华为(Huawei)SRG路由配置手册.pdf-道客多多

资源描述

1、HUAWEI SRG1200/2200/3200 业务路由网关 V100R002C02 典型配置案例文档版本 02 发布日期 2011-05-25 华为技术有限公司版权所有华为技术有限公司 2011。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对

2、本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129 网址： http:/ 客户服务邮箱：客户服务电话： 4008302118 文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 i前言产品版本与本文档相对应的产品版本如下所示。产品名称产品版本 HUAWEI SRG1200/2200/3200 V100R002C02读者对象

3、本文档针对 HUAWEI SRG1200/2200/3200 （以下简称为 SRG ）的各类典型应用场景，介绍了各种功能的配置方法。本文档主要适用于以下工程师： l 数据配置工程师符号约定在本文中可能出现下列标志，它们所代表的含义如下。符号说明表示有高度潜在危险，如果不能避免，会导致人员死亡或严重伤害。表示有中度或低度潜在危险，如果不能避免，可能导致人员轻微或中等伤害。表示有潜在风险，如果忽视这些文本，可能导致设备损坏、数据丢失、设备性能降低或不可预知的结果。表示能帮助您解决某个问题或节省您的时间。表示是正文的附加信息，是对正文的强调和补充。

4、HUAWEI SRG1200/2200/3200 典型配置案例前言文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 iii命令行格式约定格式意义粗体命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体表示。斜体命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。表示用“ ”括起来的部分在命令配置时是可选的。 x | y | . 表示从两个或多个选项中选取一个。 x | y | . 表示从两个或多个选项中选取一个或者不选。 x | y | . * 表示从两个或多个选项中选取多个，最少选取一个，最多选取所有选项。 x

5、| y | . * 表示从两个或多个选项中选取多个或者不选。 & 表示符号“& ”前面的参数可以重复 1 n 次。 # 表示由“#”开始的行为注释行。图形界面元素引用约定格式意义 “” 带双引号“”的格式表示各类界面控件名称和数据表，如单击“确定”。多级菜单用“ ”隔开。如选择“文件新建文件夹”，表示选择“文件”菜单下的“新建”子菜单下的“文件夹”菜单项。修订记录修改记录累积了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。文档版本 02 (2011-05-25) 第二次正式发布。文档版本 01 (2011-01-25) 第一次正式发布。前言 HU

6、AWEI SRG1200/2200/3200 典型配置案例 iv 华为专有和保密信息版权所有华为技术有限公司文档版本 02 (2011-05-25)目录前言.iii 1 综合部署1-1 1.1 企业接入 Internet （ADSL+3G Backup ）.1-2 1.2 校园网（大型企业）出口网关举例.1-12 1.3 网吧（小型企业）出口网关举例.1-22 1.4 不同机构的员工通过不同 VPN 访问公司内网（SSL VPN+L2TP+IPSec ）1-31 1.5 分支机构通过域名访问总部（ADSL+IPSec+DDNS ）1-46 1.6 不同地域的相同部门间通信（BGP

7、MPLS IP VPN ）1-54 2 设备管理2-1 2.1 设备作为 FTP 服务器进行系统软件升级2-2 2.2 设备作为 FTP 客户端进行系统软件升级2-4 2.3 企业用户使用 NQA 测试网络性能2-7 3 接入 Internet3-1 3.1 通过 ADSL 接入 Internet.3-2 3.2 通过 ADSL 接入 Internet （多 PVC 方式）.3-6 3.3 通过 G.SHDSL 接入 Internet.3-12 3.4 通过 3G 接入 Internet.3-15 3.5 通过 PPPoE 拨号接入 Internet3-19 3.6 配置 DNS 代理.3-2

