h3c路由器典型配置案例

H3C ⽆线基本配置实例h3c ⽆线控制器ac 配置H3C WX3024H ⽆线AC配置⽅法AC 控制器配置：在L3 switch 上开启DHCP server 功能，AP 、⽆线客户端Client 和有线客户端Host 都能通过DHCP server ⾃动获取IP 地址。

在L3 switch 和AC 上配置到达对端⽹段的静态路由。

在AC 上配置⽆线服务，确保Client 可以通过配置的⽆线服务接⼊⽹络。

配置注意事项配置AP 的序列号时请确保该序列号与AP 唯⼀对应，AP 的序列号可以通过AP 设备背⾯的标签获取。

配置L3 switch 和AP 相连的接⼝禁⽌VLAN 1报⽂通过，以防⽌VLAN 1内报⽂过多。

1 配置AC(1) 配置AC 的接⼝# 创建VLAN 10及其对应的VLAN 接⼝，并为该接⼝配置IP 地址。

AP 将获取该IP 地址与AC 建⽴CAPWAP 隧道。

<AC> system-view[AC] vlan 10[AC-vlan10] quit[AC] interface vlan-interface10[AC-Vlan-interface10] ip address 10.152.1.6 255.255.255.0[AC-Vlan-interface10] quit# 创建VLAN 70，AC 需要使⽤该VLAN 转发⽆线客户端数据报⽂。

[AC] vlan 70[AC-vlan70] quit# 配置AC 和L3 switch 相连的接⼝GigabitEthernet1/0/1为Trunk 类型，禁⽌VLAN 1报⽂通过，允许VLAN 10和VLAN 70通过。

[AC] interface gigabitethernet 1/0/1[AC-GigabitEthernet1/0/1] port link-type trunk[AC-GigabitEthernet1/0/1] undo port trunk permit vlan 1[AC-GigabitEthernet1/0/1] port trunk permit vlan 10 70[AC-GigabitEthernet1/0/1] quit(2)配置三层路由# 配置AC 到10.152.7.0⽹段的静态路由，指定下⼀跳的IP 地址为10.152.1.2。

光纤链路排错经验一、组网：用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。

用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。

组网如下图所示：二、问题描述：PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。

在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。

监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。

三、过程分析：想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。

在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转接到主干光纤，然后再通过核心跳线转接到核心交换上。

由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。

当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。

最后再检测主线路部分，检测方式同跳线一样。

光路走向流程如图所示：四、解决方法：从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。

为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。

由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。

由此可以判断出主要问题在两端的跳纤上。

如图所示：在没有光功率计并且客户业务又比较着急恢复的情况，可以先将两端的接入跳纤更换。

静态路由配‎置案例。

路由器A配‎置:[route‎A]inter‎f ace e0[route‎A-e0]ip addre‎s s 192.168.0.1 255.255.255.0[route‎A]inter‎f ace s0[route‎A-s0]ip addre‎s s 192.168.1.1 255.255.255.0[route‎A-s0]link-proto‎c ol ppp [配置封装协‎议][route‎A]ip route‎-stati‎c192.168.3.0 255.255.255.0 192.168.1.2 prefe‎r ence‎60 [设置静态路‎由,优先级为6‎0]路由器B配‎置:[route‎B]inter‎f ace e0[route‎B-e0]ip addre‎s s 192.168.3.1 255.255.255.0[route‎B]inter‎f ace s0[route‎B-s0]ip addre‎s s 192.168.2.1 255.255.255.0[route‎A-s0]link-proto‎c ol ppp [配置封装协‎议][route‎A]ip route‎-stati‎c 192.168.0.0 255.255.255.0 192.168.1.1 prefe‎r ence‎60 [设置静态路‎由,优先级为6‎0]使用默认路‎由配置:缺省路由也‎是一种静态‎路由.简单地说,缺省路由就‎是在没有找‎到任保匹配‎置的路由项‎情况下,才使用的路‎由.即只有当无‎任何合适的‎路由时,缺省路由才‎被使用.[rotue‎A]ip route‎-statc‎i 0.0.0.0 0.0.0.0 s0 prefe‎r ence‎60『注意』上面命令中‎用到了Se‎r ial 0，接口的名字‎，如串口封装‎P P P 或H‎D LC协议‎，这时可以不‎用指定下一‎跳地址，只需指定发‎送接口即可‎。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

