H3C路由器设置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.端口映射
如某公司内网有做游戏或者其他服务机器,需要外网的机器访问时,需要设置端口映射内部机器:192.168.2.223
外网IP:61.190.38.198
需要做端口映射:在NAT配置中设置
2.内网中的PC通过域名访问内部的服务器
内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777
内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1)
命令配置:
Acl number 3400
Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80
Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777
Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 80
Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0 destination-port eg 3777
Interface vlan-interface 3
Nat outbound 3400
注:acl的子网掩码和子网掩码是相反的,192.168.1.0/24的子网掩码是255.255.255.0 则acl的子网掩码是0.0.0.255
3.IP和MAC地址绑定
防止ARP欺骗
1)arp扫描:ARP防攻击
2)固化
4.互联网访问控制
1)设置时间
注:1-2、2-1无内置电池,设备重启后时间恢复成2007年1月1日。
2)设置访问控制
5.用户群组
1)添加群组
2)在相应的组中添加用户
3)访问控制
4)应用控制
5)带宽控制
6)包过滤
6.内部访问隔离
1)限制VLAN1和VLAN2、VLAN3互访
VLAN1:192.168.1.0/24
VLAN2:192.168.2.0/24
VLAN3:192.168.3.0/24
命令:
Firewall enable
Acl number 2300
Rule 0 deny source 192.168.1.0 0.0.0.255 Interface vlan-interface 2
Firewall packet-filter 2300 outbound
Interface vlan-interface 3
Firewall packet-filter 2300 outbound
2)vlan2访问vlan3,但是vlan3不能访问vlan2
firewall enable
acl number 2301
rule 0 deny
aspf-policy 1
detect tcp
detect udp
interface vlan-interface 3
firewall packet-filter 2301 inbound
firewall aspf 1 outbound
7.VPN L2TP