8、5 4 配置局域网4-1 4.1 配置无线局域网（WLAN ）.4-2 4.1.1 非加密方式接入无线局域网4-2 4.1.2 加密方式接入无线局域网4-4 4.1.3 加密方式接入无线局域网(802.1X).4-7 4.2 配置 VLAN.4-10 4.2.1 配置 VLAN 间通过 Vlanif 接口通信.4-11 4.2.2 配置 VLAN 间通过子接口通信.4-13 4.2.3 配置跨越设备的 VLAN4-17 4.3 配置 DHCP 中继举例4-20 4.4 通过 MSTP 避免环路4-25 5 配置路由5-1 HUAWEI SRG1200/2200/3200 典型配置案例目录

9、文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 v5.1 ISP 骨干网发布路由5-2 5.2 ISP 向客户提供 Internet 路由5-11 6 配置 IPv6.6-1 6.1 IPv6 孤岛通过 IPv4 网络互联.6-2 7 配置安全功能7-1 7.1 校园网用户通过教育网和直接访问 Internet. 7-2 7.2 配置服务器负载均衡.7-6 7.3 配置终端安全管理（TSM 联动）7-9 7.3.1 配置旁挂模式的 TSM 联动7-9 7.3.2 配置直挂模式的 TSM 联动7-15 7.4 通过 DHCP Snooping 功能保护

10、DHCP 服务器.7-20 8 配置流量控制8-1 8.1 配置 QoS 限速8-2 8.2 配置基于 IP 地址的连接数限制和带宽限制. 8-5 9 配置 VPN9-1 9.1 市级分支机构通过双 VPN 隧道连接到省公司和省级分支机构.9-3 9.2 公司总部与不同分公司之间通过隧道连接通信（IPSec 策略模板+ 子策略）9-13 9.3 配置应用 OSPF 的 GRE9-22 9.4 配置 GRE over IPSec.9-27 9.5 配置通过 LAC 自主拨号建立隧道.9-33 9.6 配置 NAS-Initialized VPN （本地认证）.9-39 9.7 配置 Client

11、-Initialized VPN （使用 IPSec 加密）9-44 9.8 配置 L2TP 多实例9-51 9.9 配置点对点方式建立 IPSec 隧道9-58 9.10 配置采用策略模板方式协商的 IPSec 隧道9-63 9.11 配置 L2TP over IPSec9-71 9.12 配置 IPSec 隧道支持 NAT 穿越.9-79 10 配置 MPLS VPN10-1 10.1 配置 BGP/MPLS IP VPN.10-2 10.2 配置 OptionA 方式跨域 VPN10-12 10.3 配置 HoVPN.10-21 10.4 配置 Multi-VPN-Instance CE

12、.10-29 11 配置 SSL VPN11-1 11.1 出差员工通过 SSL VPN 访问公司内部服务器.11-2 11.2 校园网 SSL VPN 应用.11-6 11.3 共享型虚拟网关应用.11-13 12 配置双机热备12-1 12.1 主备备份方式下 VRRP 和 OSPF 结合的双机热备份.12-2 12.2 主备备份方式下 OSPF 与 NAT 结合的双机热备份.12-8 目录 HUAWEI SRG1200/2200/3200 典型配置案例 vi 华为专有和保密信息版权所有华为技术有限公司文档版本 02 (2011-05-25)13 配置组播13-1 13.1 借助

13、BGP 路由实现 AS 间组播13-2 13.2 借助静态 RPF 对等体实现 AS 间组播.13-9 13.3 配置 Anycast RP 应用13-16 14 配置 UTM.14-1 14.1 中型企业 UTM 应用14-2 14.2 小型企业 UTM 应用14-15 15 配置语音15-1 15.1 PBX 典型组网举例15-2 HUAWEI SRG1200/2200/3200 典型配置案例目录文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 vii插图目录图 1-1 企业接入互联网组网图1-3 图 1-2 网络规划后组网图1-13 图 1