组网说明：本案例采用H3C HCL模拟器来模拟IPV6 IBGP典型组网配置案例。

R1属于AS 100，R2属于AS 200。

要求R1与R2建立EBGP邻居关系后，R1和R2的loopback 0地址能够互通。

配置思路：1、按照网络拓扑图正确配置IPV6地址2、R1与R2建立EBGP邻居关系配置过程：R1：<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]sysname R1[R1]int LoopBack 1[R1-LoopBack1]ip address 1.1.1.1 32[R1-LoopBack1]quit[R1]int loopback 0[R1-LoopBack0]ipv6 address 2::1 64[R1-LoopBack0]quit[R1]int gi 0/0[R1-GigabitEthernet0/0]des <connect to R2>[R1-GigabitEthernet0/0]ipv6 address 1::1 64[R1-GigabitEthernet0/0]quit[R1]bgp 100[R1-bgp-default]router-id 1.1.1.1[R1-bgp-default]peer 1::2 as-number 200[R1-bgp-default]address-family ipv6 unicast[R1-bgp-default-ipv6]peer 1::2 enable[R1-bgp-default-ipv6]network 2:: 64[R1-bgp-default-ipv6]quit[R1-bgp-default]quitR2：<H3C>sysSystem View: return to User View with Ctrl+Z. [H3C]sysname R2[R2]int loopback 1[R2-LoopBack1]ip address 2.2.2.2 32[R2-LoopBack1]quit[R2]int loopback 0[R2-LoopBack0]ipv6 address 3::1 64[R2-LoopBack0]quit[R2]int gi 0/0[R2-GigabitEthernet0/0]des <connect to R1> [R2-GigabitEthernet0/0]ipv6 address 1::2 64 [R2-GigabitEthernet0/0]quit[R2]bgp 200[R2-bgp-default]router-id 2.2.2.2[R2-bgp-default]peer 1::1 as-number 100 [R2-bgp-default]address-family ipv6 unicast [R2-bgp-default-ipv6]peer 1::1 enable[R2-bgp-default-ipv6]network 3:: 64[R2-bgp-default-ipv6]quit[R2-bgp-default]quit查看R1和R2的路由表：查看R1的BGP邻居信息：查看R2的BGP邻居信息：查看R1的IPV6 BGP路由表：查看R2的IPV6 BGP路由表：R1的loopback0作为源，能PING通R2的loopback0：R2的loopback0作为源，能PING通R1的loopback0：至此，IPV6之EBGP典型组网配置案例已完成！。

1.组网需求，Host运行PPPoE Client，通过设备Router接入到Internet。

设备作为PPPoE Server，配置本地认证，并通过地址池为用户分配IP地址。

设备Router通过Ethernet1/1接口连接以太网，Serial2/0接口连接Internet增加一个PPPoE用户。

<Sysname>system-view[Sysname]local-user user1[Sysname-luser-user1]password simple pass1[Sysname-luser-user1]service-type ppp[Sysname-luser-user1]quit#在设备Router上配置虚拟模板参数。

[Sysname]interface virtual-template1[Sysname-Virtual-Template1]ppp authentication-mode chap domain system[Sysname-Virtual-Template1]ppp chap user user1[Sysname-Virtual-Template1]remote address pool1[Sysname-Virtual-Template1]ip address1.1.1.1255.0.0.0[Sysname-Virtual-Template1]quit#在设备Router上配置PPPoE参数。

[Sysname]interface ethernet1/1[Sysname-Ethernet1/1]pppoe-server bind virtual-template1[Sysname-Ethernet1/1]quit#配置域用户使用本地认证方案。

[Sysname]domain system[Sysname-isp-system]authentication ppp local#增加一个本地IP地址池（9个IP地址）[Sysname-isp-system]ip pool11.1.1.21.1.1.10这样，以太网上各主机安装PPPoE客户端软件后，配置好用户名和密码（此处为user1和pass1）就能使用PPPoE协议，通过设备Router接入到Internet。

H3C配置经典全面教程〔经验和资料收集整理版〕1 H3C MSR路由器、交换机根本调试步骤〔初学级别〕：如何登陆进路由器或交换机搭建配置环境第一次使用H3C系列路由器时，只能通过配置口(Console)进行配置。

1〕将配置电缆的RJ-45一端连到路由器的配置口(Console)上。

2〕将配置电缆的DB-9(或DB-25)孔式插头接到要对路由器进行配置的微机或终端的串口上。

备注：登陆交换机的方法与路由器的一致，现仅用路由器举设置微机或终端的参数〔进入路由器或交换机〕1〕翻开微机〔笔记本电脑〕或终端。

如果使用微机进行配置，需要在微机上运行终端仿真程序，如Windows的超级终端。

2〕第二步：设置终端参数a、命名此终端 H3C或者自己想命的名b、选择串口一般选用COM口，常选用COM1c、设置终端具体参数(此处点击“默认值〞即可)d、翻开路由器的电源，路由器进行启动e、当路由器启动完毕后，回车几下，当出现<H3C>时即可配置路由器。

