H3C ER3100作为一款企业级路由器,广泛应用于中小企业网络部署,其配置涉及接口管理、NAT转换、路由策略、安全防护等多个维度,以下从基础配置到高级功能,详细说明常用命令及操作逻辑。
(图片来源网络,侵删)
基础配置
首次配置通常通过Console口或Telnet/SSH登录,初始默认IP地址为192.168.1.1(子网掩码255.255.255.0),用户名和密码均为“password”。
- 设备登录与密码修改
system-view // 进入系统视图 super password cipher <新密码> // 修改超级用户密码 user-interface console 0 authentication-mode password set authentication password cipher <Console密码> // 设置Console登录密码
- 接口配置
以配置WAN口(如GigabitEthernet 1/0)和LAN口(如GigabitEthernet 1/1)为例:interface GigabitEthernet 1/0 ip address <WAN IP> <子网掩码> // 如pppoe拨号后动态获取,则无需配置静态IP description WAN-Interface interface GigabitEthernet 1/1 ip address 192.168.10.1 255.255.255.0 // LAN口地址作为网关 description LAN-Interface
NAT配置
企业环境中,NAT用于内网主机共享公网IP,常用PAT(端口地址转换)模式。
- 定义NAT地址池
nat address-group 1 202.100.10.1 202.100.10.10 // 公网IP池范围
- 配置ACL匹配内网网段
acl number 2000 rule permit source 192.168.10.0 0.0.0.255 // 允许内网192.168.10.0/24段
- 应用NAT策略
interface GigabitEthernet 1/0 nat outbound 2000 address-group 1 // 出口接口应用NAT,使用地址池1
路由配置
- 静态路由
ip route-static 0.0.0.0 0.0.0.0 <下一跳IP/出接口> // 默认路由指向WAN口网关或运营商指定IP
- 动态路由(OSPF示例)
ospf 1 area 0 network 192.168.10.0 0.0.0.255 // 宣告LAN网段
DHCP服务配置
为内网主机自动分配IP地址:
dhcp enable // 全局开启DHCP interface GigabitEthernet 1/1 dhcp server ip-pool LAN-Pool gateway-list 192.168.10.1 network 192.168.10.0 mask 255.255.255.0 dns-list 8.8.8.8 114.114.114.114 // 指定DNS服务器 excluded-address 192.168.10.1 192.168.10.10 // 排除静态IP地址
安全策略配置
- ACL访问控制
acl number 3000 rule deny tcp source any destination-port eq 22 // 禁止外网SSH访问 rule permit ip // 默认允许其他流量 interface GigabitEthernet 1/0 traffic-filter inbound acl 3000 // 在WAN口应用ACL
- 防火墙策略
firewall packet-filter default permit // 默认允许所有包
PPPoE拨号配置(WAN口为PPPoE场景)
interface Dialer 1 pppoe-client dialer-number 1 pppoe-user <运营商账号> pppoe-password <密码> ip address ppp-negotiate nat outbound // 出口接口自动启用NAT
常用维护命令
save // 保存配置 display current-configuration // 查看当前配置 display ip interface brief // 查看接口IP状态 ping <目标IP> // 测试连通性 tracert <目标IP> // 路由追踪
相关问答FAQs
Q1: 如何配置ER3100的端口映射(端口转发)?
A1: 端口映射需结合ACL和NAT ALG(应用层网关)实现,将内网服务器192.168.10.100的80端口映射到公网IP:
(图片来源网络,侵删)
acl number 4000 rule permit tcp source any destination-port eq 80 interface GigabitEthernet 1/0 nat inbound 4000 protocol tcp global <公网IP> 80 inside 192.168.10.100 80
Q2: 配置完成后无法上网,如何排查?
A2: 按以下步骤排查:
- 检查WAN口状态:
display interface GigabitEthernet 1/0,确认IP获取成功(PPPoE需验证拨号状态); - 检查NAT配置:
display nat session,查看是否有会话建立; - 检查路由表:
display ip routing-table,确认默认路由正确; - 检查ACL是否误拦截:
display acl 3000,确保流量未被禁止。
(图片来源网络,侵删)