14、-3 网络规划后组网图1-23 图 1-4 VPN 综合应用组网.1-32 图 1-5 配置虚拟网关1-38 图 1-6 配置 Web 邮件服务器资源1-38 图 1-7 配置认证授权方式1-39 图 1-8 配置 VPNDB 用户 user1-39 图 1-9 分支机构通过域名访问总部1-46 图 1-10 BGP/MPLS IP VPN 组网图1-54 图 2-1 设备作为 FTP 服务器软件升级组网图.2-2 图 2-2 设备作为 FTP 客户端软件升级组网图.2-5 图 2-3 企业网 NQA 典型组网.2-8 图 3-1 配置 ADSL 接入举例.3-2 图 3-2 通过 ADSL

15、接入 Internet （多 PVC 方式）3-6 图 3-3 配置 G.SHDSL 接入 Internet 组网图.3-13 图 3-4 通过 Dialer 接口按需拨号组网图3-15 图 3-5 通过 PPPoE 拨号接入 Internet.3-20 图 3-6 配置 DNS 代理组网图3-25 图 4-1 配置基于 Plain 服务类的 WLAN 组网图. 4-2 图 4-2 配置基于 Crypto 服务类的 WLAN 组网图 4-4 图 4-3 配置 WLAN 接入用户的 802.1X 认证举例4-7 图 4-4 配置 VLAN 间通过 Vlanif 接口通信组网图4-11 图 4-5

16、配置 VLAN 间通过子接口通信组网图4-14 图 4-6 配置 VLAN Trunk 组网图4-18 图 4-7 配置 DHCP 中继组网图.4-21 图 4-8 通过 MSTP 避免环路.4-26 图 5-1 骨干网发布路由组网图5-3 图 5-2 引入 Internet 路由组网图.5-12 图 6-1 IPv6 孤岛通过 IPv4 网络互联. 6-2 图 7-1 校园网用户通过教育网和直接访问 Internet7-2 图 7-2 负载均衡配置组网图7-6 图 7-3 旁挂方式的 TSM 联动配置举例组网图.7-10 HUAWEI SRG1200/2200/3200 典型配置案例插图

17、目录文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 ix图 7-4 直挂方式的 TSM 联动配置举例组网图.7-15 图 7-5 配置设备的 DHCP Snooping 功能组网图.7-20 图 8-1 配置流量监管、流量整形和接口限速组网图8-2 图 8-2 配置基于 IP 地址的连接数限制和带宽限制组网图8-5 图 9-1 配置市级分支机构通过双 VPN 隧道连接到省公司和省级分支机构9-3 图 9-2 配置采用策略模版+ 子策略方式建立 IPSec 隧道9-13 图 9-3 配置采用策略模版+ 子策略方式建立 IPSec 隧道9-14 图 9-

18、4 配置 GRE 使用动态路由协议组网图9-23 图 9-5 配置 GRE over IPSec 组网图.9-27 图 9-6 通过 LAC 自主拨号建立隧道组网9-34 图 9-7 配置 NAS-Initialized VPN 组网图.9-40 图 9-8 配置 Client-Initialized VPN 组网图.9-44 图 9-9 LAC 客户端基本设置.9-45 图 9-10 LAC 客户端 L2TP 设置.9-46 图 9-11 LAC 客户端基本设置.9-47 图 9-12 LAC 客户端基本设置.9-48 图 9-13 配置 L2TP 多实例组网图9-52 图 9-14 配置点

19、对点方式建立 IPSec 隧道组网图9-58 图 9-15 配置采用策略模板协商 IPSec 的组网图9-64 图 9-16 L2TP over IPSec 组网图.9-72 图 9-17 IPSec 隧道支持 NAT 穿越组网图.9-80 图 10-1 BGP/MPLS IP VPN 组网图10-2 图 10-2 跨域 VPN 组网图10-13 图 10-3 分层式 BGP/MPLS IP VPN 组网图.10-22 图 10-4 Multi-VPN-Instance CE 示例组网图10-30 图 11-1 出差员工通过 SSL VPN 访问公司内部服务器11-2 图 11-2 选择通过