路由器根本调试命令1使用本地用户进行telnet登录的认证<H3C> system-view 进入系统视图[H3C]telnet server enable 翻开路由器的telnet功能[H3C]configure-user count 5设置允许同时配置路由器的用户数[H3C]local-user telnet 添加本地用户(此处为telnet用户登陆时使用的用户名)[H3C-luser-telnet]password simple h3c 设置telnet用户登陆时所使用的密码[H3C-luser-telnet]service-type telnet 设置本地用户的效劳类型(此处为telnet)[H3C-luser-telnet]level 3 设置本地用户的效劳级别[H3C-luser-telnet]quit 退出本地用户视图[H3C][H3C]user-interface vty 0 4 进入用户视图[H3C-ui-vty0-4]authentication-mode scheme 选择“scheme〞认证方式备注：红色局部可以由客户自行设置，此处仅做举例时使用!路由器接口的配置为接口配置ip地址<H3C> system-view 进入系统视图[H3C] interface serial 3/0 进入某个端口[H3C-Serial3/0] ip address 为该端口设置ip地址[H3C-Serial3/0] undo shutdown 对该端口进行复位[H3C-Serial3/0] quit 退回到系统视图[H3C]备注：红色局部可以由客户自行设置，此处仅做举例时使用!静态路由或默认路由的配置<H3C> system-view 进入系统视图[H3C]ip route-static 192.168.1.0 255.255.255.0 192.168.0.1 添加一条静态路由[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 添加一条默认路由备注：红色局部可以由客户自行设置，此处仅做举例时使用!配置文件的管理display current-configuration 显示当前的配置文件<H3C>save 保存配置文件display interface GigabitEthernet 0/0 查看某端口的状态备注：display命令可以在任何视图下进行红色局部可以由客户自行设置，此处仅做举例时使用!交换机的配置文件管理与路由器相同，故交换机的配置幻灯片中不再做举例。

1 UR 路由器+交换机+AP 组网案例1.1 适用场景本组网方案适用于中小微企业办公、门店商超、酒店别墅等场景。

1.2 组网需求以某小型超市场景为例，介绍UR 路由器+交换机+AP 组网如何进行部署。

如图1所示，UR 路由器（内置AC ）下联交换机，交换机下联AP 、收银终端和摄像头等设备，且交换机通过PoE 方式给AP 和摄像头供电。

为把超市的网络搭建好，超市老板希望能满足以下要求：•划分办公、访客、监控三个子网，访客子网供顾客上网使用，办公子网用于接入超市收银终端，监控子网用于接入摄像头。

•开通一个供员工办公使用的Wi -Fi ，需要输入密码认证。

• 开通一个供访客使用的Wi -Fi ，无需认证。

图1 UR 路由器+交换机+AP 组网图1.3 数据规划表1 子网规划路由器交换机AP 无线终端收银终端摄像头无线终端AP表2 接口加入VLAN规划1.4 使用版本本配置举例是在UR7206路由器Release 0133版本、US1750-28P-PWR交换机Release 6351版本上配置验证的，不同版本设备界面可能存在差异，请以实际情况为准。

1.5 配置思路通过浏览器登录路由器和交换机Web管理界面进行配置：•按规划在路由器和交换机上划分子网，并在路由器上配置DHCP，可以为终端分配IP地址。

•在路由器上配置办公和访客使用的Wi-Fi网络，让无线终端能够连接Wi-Fi上网。

1.6 配置注意事项•本例AP的信道、功率和频宽均保持缺省配置，您可以根据实际组网场景进行优化调整。

•本例路由器VLAN1保持缺省配置，IP地址为192.168.1.1/24，交换机VLAN1缺省IP地址修改为192.168.1.2/24。

1.7 配置过程1. 配置路由器(1) 配置外网# 配置路由器连接外网，本例外网的连接模式为PPPoE。

a. 在浏览器地址栏输入https://192.168.1.1，进入路由器Web管理界面。

SSL VPN配置举例关键词：SSL、 WEB、VPN、 HTTPS、 TCP、 IP摘要：本文简单描述了SSL VPN的特点，详细描述了SSL VPN的基本方法和详细步骤，给出SSL VPN基本的配置案例。

