RT-MSR860-6EI-XS
- 0关注
- 0收藏,95浏览
以下是基于 H3C MSR860-6EI-XS 路由器(Comware V7平台)的完整配置方案。整个配置过程,你既可以通过Web界面(更直观)操作,也可以使用命令行(更高效)。
要实现你设想的效果,关键路径是:
划分两个独立的“业务部门”:通过VLAN(虚拟局域网)从逻辑上分隔两个网段,这是所有网络隔离的基础。
实施“身份证”准入:通过IP+MAC地址绑定,防止用户私改IP地址或接入未授权终端。
设定“通行规则”:通过策略路由为VPN流量“导航”,再通过防火墙策略为上网流量“把关”,最终通过VPN技术为远程访问“搭桥”。
详细配置步骤
1. 基础初始化:连上设备并开启Web管理
拿到新设备后,首选通过Console线连接。
连接与登录:用Console线连接电脑和路由器,打开终端软件(如PuTTY),设置波特率
9600。接通电源后,看到<H3C>提示符表示已进入用户视图。开启Web服务:在系统视图下输入以下命令,为后续图形化配置铺路:
<H3C> system-view
[H3C] ip http enable
[H3C] ip https enable创建管理员:为了安全,创建一个Web管理员账号:
[H3C] local-user admin class manage
[H3C-luser-manage-admin] password simple your_password
[H3C-luser-manage-admin] service-type http https
[H3C-luser-manage-admin] authorization-attribute user-role network-admin
配置好电脑的IP地址(如192.168.0.2/24),然后在浏览器输入https://192.168.0.1,用刚创建的账号登录即可。
2. 基础网络:划分上网区与VPN专网区
我们用VLAN 10(上网区)和VLAN 20(VPN专网区)来实现隔离。
创建VLAN:
H3C] vlan 10
[H3C-vlan10] description INTERNET
[H3C-vlan10] quit
[H3C] vlan 20
[H3C-vlan20] description VPN_ONLY
[H3C-vlan20] quit配置VLAN接口IP:
[H3C] interface vlan-interface 10
[H3C-Vlan-interface10] ip address 192.168.10.1 24
[H3C-Vlan-interface10] quit
[H3C] interface vlan-interface 20
[H3C-Vlan-interface20] ip address 192.168.20.1 24
[H3C-Vlan-interface20] quit将物理接口加入VLAN:假设用
GigabitEthernet1/0/1连接上网区交换机,GigabitEthernet1/0/2连接VPN专网区交换机[H3C] interface gigabitethernet 1/0/1
[H3C-GigabitEthernet1/0/1] port link-type access
[H3C-GigabitEthernet1/0/1] port access vlan 10
[H3C-GigabitEthernet1/0/1] quit
[H3C] interface gigabitethernet 1/0/2
[H3C-GigabitEthernet1/0/2] port link-type access
[H3C-GigabitEthernet1/0/2] port access vlan 20
[H3C-GigabitEthernet1/0/2] quit
3. 策略控制:让上网区能上网,VPN区不能上网
这里通过NAT(网络地址转换)和防火墙策略来实现“差异化服务”。
创建上网策略:配置一条ACL(访问控制列表)只允许VLAN 10的流量做NAT上网。
[H3C] acl basic 2000
[H3C-acl-ipv4-basic-2000] rule permit source 192.168.10.0 0.0.0.255
[H3C-acl-ipv4-basic-2000] quit
关键点:ACL 2000中只包含192.168.10.0/24网段,即可实现VLAN 10能上网,VLAN 20不能上网。应用上网策略:在外网口(假设为
GigabitEthernet0/0)上应用NAT。[H3C] interface gigabitethernet 0/0
[H3C-GigabitEthernet0/0] nat outbound 2000
如果是PPPoE拨号,需先配置拨号口,再将NAT应用在Dialer1接口上。
4. 安全加固:实现MAC地址绑定
全局IP Source Guard(更严格的安全准入)
这种方式能防御IP/MAC地址欺骗攻击,安全性更高。
[H3C-Vlan-interface10] quit
[H3C] interface vlan-interface 20
[H3C-Vlan-interface20] ip verify source ip-address mac-address
[H3C-Vlan-interface20] quit
请问如何通过web图形界面做以上配置?我手里没有console线
我只有网线,已经联通,只做了两个VLAN划分,后续操作不会了
是不是通过网线,也可以用超级终端连接路由器?
