H3C 企业局域网网络工程实验

1492. PPPoE 的最佳值

1472. 使用 ping 的最大值 （大于此值的信息包会先被分解） 1468. DHCP的最佳值

1430. VPN和PPTP 的最佳值 576. 拨号连接到ISP的标准值

内网接口和虚板接口增加：Tcp mss 1024

二.路由配置备份信息：

1.NAT配置：

nat outbound 2000 允许nat转换地址： acl number 2000

rule 0 permit source 10.10.10.0 0.0.0.255 rule 5 permit source 10.10.40.0 0.0.0.255 rule 10 permit source 10.10.11.0 0.0.0.255 rule 15 permit source 10.10.12.0 0.0.0.255 rule 20 permit source 10.10.13.0 0.0.0.255 rule 25 deny

2.静态路由：

ip route-static 0.0.0.0 0 222.179.44.129 ip route-static 10.10.10.0 24 10.10.40.253 ip route-static 10.10.11.0 24 10.10.40.253 ip route-static 10.10.12.0 24 10.10.40.253 ip route-static 10.10.13.0 24 10.10.40.253

3.ip外网访问控制：

地址段4 – 128 仅qq通信， 129 – 254 没限制：

acl number 3000

rule 1 permit ip source 10.10.10.1 0 rule 2 permit ip source 10.10.10.2 0 rule 3 permit ip source 10.10.10.3 0

rule 4 permit ip source 10.10.10.4 0 （依具体情况添加）

rule 10 deny tcp source 10.10.10.0 0.0.0.127 destination-port neq 443 rule 15 deny udp source 10.10.10.0 0.0.0.127 destination-port neq 8000

rule 20 deny udp source 10.10.10.0 0.0.0.127 destination-port neq 8001 #

4.telnet 控制：

地址段：除245 – 254 之外其他ip不可以使用23端口远程路由。（用于管理员ip）

acl number 3020

rule 9 permit tcp source 10.10.10.250 0 destination-port eq telnet rule 10 permit tcp source 10.10.10.254 0 destination-port eq telnet rule 11 permit tcp source 10.10.10.253 0 destination-port eq telnet rule 13 permit tcp source 10.10.10.252 0 destination-port eq telnet rule 14 permit tcp source 10.10.10.251 0 destination-port eq telnet rule 16 permit tcp source 10.10.10.249 0 destination-port eq telnet rule 17 permit tcp source 10.10.10.248 0 destination-port eq telnet rule 18 permit tcp source 10.10.10.247 0 destination-port eq telnet rule 19 permit tcp source 10.10.10.246 0 destination-port eq telnet rule 20 permit tcp source 10.10.10.245 0 destination-port eq telnet rule 25 deny tcp destination-port eq telnet

5.外网特殊端口流量控制：

控制各个vlan 的ip段：1 – 192 在使用www smtp 端口时控制外网访问流量。 承载流量：cir=300k 突发流量：cbs=50000B

acl number 3060

rule 5 permit tcp source 10.10.10.0 0.0.0.127 destination-port eq www rule 10 permit tcp source 10.10.10.128 0.0.0.63 destination-port eq www rule 20 permit tcp source 10.10.10.0 0.0.0.255 destination-port eq smtp rule 25 permit tcp source 10.10.11.0 0.0.0.127 destination-port eq www rule 30 permit tcp source 10.10.11.128 0.0.0.63 destination-port eq www rule 35 permit tcp source 10.10.11.0 0.0.0.255 destination-port eq smtp rule 40 permit tcp source 10.10.12.0 0.0.0.127 destination-port eq www rule 45 permit tcp source 10.10.12.128 0.0.0.63 destination-port eq www rule 50 permit tcp source 10.10.12.0 0.0.0.255 destination-port eq smtp rule 55 permit tcp source 10.10.13.0 0.0.0.127 destination-port eq www rule 60 permit tcp source 10.10.13.128 0.0.0.63 destination-port eq www rule 65 permit tcp source 10.10.13.0 0.0.0.255 destination-port eq smtp

应用接口：

qos car inbound acl 3060 cir 300 cbs 50000 ebs 0 green pass red discard yellow pass

6.登陆设置：

local-user admin class manage password hash $h$6$dffaj4F6TAGyIgeC$32iC9HfWJC0mjY4gu8tECu5Y6/h0z3naWe3uCPRStOeCW/NFbU0/VGrq/N/ry9bsY1aD9Ry8Fw9yvRt3BqzX6Q== （cisco-2014）

service-type telnet http

authorization-attribute user-role network-operator

7.dns 代理设置

dns proxy enable

dns server 61.128.128.68 dns server 8.8.8.8

8.nat hairpin enable 设置

interface gigabitethernet 0/1 nat hairpin enable quit

解释 nat hairpin ：

比如一台NAT设备，外网eth0的IP为1.1.1.1 内网eth1 IP为192.168.0.254 外网IP 1.1.1.1的80端口映射给了内网WEB服务器192.168.0.100

当内网用户192.168.0.30访问1.1.1.1:80 WWW的时候，这个流量就是hairpin，在NAT绕了一下

9.MSR路由器FTP升级 拓扑：

1） 基本配置：

ftp server enable //全局启用ftp server #

Local-user h3c //建立ftp账号 Password simple h3c Level 3 #

Server-type ftp #

2） 操作步骤：

ftp客户端：

查看设备启动时的配置文件与启动时加载的版本信息。