缩略语：缩略语英文全名中文解释LayerSSL SecuritySocket安全套接层VPN Virtual Private Network) 虚拟专有网络HTTPS Hypertext Transfer Protocol Secure 安全超文本传输协议TCP Transfer Control Protocol 传输控制协议IP Internet Protocol, 网际协议网际协议目录1 介绍 (1)1.1 特性简介 (1)1.2 特性关键技术点 (1)2 特性使用指南 (2)2.1 使用场合 (2)2.2 配置指南 (2)2.3 配置步骤 (3)2.3.1 SSL VPN命令行基本配置 (4)2.4 注意事项 (4)3 支持的设备和版本 (4)3.1 使用的版本 (4)3.2 支持的设备清单 (5)4 配置举例 (5)4.1 组网需求 (5)4.2 物理连接图 (6)4.3 设备基本命令行配置 (7)4.4 WEB业务典型配置举例 (7)4.4.1 超级管理员创建域，并设置域管理员初始密码 (7)4.4.2 登录h3c域 (10)4.4.3 配置WEB业务资源 (10)4.4.4 创建资源组，并把已配置的资源加入到资源组 (12)4.4.5 创建用户、用户组，并把资源组和用户组关联起来 (12)4.4.6 WEB业务验证结果 (14)4.4.7 WEB业务故障排除 (16)4.5 TCP业务典型配置举例 (16)4.5.1 超级管理员创建域，并设置域管理员初始密码 (16)4.5.2 登录h3c域 (16)4.5.3 配置TCP业务资源 (16)4.5.4 创建资源组，并把已配置的资源加入到资源组 (19)4.5.5 创建用户、用户组。

H3C路由器高级ACL配置案例1. 组网需求禁止计算机通过TELNET登陆到路由器，路由器的Ethernet0/0端口IP为192.168.0.1/24，计算机的IP为192.168.0.2/24。

2. 组网图图1-1 访问控制典型配置举例3. 配置步骤(1) 路由器以太网地址<H3C> system-view[H3C] int e0/0[H3C-interface0/0] ip add 192.168.0.1 24[H3C]user-interface vty 0[H3C-ui-vty0]authentication password[H3C-ui-vty0]set authentication password simple 123456[H3C-ui-vty0]user privilege level 3(2) 定义ACL# 进入ACL3000视图。

[H3C] acl number 3000# 定义访问规则。

[H3C-acl-adv-3000] rule deny tcp source 192.168.0.2 0 destination 192.168.0.1 0 destination-port eq 23[H3C-acl-adv-3000] quit(3) 在路由器上启动防火墙功能[H3C] firewall enable(4) 在端口上应用ACL# 在端口上应用ACL 3000。

[H3C] interface ethernet0/0[H3C-Ethernet0/0] firewall packet-filter 3000 inbound4.测试方法（1）计算机上ping交换机的管理IP：telnet 192.168.0.1 （结果不通）（2）但是把计算机接到交换机的其他端口，如：ethernet1/0/3，则，telnet 192.168.0.1 （结果通）。

光纤链路排错经验一、组网：用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。

用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。

组网如下图所示：二、问题描述：PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。

在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。

监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。

三、过程分析：想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。

在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转接到主干光纤，然后再通过核心跳线转接到核心交换上。

由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。

当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。

最后再检测主线路部分，检测方式同跳线一样。

光路走向流程如图所示：四、解决方法：从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。

为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。

由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。

由此可以判断出主要问题在两端的跳纤上。

如图所示：在没有光功率计并且客户业务又比较着急恢复的情况，可以先将两端的接入跳纤更换。

H3C MSR路由器双出口NAT服务器的典型配置一、需求：MSR的G0/0连接某学校内网,G5/0连接电信出口，G5/1连接教育网出口,路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。

电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络,会被电信过滤。

该校内网服务器192。

168.34.55需要对外提供访问，其域名是test。

h3c。

,对应DNS解析结果是211。

1.1。

4。

先要求电信主机和校园网内部主机都可以通过域名或211。

1。

1。

4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络.设备清单：MSR一台二、拓扑图：三、配置步骤：适用设备和版本：MSR系列、Version 5。

20，Release 1205P01后所有版本。

四、配置关键点:1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211。

1.1。

4会被电信给过滤掉,因此必须使用策略路由从G5/1出去;3）策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略；4）在G0/0应用2个NAT的作用是使内网可以通过访问211.1。

1。

4访问内部服务器test。

cn，如果只使用NAT Outbound Static，那么内部主机192.168。

1。

199发送HTTP请求的源、目的地址对<192。

168。

1.199, 211.1。

1.4〉会变成〈192。

168.1。

199,192.168。

34.55>然后发送给内部服务器，那么内部服务器会把HTTP响应以源、目的地址对<192.168.34。