https://www.h3c.com/cn/pub/Document_Center/2025/03/WebHelp_MSR_XS_XLLYQ_WebPZZD_V7/default_auto.htm?CHID=1218026
web界面直接看这个手册
成功了,我通过PuTTy,登录进入命令行界面了
针对 H3C MSR860-6EI-XS,我给你一套完整、可直接复制的初始配置,实现:
两个 VLAN 网段(一个可上网、一个仅 VPN 访问)
严格 MAC-IP 绑定(防私自改 IP)
上网控制 + VPN 隔离
一、规划(你按实际改)
上网网段(VLAN 10):192.168.10.0/24,可访问互联网
保密网段(VLAN 20):192.168.20.0/24,禁止上网,仅允许 VPN 接入
WAN 口:GE0/0/0(PPPoE / 静态 IP,按你实际外网方式)
LAN 口:GE0/0/1~GE0/0/5 划 Access 口,分属 VLAN10/VLAN20
二、基础配置(必做)
cli
system-view
sysname MSR860-6EI-XS
# 关闭不必要服务
undo ip http enable
undo ip telnet server enable
ip ssh server enable
# 配置管理员
local-user admin
password simple Admin@123
service-type ssh terminal
authorization-attribute user-role level-15
三、VLAN + 三层接口 + DHCP
1. 创建 VLAN
cli
vlan 10
name Internet-LAN
vlan 20
name Secure-LAN
2. 三层 VLAN 接口
cli
interface Vlan-interface 10
ip address 192.168.10.1 255.255.255.0
dhcp select server
interface Vlan-interface 20
ip address 192.168.20.1 255.255.255.0
dhcp select server
3. DHCP 地址池
cli
# 上网网段(可上网)
dhcp server ip-pool LAN10
gateway-list 192.168.10.1
network 192.168.10.0 mask 255.255.255.0
dns-list 223.5.5.5 223.6.6.6
excluded-ip-address 192.168.10.1 192.168.10.20 # 预留静态IP
# 保密网段(禁止上网,无网关/无公网DNS)
dhcp server ip-pool LAN20
network 192.168.20.0 mask 255.255.255.0
dns-list 192.168.20.1 # 仅内网解析
excluded-ip-address 192.168.20.1 192.168.20.20
4. 端口分配(示例)
cli
# 上网端口:GE0/0/1~2
interface GigabitEthernet0/0/1
port access vlan 10
interface GigabitEthernet0/0/2
port access vlan 10
# 保密端口:GE0/0/3~4
interface GigabitEthernet0/0/3
port access vlan 20
interface GigabitEthernet0/0/4
port access vlan 20
# 备用:GE0/0/5
interface GigabitEthernet0/0/5
shutdown
四、MAC-IP 绑定(防改 IP)
方法 1:静态绑定(推荐)
cli
# VLAN10 上网设备
user-bind static ip-address 192.168.10.10 mac-address 0011-2233-4455 interface GigabitEthernet0/0/1 vlan 10
user-bind static ip-address 192.168.10.11 mac-address 0011-2233-4456 interface GigabitEthernet0/0/2 vlan 10
# VLAN20 保密设备
user-bind static ip-address 192.168.20.10 mac-address 0011-2233-4465 interface GigabitEthernet0/0/3 vlan 20
user-bind static ip-address 192.168.20.11 mac-address 0011-2233-4466 interface GigabitEthernet0/0/4 vlan 20
方法 2:DH 静态绑定(自动分配固定 IP)
cli
dhcp server ip-pool LAN10
static-bind ip-address 192.168.10.10 mac-address 0011-2233-4455
static-bind ip-address 192.168.10.11 mac-address 0011-2233-4456
dhcp server ip-pool LAN20
static-bind ip-address 192.168.20.10 mac-address 0011-2233-4465
static-bind ip-address 192.168.20.11 mac-address 0011-2233-4466
开启 IP Source Guard(强制绑定)
cli
interface Vlan-interface 10
ip source check user-bind enable
interface Vlan-interface 20
ip source check user-bind enable
五、WAN + 上网(PPPoE 示例)
cli
interface GigabitEthernet0/0/0
pppoe-client dial-bundle-number 1
interface Dialer 1