20、PPPoE 或者 XDSL 上网11-3 图 11-3 配置 PPPoE 或者 XDSL 上网参数11-4 图 11-4 配置局域网11-4 图 11-5 配置保留 IP 地址11-4 图 11-6 创建虚拟网关 company11-5 图 11-7 添加 ERP 服务器资源11-5 图 11-8 用户记录格式11-6 图 11-9 校园网 SSL VPN 应用11-7 图 11-10 创建虚拟网关 campus11-8 图 11-11 配置 DNS 服务器11-8 图 11-12 添加 OA 服务器资源11-9 图 11-13 添加 Webmail 服务器资源.11-9 图 11-14 添加

21、端口转发资源 FTP Server11-9 图 11-15 配置认证授权方式11-10 图 11-16 配置 LDAP 服务器.11-10 图 11-17 搜索组 group1.11-10 插图目录 HUAWEI SRG1200/2200/3200 典型配置案例 x 华为专有和保密信息版权所有华为技术有限公司文档版本 02 (2011-05-25)图 11-18 搜索组 group2.11-11 图 11-19 配置允许组 group1 访问 OA Server11-11 图 11-20 配置允许组 group1 访问 Webmail Server.11-11 图 11-21 配置允许组

22、 group1 访问 FTP Server.11-12 图 11-22 配置允许组 group2 访问 OA Server11-12 图 11-23 配置允许组 group2 访问 Webmail Server.11-13 图 11-24 配置策略默认行为11-13 图 11-25 共享型虚拟网关应用场景11-14 图 11-26 创建虚拟网关 Proxy.11-15 图 11-27 添加 BOSS 服务器资源11-15 图 11-28 配置端口转发资源11-16 图 11-29 配置认证授权方式11-16 图 11-30 配置 RADIUS 服务器.11-17 图 11-31 配置 RADI

23、US 外部组 Proxy11-17 图 11-32 创建虚拟网关 BOSS.11-18 图 11-33 添加 BOSS 服务器资源11-18 图 11-34 分配客户端 IP 地址11-19 图 11-35 添加网段11-19 图 11-36 配置认证授权方式11-19 图 11-37 配置 RADIUS 服务器.11-20 图 11-38 配置 RADIUS 外部组 BOSS11-20 图 11-39 创建虚拟网关 OA.11-21 图 11-40 添加 OA 服务器资源11-21 图 11-41 分配客户端 IP 地址11-22 图 11-42 添加网段11-22 图 11-43 配置认证

24、授权方式11-22 图 11-44 配置 RADIUS 服务器.11-23 图 11-45 配置 RADIUS 外部组 OA11-23 图 12-1 主备备份方式下 VRRP 和 OSPF 结合的双机热备份组网图12-2 图 12-2 主备备份方式下 OSPF 与 NAT 结合的双机热备份配置举例组网图12-8 图 13-1 配置 AS 内 PIM-SM 域间组播组网图13-2 图 13-2 配置借助静态 RPF 对等体的 AS 间组播组网图.13-10 图 13-3 配置 Anycast RP 应用组网图.13-16 图 14-1 中型企业 UTM 应用.14-3 图 14-2 配置缺省路由

25、14-4 图 14-3 运行模式配置14-5 图 14-4 配置 DNS 服务器的 IP 地址14-5 图 14-5 配置 AV 定时在线升级的时间14-6 图 14-6 配置 IPS 定时在线升级的时间14-6 图 14-7 配置 IPS 全局参数14-7 图 14-8 创建 IPS 策略 protectserver14-7 图 14-9 配置 AV 全局数据14-8 HUAWEI SRG1200/2200/3200 典型配置案例插图目录文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 xi图 14-10 配置 AV 策略的名称和描述14-8 图

