别映射内部服务器8008端口要求：联通用户通过联通地址访问，电信用户通过电信地址访问。

客户设备做的是上出口链路，nat server配置如下：nat server 14 protocol tcp global 121.205.3.126 8008 inside 10.1.11.206 8008 no-reversenat server 15 protocol tcp global 58.23.90.58 8008 inside 10.1.11.206 8008 no-reverseip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/0 121.205.3.1ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 58.23.90.57以上配置，通过电信的地址121.205.3.126的8008端口可以访问内部服务器，但是通过联通地址58.23.90.58 不可以访问二、告警信息无三、处理过程USG2200-hidecmd]display firewall session table verbose_hideboth-direction source global 218.17.167.151tcp VPN:public --> publicZone: untrust--> trust TTL: 00:00:05 Left: 00:00:03 Interface: Vlanif1 NextHop: 10.1.100.1 MAC: 80-fb-06-b0-0d-4d <--packets:0 bytes:0 -->packets:1 bytes:60218.17.167.151:2066-->58.23.90.58:8008[10.1.11.206:8008]tcp VPN:public --> publicZone: trust--> untrust TTL: 00:00:05 Left: 00:00:03 Interface: GigabitEthernet0/0/0 NextHop: 121.205.3.1 MAC:00-e0-fc-65-0c-01<--packets:0 bytes:0 -->packets:1 bytes:6410.1.11.206:8008[58.23.90.58:8008]-->218.17.167.151:2066通过以上命令显示可以看出访问58.23.90.58:8008时，报文由接口GigabitEthernet0/0/1（联通接口）进入，回程报文由GigabitEthernet0/0/0（电信接口）发出，上行路由器开启URPF（严格路由检查）会丢掉这类报文。