link-protocol ppp
ppp chap user 你的宽带账号
ppp chap password simple 你的宽带密码
ip address ppp-negotiate
nat outbound
默认路由
cli
ip route-static 0.0.0.0 0 Dialer 1
六、禁止 VLAN20 上网(核心)
ACL 禁止 VLAN20 访问互联网
cli
acl advanced 3000
rule 10 deny ip source 192.168.20.0 0.0.0.255 destination any # 禁止上网
rule 20 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.0.0 0.0.255.255 # 允许内网
rule 30 permit ip source 192.168.20.0 0.0.0.255 destination 10.0.0.0 0.255.255.255
rule 40 permit ip source 192.168.20.0 0.0.0.255 destination 172.16.0.0 0.15.255.255
# 在VLAN20接口应用
interface Vlan-interface 20
packet-filter 3000 inbound
七、VPN 配置(IPsec,允许外部访问 VLAN20)
1. IKE 阶段 1
cli
ike proposal 10
encryption-algorithm aes-256
authentication-algorithm sha2-256
dh group14
ike peer VPN-PEER
pre-shared-key simple VPN@123
ike-proposal 10
remote-address 对端公网IP
2. IPsec 阶段 2
cli
ipsec proposal IPSEC-PROP
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
# 感兴趣流:允许VPN访问VLAN20
acl advanced 3100
rule permit ip source 192.168.20.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 # 对端VPN网段
ipsec policy IPSEC-POLICY 10 isakmp
security acl 3100
proposal IPSEC-PROP
ike-peer VPN-PEER
interface Dialer 1
ipsec policy IPSEC-POLICY
八、保存 + 验证
cli
save force
# 验证
display ip interface brief
display dhcp server static-bind
display acl all
display user-bind static
display ipsec policy
九、效果总结
VLAN10(192.168.10.0/24):可上网、MAC 绑定、DHCP 固定分配
VLAN20(192.168.20.0/24):禁止上网、仅内网互通、仅允许IPsec VPN访问
防篡改:IP+MAC + 端口 + VLAN 四重绑定,私自改 IP 无法通信
十、你需要改的地方
宽带账号密码
VLAN/IP 规划
各设备 MAC 地址
VPN 对端地址与密钥
昨天配置出现GE3上连接的无线路由器 H3C NX18Plus获取不了IP,导致无线不能上网。我问豆包也找不到原因,我于是将两个路由器全部恢复出厂设置,重新配置,目前的情况是,GE0 静态IP,GE1关闭,GE2,GE3,GE4划为vlan1,上网,192.168.10.x,默认的启动dhcp,GE2连接无线路由器,无线路由配置为自动获取IP。它的内部网段是192.168.124.x,GE5划为vlan2,VPN only,192.168.20.x,不启动dhcp,手工IP。服务器预留地址192.168.20.100;到目前为止,以上都实现了,外网可上网,内网不能上网。下一步计划配置VPN。外部用户从他的家庭电脑上VPN远程登陆内网服务器,在服务器上启动VNC server,通过VPN+VNC viewer实现远程工作。请只针对VPN的后续配置,给配置方案
我按照你的回答,还是有很多错,配不下去。我再仔细说说条件:有GE0,GE1两个WAN口,我只用GE0,静态IP。有4个LAN口,分别是GE2-GE5,我将GE2-4划为上网区,将GE5单独划为安全区,interface命令表示为0/0,0/1,0/2,0/3,0/4,0/5. 所以划分vlan1 绑在2,3,4端口,vlan2绑在5端口。vlan1,192.168.10.1,自动分配IP 地址,vlan2,192.168.20.1,手工分配固定IP;vlan1可以上网,vlan2只允许VPN,VPN外部电脑访问安全网络的一个固定IP服务器。其他就是所有端口通信都保持mac绑定,不允许改变网络架构。实际上那个固定IP的服务器还没有买,设备不在现场,只能先做预留。
昨天配置出现GE3上连接的无线路由器 H3C NX18Plus获取不了IP,导致无线不能上网。我问豆包也找不到原因,我于是将两个路由器全部恢复出厂设置,重新配置,目前的情况是,GE0 静态IP,GE1关闭,GE2,GE3,GE4划为vlan1,上网,192.168.10.x,默认的启动dhcp,GE2连接无线路由器,无线路由配置为自动获取IP。它的内部网段是192.168.124.x,GE5划为vlan2,VPN only,192.168.20.x,不启动dhcp,手工IP。服务器预留地址192.168.20.100;到目前为止,以上都实现了,外网可上网,内网不能上网。下一步计划配置VPN。外部用户从他的家庭电脑上VPN远程登陆内网服务器,在服务器上启动VNC server,通过VPN+VNC viewer实现远程工作。请只针对VPN的后续配置,给配置方案
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
成功了,我通过PuTTy,登录进入命令行界面了