26、14-11 配置 AV 策略的公共部分14-8 图 14-12 配置 AV 扫描的 HTTP 策略14-9 图 14-13 配置 AV 扫描的 SMTP 策略.14-9 图 14-14 配置 AV 扫描的 POP3 策略14-10 图 14-15 配置 RBL 策略基本功能14-10 图 14-16 配置预定义策略14-11 图 14-17 URL 过滤的基本参数.14-11 图 14-18 配置预定义分类查询失败动作14-11 图 14-19 新建 URL 过滤策略14-12 图 14-20 禁止访问体育类和 P2P 类的网站.14-12 图 14-21 配置策略应用在 Untrust 和

27、DMZ 域间.14-13 图 14-22 配置时间段14-14 图 14-23 配置时间段14-15 图 14-24 小型企业 UTM 应用.14-16 图 14-25 配置缺省路由14-18 图 14-26 运行模式配置14-19 图 14-27 配置 DNS 服务器的 IP 地址14-19 图 14-28 配置 AV 定时在线升级的时间14-20 图 14-29 配置 IPS 定时在线升级的时间14-20 图 14-30 配置 IPS 全局参数14-20 图 14-31 创建 IPS 策略 protectintranet.14-21 图 14-32 配置 AV 全局数据14-22 图 14

28、-33 配置 AV 策略的名称和描述14-22 图 14-34 配置 AV 策略的公共部分14-22 图 14-35 配置 AV 扫描的 HTTP 策略14-23 图 14-36 配置 AV 扫描的 SMTP 策略.14-23 图 14-37 配置 AV 扫描的 POP3 策略14-24 图 14-38 配置 RBL 策略基本功能14-24 图 14-39 配置预定义策略14-25 图 14-40 URL 过滤的基本参数.14-25 图 14-41 配置预定义分类查询失败动作14-25 图 14-42 新建 URL 过滤策略14-26 图 14-43 禁止访问体育类和 P2P 类的网站.14-

29、26 图 14-44 配置策略应用在 Untrust 和 Trust 域间.14-27 图 14-45 配置策略应用在 Untrust 和 Trust 域间.14-28 图 14-46 配置策略应用在 Untrust 和 DMZ 域间.14-29 图 14-47 配置时间段14-30 图 14-48 配置时间段14-31 图 15-1 业务规划后组网图15-2 图 15-2 配置媒体 IP 地址15-4 图 15-3 配置信令 IP 地址15-4 插图目录 HUAWEI SRG1200/2200/3200 典型配置案例 xii 华为专有和保密信息版权所有华为技术有限公司文档版本 02 (

30、2011-05-25)图 15-4 修改国家地区码15-5 图 15-5 配置企业15-6 图 15-6 配置拨号计划规划15-7 图 15-7 配置 Centrex 群.15-8 图 15-8 配置出群字冠15-9 图 15-9 配置短号互拨字冠15-10 图 15-10 配置本地局外字冠15-11 图 15-11 配置国际长途字冠15-12 图 15-12 配置补充业务字冠15-13 图 15-13 配置 SIP Server.15-13 图 15-14 配置用户终端标识-POTS15-14 图 15-15 配置用户终端标识-SIPUE.15-15 图 15-16 配置用户电话号码-POT

31、S15-16 图 15-17 配置用户电话号码-SIPUE.15-17 图 15-18 配置中继数据中继群15-18 图 15-19 配置中继数据SIP AT0 中继15-19 图 15-20 配置路由15-20 图 15-21 配置媒体 IP.15-21 图 15-22 配置信令 IP.15-21 图 15-23 增加地区码15-22 图 15-24 设置指定地区码为默认值15-22 图 15-25 配置企业管理15-23 图 15-26 配置拨号计划规划15-23 图 15-27 配置 Centrex 群规划.15-24 图 15-28 配置号段规划- 群内短号互拨15-24 图 15-2

