er5200g3如何进入命令行界面配置acl

您好，这是主web配置的，在web配置就行

web配置的设备 

建议使用MSR36的路由或者F1000的防火墙实现

一、整体思路

• A 地（已配策略路由）：将指定 IP 的流量通过 VPN 隧道送到 B 地（ER5200G3）。

• B 地（ER5200G3）：

  1. 接收 VPN 流量：VPN 隧道建立后，B 地会学到 A 地的内网路由（或手动指定）。

  2. 策略路由：将从 VPN 接口进入、且源为指定 IP 的流量，强制走 B 地的某条运营商线路（如 WAN2）出去。

  3. NAT 转换：从运营商出口出去时，必须做 NAT（源地址转换），否则回包无法回来。

  4. 回程路由：运营商返回的流量到达 B 地后，B 地需要知道如何送回 A 地（通过 VPN 隧道）。

二、ER5200G3 Web 配置步骤

1. 确认 VPN 隧道已建立并能通信

• 确保 B 地的 ER5200G3 与 A 地的 VPN 设备（可能是另一台 ER 或防火墙）之间的 IPsec 或 L2TP VPN 已成功建立。

• 在 ER5200G3 的 VPN > IPsec 或 VPN > L2TP 页面查看隧道状态应为“已连接”。

• 关键点：B 地需要能 ping 通 A 地 VPN 内网的指定 IP，这是后续配置的基础。

2. 配置策略路由（让 VPN 来的流量走指定 WAN 口）

ER5200G3 支持基于源地址的策略路由，正好满足你的需求。

1. 登录 ER5200G3 Web 管理界面。

2. 进入 高级选项 > 策略路由。

3. 点击 <添加>。

4. 填写规则：

   • 接口：选择 VPN 隧道对应的接口（通常是 VPN 接口名称，如 VPN1 或 tunnel1，如果没有明确接口，可选择 Any 并结合源 IP 区分）。

   • 协议类型：选择 所有协议 或根据实际需要指定（如 TCP/UDP）。

   • 源 IP 地址段：输入 A 地需要被转发的指定 IP 段（例如 192.168.10.100-192.168.10.200）。

   • 目的 IP 地址段：通常留空或填 0.0.0.0-255.255.255.255（表示所有目的地址）。

   • 出接口：选择 B 地的运营商出口，例如 WAN2（假设你想让流量走 WAN2 出去）。

   • 强制：建议勾选，确保即使 WAN2 检测为断开（实际可能因拨号等有延迟）时策略仍生效。

   • 是否启用：勾选。

5. 点击 <确定> 保存。

注意：策略路由的优先级按列表顺序匹配，建议将此规则放在最前面。

3. 配置 NAT 源地址转换

从 WAN2 出去的流量必须做 NAT（源地址转换），否则运营商会丢弃回包。

1. 进入 网络设置 > NAT 设置（或 高级选项 > NAT）。

2. 查看 NAT 规则列表，通常 ER 系列默认会为每个 WAN 口开启自动 NAT（即所有从该口出去的流量都自动转换）。

3. 如果默认已开启：无需额外配置，只要流量从 WAN2 出去，就会自动被 NAT 成 WAN2 的公网 IP。

4. 如果未开启：需要手动添加一条 NAT 规则：

   • 接口：选择 WAN2。

   • 协议类型：任意。

   • 源 IP 段：留空（表示所有从 VPN 来的内网 IP）。

   • 转换后源 IP：选择 出接口地址（即 WAN2 的公网 IP）。

   • 启用：勾选。

4. 配置回程路由

当运营商将响应数据回传给 B 地 WAN2 口后，B 地需要知道如何将这些数据送回 A 地的 VPN 内网。

1. 进入 网络设置 > 路由设置（或 高级选项 > 静态路由）。

2. 点击 <添加>。

3. 填写静态路由：

   • 目的 IP 地址：输入 A 地 VPN 内网的网段（例如 192.168.10.0）。

   • 子网掩码：255.255.255.0。

   • 下一跳 IP：这里不能直接填下一跳 IP，因为 VPN 隧道是虚拟接口。ER 系列通常支持选择出接口，所以应选择 VPN 隧道接口（如 VPN1、tunnel1 或 IPsec 虚拟接口名称）。

