记录更换路由器
记录更换路由器
路由器作为网络出口是必须要足够稳定的,鉴于目前公司的软路由有几率出故障,所以最后决定进行更换为硬路由。型号的确定无非关乎带机量与端口数。最终选定huawei AR6300-s,3000人的带机量足够未来几年的使用。
这款机器是3U的高度,上机的时候还是需要多人配合的。下面记录下配置过程吧。
首先console口进去,一开始会要求设定账号密码
设置接口ip,拿根线插个核心交换机
int g 0/0/1
ip add 192.168.0.1 24
设置本地的dns
dns server 114.114.114.114
dns resolve
配置dns是为了在线更新系统,发现报错
解决办法是上传证书
发现已经是最新版本了。。我个人觉得上架配置的时候先把系统升级到最新。后面上线正式使用后就别管升级了。
配置telnet
user-interface vty 0 4
authentication-mode aaa
aaa
local-user admin password irreversible-cipher
local-user admin service-type telnet
local-user admin privilege level 3
telnet server permit interface all //这步很关键
telnet server enable
http的开启也类似,需要加一句http server permit interface all
配置设备作为dhcp服务器,用核心交换机当网关,核心交换机配置dhcp中继指向路由器
dhcp enable
ip pool vlan2
gateway-list 192.168.1.1 24
network 192.168.1.0 24
dns-list 114.114.114.114 8.8.8.8
lease day 2 hour 0 minute 0 //租约2天
static-bind ip-address 192.168.1.3 mac-address 0011-0011-0011 //绑定ip/mac地址
excluded-ip-address 192.168.1.240 192.168.1.254 //排除地址范围
int g0/0/1
dhcp select global
静态路由
ip route-static 0.0.0.0 0 111.222.333.444 //默认路由指向出口
ip route-static 192.168.0.0 24 192.168.0.2 //做回程路由,指向核心交换机
配置nat 基本上都是用easy ip的方式访问互联网,很少企业有连续的外网地址池
acl number 2000
rule permit source any
interface g 0/0/0
nat outbound 2000 //在出接口上做easy ip方式的nat
做完这步就可以上外网了
多出口做策略路由
企业一般不止一条线路做出口,希望某个网段走某条线路
acl number 3000
rule 5 permit source 192.168.0.0 0.0.0.255
acl number 3001
rule 5 permit source 172.16.0.0 0.0.0.255
acl number 3002
rule permit any
流分类
traffic classifier dianxin
if-match acl 3000
traffic classifier yidong
if-match acl 3001
traffic classifier lan
if-match acl 3002
流行为
traffic behavior dianxin
redirect ip-nexthop 123.123.123.1 //重定向地址填isp网关地址
traffic behavior yidong
redirect ip-nexthop 234.234.234.1
traffic behavior lan
流策略
traffic policy traffic-policy
classifier lan behavior lan precedence 0
classifier dianxin behavior dianxin precedence 5
classifier yidong behavior yidong precedence 5
接口调用流策略
int XGigabitEthernet0/0/0
traffic-policy traffic-policy inbound //单个接口只能调用一个流策略
端口映射
配置nat server
int g 0/0/6
nat server protocol tcp global current-interface 81 inside 192.168.0.3 80
如果出现内网访问失败,外网访问正常,还需要在内网口做对应配置,做双向nat
int g 0/0/1
nat server protocol tcp global interface g 0/0/6 81 inside 192.168.0.3 80
nat outbound 2000
配置l2tp
l2tp enable
ip pool l2tp
gateway-list 10.0.0.1
network 10.0.0.0 mask 24
aaa
local-user test password cipher 111111
local-user test privilege level 3
local-user test service-type ppp
interface virtual-template1
ppp authentication-mode chap
remote address pool l2tp
ip address 10.0.0.1 24
l2tp-group 1
undo tunnel authentication //不认证
allow l2tp virtual-template 1
l2tp连接失败可以改下注册表试试
单击“开始 > 运行”,输入regedit打开注册表,找到路径HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters,新建DWORD值,名称为ProhibitIpSec,取值为1,并选择基数为十六进制,修改完成后重启PC,配置生效。
用l2tp拨进来默认是获取的主线路ip的,这个也是可以选择路线的,在virtual-template1下配置traffic-policy traffic-policy inbound
配置禁止上网
一样用策略路由
acl 2002
rule 5 deny source 192.10.0.0 0.0.0.255
traffic classifier no-waiwang
if-match acl 2002
traffic behavior no-waiwang
deny
traffic policy traffic-policy
classifier no-waiwang behavior no-waiwang precedence 5
查dhcp地址池分配设备ip信息
display ip pool name vlan168 all
后面发现一个问题,别人可以通过外网地址telnet这台路由器,这肯定是需要禁止的,一开始想用的是acl去做,后面想到直接改下之前的那个命令就行,把允许所有接口改成只允许内网口
telnet server permit interface g 0/0/1