32、9 配置号段规划- 出群字冠15-25 图 15-30 配置号段规划- 国际长途15-25 图 15-31 配置号段规划- 补充业务登记15-26 图 15-32 配置 SIP 服务器15-26 图 15-33 配置用户数据- 批量增加 POTS 用户 EID.15-27 图 15-34 配置用户数据- 批量增加 SIP UE 用户 EID15-27 图 15-35 配置用户数据- 批量增加 POTS 用户电话号码15-28 图 15-36 配置用户数据- 批量增加 SIP UE 电话号码15-28 图 15-37 配置中继群15-29 图 15-38 配置中继电路15-30 图 15-39

33、配置呼叫路由15-31 图 15-40 配置呼叫号码变换15-32 图 15-41 修改系统软件参数15-33 图 15-42 设置话单 FTP 服务器.15-33 图 15-43 配置振铃名称15-34 图 15-44 引用该振铃名称15-34 图 15-45 用户开通彩铃权限15-35 HUAWEI SRG1200/2200/3200 典型配置案例插图目录文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 xiii图 15-46 制作完成彩铃文件后上传15-35 图 15-47 增加业务配置15-36 图 15-48 IVR 群组配置15-37 插

34、图目录 HUAWEI SRG1200/2200/3200 典型配置案例 xiv 华为专有和保密信息版权所有华为技术有限公司文档版本 02 (2011-05-25)表格目录表 7-1 配置值挂方式的 TSM 联动举例数据规划.7-16 HUAWEI SRG1200/2200/3200 典型配置案例表格目录文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 xv1 综合部署关于本章 SRG 集安全、路由、交换、无线（WiFi 、3G ）、VPN 等特性于一体，能为中小企业、大型企业分支机构、SOHO 办公类用户、以及网吧出口网关提供安全防护

35、，并能提供集成的网络出口安全与互联解决方案。 1.1 企业接入 Internet （ADSL+3G Backup ）企业用户可以通过 SRG 实现 ADSL 方式接入 Internet ，并以 3G 方式作为备份。企业内网用户可以通过无线和有线方式连接 SRG ，并根据需求合理划分带宽。 1.2 校园网（大型企业）出口网关举例 SRG 作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问 Internet ，还可以避免 P2P 流量阻塞网络，并保护内网不受网络攻击。 1.3 网吧（小型企业）出口网关举例 SRG 作为网吧或小型企业出口网关可以通过两个出接口连接到 Inter

36、net ，实现负载分担。还可以对内网的每个用户进行流量限制，对网络流量进行审计，并保护内网不受网络攻击。 1.4 不同机构的员工通过不同 VPN 访问公司内网（SSL VPN+L2TP+IPSec ）企业总部和不同用户之间的连接需要根据需求进行不同的 VPN 封装。出差员工移动办公，可以通过 SSL VPN 接入总部；与合作伙伴之间可以采用 IPSec VPN 加密数据；分支机构与总部数据既要加密又要认证，可采用 L2TP over IPSec 方式建立连接。 1.5 分支机构通过域名访问总部（ADSL+IPSec+DDNS ）分支机构通过 IPSec 隧道连接总部。由于总部通

37、过 ADSL 接口上网，每次获取到的 IP 地址不同。因此总部为方便分支机构接入，需要配置 DDNS 功能，使分支机构通过域名接入总部。 1.6 不同地域的相同部门间通信（BGP MPLS IP VPN ）一个大型企业或运营商网络遍布几个地域，不同地域间的不同部门不能进行互访，相同部门可以通过骨干网络进行互访。可依此建立 BGP/MPLS IP VPN 网络。 HUAWEI SRG1200/2200/3200 典型配置案例 1 综合部署文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 1-11.1 企业接入 Internet （ADSL+