   • 度量值：默认即可。

4. 点击 <确定>。

注意：如果 ER5200G3 的 VPN 配置中自动添加了去往对端内网的路由，则此步骤可省略。但建议手动检查确认。

5. 检查防火墙策略

确保 ER5200G3 的防火墙规则允许从 VPN 接口到 WAN 接口的转发。

1. 进入 安全设置 > 防火墙。

2. 查看 转发规则，确认没有禁止 VPN 到 WAN 的流量。

3. 如果有访问控制列表，需添加一条允许 A 地指定 IP 从 VPN 到 WAN2 的规则。

三、验证与排错

1. 从 A 地指定 IP 发起访问（如 ping 一个公网地址 8.8.8.8）。

2. 在 B 地 ER5200G3 上检查：

   • 策略路由匹配情况：部分 ER 系列支持查看策略路由的命中次数（可在策略路由列表页看到“命中次数”字段，若无则只能靠流量验证）。

   • NAT 会话表：进入 系统监控 > NAT 监控，查看是否有从 A 地内网 IP 到公网的 NAT 会话。

3. 在 B 地 WAN2 口抓包（如果有条件）：确认发出的数据包源 IP 是 WAN2 的公网 IP。

4. 如果流量不通，依次排查：

   • VPN 隧道是否稳定？

   • 策略路由的“出接口”是否选对？

   • NAT 是否生效？

   • 回程路由是否配置正确（特别是出接口选择）？

不支持什么命令行，web界面配置

一、先明确你的组网与需求（假设）

• A 地：内网网段 10.1.0.0/24，需要走 B 地出口的 IP 段：10.1.0.10–10.1.0.20
• B 地 ER5200G3：
  • WAN1：公网（运营商）
  • LAN：内网 + VPN 隧道（假设 VPN 隧道接口为 tunnel0）
• 需求：
  1. 从 A 地 10.1.0.10–20 过来的流量 → 在 B 地做 NAT 走 WAN1 公网
  2. 公网回程 → 原路回 VPN 到 A 地
  3. 其他流量正常转发

二、Web 界面配置步骤（ER5200G3）

1. 登录 Web 管理

• 浏览器访问：http://192.168.1.1（默认）
• 用户名 / 密码：admin/admin（或你修改后的）

2. 定义 ACL（匹配 A 地需要 NAT 的 IP）

1. 新建 ACL：
   • ACL 类型：基本 ACL
   • ACL 编号：2000（自定义）
   • 描述：VPN_A_NAT
2. 添加规则：
   • 规则 ID：5
   • 动作：允许
   • 源 IP：10.1.0.10
   • 源掩码：255.255.255.0（或精确范围用反掩码）
   • 目的：任意
   • 生效：勾选
3. 保存。

如需范围 10.1.0.10–20，可添加多条规则，或用高级 ACL 精确匹配。

3. 配置 NAT（VPN 流量做源 NAT）

3.1 配置 Easy IP（推荐，复用 WAN 口公网 IP）

1. 新建 NAT 规则：
   • 转换类型：源地址转换（Easy IP）
   • 出接口：WAN1（你的运营商出口）
   • 关联 ACL：选择刚才的 ACL 2000
   • 地址池：不选（用接口 IP）
   • 描述：VPN_A_to_WAN1_NAT
2. 保存并启用。

3.2 （可选）静态 NAT（固定公网 IP 映射）

1. 先建地址池：NAT → 地址池 → 新建
   • 名称：NAT_POOL
   • 起始 / 结束 IP：你的公网 IP 段
2. 再建源 NAT：
   • 转换类型：源地址转换（地址池）
   • 出接口：WAN1
   • 关联 ACL：2000
   • 地址池：选 NAT_POOL
   • 端口复用：启用 PAT
3. 保存。

4. 配置策略路由（强制 VPN 流量走 WAN1）

1. 新建策略路由：
   • 名称：VPN_A_Force_WAN1
   • 匹配条件：
     • 源 IP：10.1.0.10–20（或引用 ACL 2000）
     • 入接口：tunnel0（你的 VPN 隧道接口）
   • 动作：
     • 下一跳：WAN1 网关（运营商网关）
     • 出接口：WAN1
2. 启用并保存。

作用：确保 A 地过来的流量强制走 WAN1，不走默认路由或其他线路。

5. 配置回程路由（公网回包到 VPN）

1. 新建静态路由：
   • 目的网络：10.1.0.0（A 地内网）
   • 子网掩码：255.255.255.0
   • 下一跳：tunnel0 对端 IP（A 地 VPN 网关）
   • 出接口：tunnel0
   • 优先级：60（比默认低，优先匹配）
2. 保存。

作用：公网回来的包，能找到回 A 地 VPN 的路径。

6. 检查 VPN 与接口状态

• VPN 隧道：确保 tunnel0 已 Up，A↔B 能互 Ping
• 接口：WAN1、LAN、tunnel0 均正常
• NAT 表：高级配置 → NAT → 会话表，查看是否有 10.1.0.x 转换记录

三、关键注意事项

1. VPN 感兴趣流：A 地与 B 地的 IPsec 感兴趣流，必须包含：
   • A 地 10.1.0.0/24 ↔ B 地公网 / 任意
   • 不要只限制内网互访，否则流量进不了 VPN
2. NAT 穿越：IPsec 需启用 NAT-T（端口 4500），ER5200G3 默认开启
3. 防火墙放行：
   • 入站：放行 VPN 隧道（UDP 500/4500、ESP）
   • 出站：放行 10.1.0.10–20 到公网
4. 测试顺序：
   1. A 地 10.1.0.10 Ping B 地公网 IP → 通
   2. A 地 10.1.0.10 Ping 公网（如 8.8.8.8）→ 通
   3. 查看 B 地 NAT 会话表 → 有转换记录

四、常见问题排查

• 不通：
  • 检查 ACL 是否匹配正确
  • 检查策略路由入接口是否为 tunnel0
  • 检查静态路由是否指向 tunnel0
  • 检查防火墙是否放行
• NAT 不生效：
  • 确认 NAT 规则关联了正确 ACL
  • 确认出接口是 WAN1
  • 清除 NAT 会话：系统工具 → 清除 → NAT 会话