H3C公司的ER3000系列路由器实现中小企业上网方案

一、组网需求:

某企业需要满足以下需求:

1) 电信、网通各 100M光纤接入,并实现“电信走电信,网通走网通”的需求(仅

ER3260/ER3200支持)。

2) 防止局域网内的 ARP***。

3) 防止某些计算机使用 BT、迅雷等软件过度占用网络资源。

4) 禁止某些计算机 QQ和MSN上线。

二、组网配置方案:

为满足以上典型需求,使用 ER3000 系列组建局域网,以下面具体的组网配置方案

为例进行说明:

1) WAN口接入方式采用静态 IP地址接入方式。

2) 通过光纤收发器分别接入到电信和网通线路,WAN 口模式采用手工负载均衡

方式,实现“电信走电信,网通走网通”(仅 ER3260/ER3200)。

3) 关闭 DHCP服务器功能,手工给局域网内各计算机分配静态 IP地址。

4) 启用 IP/MAC绑定功能,防止 ARP***。

5) 启用 ARP防欺骗功能。

6) 设置 IP流量限制和 NAT表项限制,防止 BT、迅雷等软件过度占用网络资源。

7) 设置业务控制,禁止某些计算机 QQ和 MSN上线(仅 ER3200/ER3100)。

三、组网拓扑图:

H3C公司的ER3000系列路由器实现中小企业上网方案_第1张图片

四、配置步骤:

(1)通过连接到 ER3000系列 LAN口的计算机进行设置。在计算机 Web浏览器的地址

栏中输入http://192.168.1.1。按回车后出现登录对话框。在登录对话框中输入缺省的管理员用户名:admin,密码:admin(如果密码已更改,则需要输入新密码),单击<确定>按钮后便可进入

Web配置页面。然后进行如下配置:

1. 连接到因特网

(1) 设置多 WAN连接模式(设置 ER3100请略过这一步)。设置路径:WAN设

置→连接到因特网,设置如下。

H3C公司的ER3000系列路由器实现中小企业上网方案_第2张图片

(2) 设置上网方式。设置路径:WAN设置→连接到因特网,设置如下。

H3C公司的ER3000系列路由器实现中小企业上网方案_第3张图片

(3) 设置均衡路由策略(设置 ER3100请略过这一步)。设置路径:WAN设置→

连接到因特网,单击页面右下方的<导入>按钮,导入网通路由策略表(可以直

接从 H3C网站上下载)。 H3C ER3000系列企业级路由器 用户手册 9 典型配置案例

H3C公司的ER3000系列路由器实现中小企业上网方案_第4张图片

说明:

由于缺省链路设置为 WAN 1,且 WAN 1的 ISP为电信,所以这里只需导入网通

的策略路由表。

本例中 WAN2口与网通连接,导入网通路由策略表前,请注意策略表中的出接

口应该是 WAN2口。

若网通策略路由表不能够完全覆盖您所需要的策略,请手工进行添加。

2. 设置局域网

(1) 关闭 ER3000系列的 DHCP服务器。设置路径:LAN设置→局域网设置,如

下图所示。

H3C公司的ER3000系列路由器实现中小企业上网方案_第5张图片

(2) 给局域网内的计算机静态指定 IP地址和子网掩码。

3. 设置防 ARP***和欺骗

(1) 设置 IP/MAC地址绑定。设置路径:访问控制→IP/MAC绑定,单击

表导入>按钮。

H3C公司的ER3000系列路由器实现中小企业上网方案_第6张图片

(2) 选中“全选”复选框,单击<导入到 IP/MAC绑定表>,IP/MAC绑定关系导入

到 IP/MAC绑定表。

H3C公司的ER3000系列路由器实现中小企业上网方案_第7张图片

(3) 选中“仅允许 IP/MAC绑定的客户端访问外网”,单击<确定>按钮,ARP防

***生效。

H3C公司的ER3000系列路由器实现中小企业上网方案_第8张图片

(4) 设置 ARP防欺骗。设置路径:安全设置→ARP防***,选中“启用 ARP防

欺骗功能”,并选中“主动发送免费 ARP报文”,并将“发送免费ARP报文

的时间间隔”设为 1秒。单击<确定>按钮,完成配置。

H3C公司的ER3000系列路由器实现中小企业上网方案_第9张图片

4. 设置 IP流量限制和 NAT表项限制

(1) 设置 IP流量限制。 设置路径: QoS设置→IP流量限制。 启用 IP流量限制功能,

设置 IP地址范围及流量上限。设置完成后,单击<增加>按钮,添加到 IP流量

限制表中。

H3C公司的ER3000系列路由器实现中小企业上网方案_第10张图片

(2) 设置 NAT表项限制。设置路径:QoS设置→NAT表项限制。启用 NAT表项

限制功能, 设置 IP地址范围及 NAT表项上限。 设置完成后, 单击<增加>按钮,

添加到 NAT表项限制表中。

H3C公司的ER3000系列路由器实现中小企业上网方案_第11张图片

5. 设置业务控制

设置业务控制(设置 ER3260 请略过这一步)。设置路径:访问控制→业务控制。

先禁止局域网内所有计算机的 QQ/MSN 上线权限,然后设置特权 IP 使其拥有

QQ./MSN上线权限,单击<增加>按钮,添加到业务控制表中。

H3C公司的ER3000系列路由器实现中小企业上网方案_第12张图片

完成所有设置步骤后,您就可以放心地通过 ER3000系列进行上网了。