38、3G Backup）企业用户可以通过 SRG 实现 ADSL 方式接入 Internet ，并以 3G 方式作为备份。企业内网用户可以通过无线和有线方式连接 SRG ，并根据需求合理划分带宽。组网需求某企业通过 SRG 连接到 Internet ，企业网络情况和需求如下： l 企业内网共有 20 个有线用户和 10 个无线用户，需要用户之间能够相互访问，并且能够访问 Internet 。 l 正常情况下，内网用户可以通过 ADSL 方式接入 Internet ，实现访问网页、下载资源基本需求。当 ADSL 出现故障时，通过 3G 方式接入 Internet ，保证业务正常运

39、行。 l ADSL 的带宽为 2M ，划分给有线用户的总带宽为 1.2M ，划分给无线用户的总带宽为 0.8M 。网络规划根据企业网络情况和需求，网络规划如下： l SRG 需要安装 ADSL 接口卡和 3G 接口卡，并设置 ADSL 接入功能（采用 PPPoE 拨号）和 3G 接入功能。由于 3G 是备用接入方式，因此采用按需拨号。 l 为了实现内网无线网络和有线网络的划分，需要在 SRG 上划分两个 VLAN ，将有线用户部署在 VLAN1 ，无线用户部署在 VLAN2 。 l 将有线用户通过交换机连接到 SRG 的交换口。如果网络扩容，可以将新增的有线用户通过交换机连接到

40、 SRG 的其他交换口。 l 无线用户通过 WLAN （无线局域网）连接到 SRG 。为了提高网络的安全性，需要采用基于 Crypto 服务类的 WLAN 。 l 所有用户都通过 DHCP 自动获取 IP 地址。有线用户分配到的 IP 地址为 192.168.0.0/24 网段的 IP 地址，无线用户分配到的 IP 地址为 192.168.1.0/24 网段的 IP 地址。 l 需要通过 NAT 技术实现内网用户可以使用相同的公网 IP 地址访问 Internet 。 l ADSL 的总带宽为 2M ，需要通过 QoS 技术将使用 VLAN1 的有线用户带宽设置为 1.2M ，使用 VLAN

41、2 的无线用户带宽设置为 0.8M ，实现带宽的划分。网络规划后的组网图如图 1-1 所示。 1 综合部署 HUAWEI SRG1200/2200/3200 典型配置案例 1-2 华为专有和保密信息版权所有华为技术有限公司文档版本 02 (2011-05-25)图 1-1 企业接入互联网组网图 VLAN1 VLAN2 DSLAM （1 ）（2 ）（3 ）（4 ） SRG BRAS 项目数据说明（1 ）接口号：Ethernet 1/0/0 Ethernet 1/0/0 属于 VLAN1 Vlanif1 的 IP 地址： 192.168.0.1/24 安全区域：Trust E

42、thernet 1/0/0 是连接交换机的二层接口。缺省情况下，所有二层接口都属于 VLAN1 ，Vlanif1 的 IP 地址为 192.168.0.1/24 。 VLAN1 中用户通过 DHCP 获取到的 IP 地址范围是 192.168.0.2192.168.0.254 （2）物理接口：Wlan-rf 4/0/0 逻辑接口：Wlan-Bss 2 Wlan-Bss 2 属于 VLAN2 Vlanif2 的 IP 地址： 192.168.1.1/24 安全区域：Trust Wlan-rf 4/0/0 是 WLAN 接口卡上的接口，Wlan-Bss 2 是建立虚拟 AP 使用的逻辑

43、接口。 VLAN2 中用户通过 DHCP 获取到的 IP 地址范围是 192.168.1.2192.168.1.254 （3）物理接口：ATM 2/0/0 逻辑接口：Dialer0 IP 地址：自协商获得安全区域：Untrust ATM 2/0/0 是 ADSL 接口卡上的接口，Dialer0 接口通过 ADSL 拨号自协商获取 IP 地址。本举例中使用的是单 PVC 类型的 ADSL 接口卡。（4）物理接口：Cellular0/1/0 逻辑接口：Dialer1 IP 地址：自协商获得安全区域：DMZ Cellular0/1/0 是 USB 3G 接口，Dialer1 接口

44、通过 3G 拨号自协商获取 IP 地址。 ADSL 账号用户名：adsluser 密码：Hello123 本例中的 ADSL 账号仅供举例使用，具体账号请从当地运营商获取。 HUAWEI SRG1200/2200/3200 典型配置案例 1 综合部署文档版本 02 (2011-05-25) 华为专有和保密信息版权所有华为技术有限公司 1-3项目数据说明 3G 账号用户名：3guser 密码：Password123 本例中的 3G 账号仅供举例使用，具体账号请从当地运营商获取。 WLAN 服务类 l SSID ：WLAN100 l 服务类型：加密（Crypto ）服务类

45、l 认证方式：wpa-wpa2- psk l 预共享密钥：abcdefgh 无线用户必须配置与 SRG 相同的 SSID 才能访问 SRG 。无线用户的认证方式和预共享密钥必须与 SRG 的相同才能接入无线局域网。 DNS 服务器 IP 地址 IP 地址：202.111.80.106 本例中的 DNS 服务器 IP 地址仅供举例使用，具体值需要咨询当地运营商。操作步骤步骤 1 配置 ADSL 接入功能，实现 SRG 通过 ADSL 接入 Internet 。 # 配置拨号访问组对应的拨号规则。system-view SRG dialer-rule 10 ip permit # 创建

46、Dialer0 接口，并进入 Dialer 视图。 SRG interface Dialer 0 # 新建 Dialer 用户，用户名为 ADSL 账户的用户名。 SRG-Dialer0 dialer user adsluser # 配置接口的 Dialer Bundle 。 SRG-Dialer0 dialer bundle 5 # 配置 Dialer0 接口关联的拨号访问组，将该接口与指定的拨号控制列表关联起来。注意必须确保命令 dialer-group group-number 中的参数 group-number 和 dialer-rule rule- number 中的参数 rul

47、e-number 保持一致。ADSL 配置中取值为 10。 SRG-Dialer0 dialer-group 10 # 配置使用协商方式获取 IP 地址。 SRG-Dialer0 ip address ppp-negotiate # 配置认证，用户名和密码为 ADSL 账户的用户名和密码。为了提高密码安全性， password 采用 cipher 方式。 SRG-Dialer0 ppp pap local-user adsluser password cipher Hello123 SRG-Dialer0 ppp chap user adsluser 1 综合部署 HUAWEI SRG1200

48、/2200/3200 典型配置案例 1-4 华为专有和保密信息版权所有华为技术有限公司文档版本 02 (2011-05-25)SRG-Dialer0 ppp chap password cipher Hello123 SRG-Dialer0 quit 说明本举例配置了 PAP 和 CHAP 两种认证方式。如果知道对端设备的认证方式，可以只配置 PAP 认证或者 CHAP 认证。 # 配置将 Dialer0 接口加入 Untrust 区域。 SRG firewall zone untrust SRG-zone-untrust add interface Dialer 0 SRG-zon

49、e-untrust quit # 配置 PVC 。注意 PVC 的 vpi/vci 取值需要与当地运营商保持一致。具体值请咨询当地运营商获取。 SRG interface Atm 2/0/0 SRG-Atm 2/0/0 pvc 8/35 # 建立一个 PPPoE 会话，并指定该会话所对应的 Dialer Bundle 。默认情况下 PPPoE 的会话方式为永久在线方式。 SRG-Atm 2/0/0 pppoe-client dial-bundle-number 5 SRG-Atm 2/0/0 quit 步骤 2 配置按需拨号的 3G 功能，实现 SRG 通过 3G 接入 Internet 。 # 配置拨号访问组对应的拨号规则。 SRG dialer-rule 20 ip permit # 创建 Dialer1 接口，并进入 Dialer 视图。 SRG interface Dialer 1 # 启用轮询 DCC 。 SRG-Dialer1 dialer enable-circular # 配置 Dia

展开阅读全文