H3C服务器如何禁用外网而不限制内网

你的这个问题可以分几个方面来回答。

1、可以采用在H3C出口路由器上做ACL访问控制列表的方式在组织某一台计算机登陆互联网，在这种情况下，只要是触发ACL规则就可以禁止相应的动作；如：你想把192168110这台主机设置成禁止登陆internet，那就写一条acl

acl number 3000

rule deny tcp source 192168110 dest any

然后下发这条ACL 注意下发的时候要下发在出口上：如果你的出口为E1/0那么应该是：

int e1/0

firewall packet-filter 3000 outbound

注意到打开防火墙

但这种配置方案在于如果这个用户更改IP地址后，导致无法触发这条ACL，所以还是不好用，

这个时候我叫你一个终极武器，配置二层ACL，也就是用MAC地址触发的方式，这样的话，除非他更换网卡。啊哈哈哈。。。。。不会在问我啊‘

我是在内网架设了个FTP服务器，通过NAT光纤的IP ，外网其他用户可以通过公网IP访问，但是内网电脑就无法通过公网IP访问到这个FTP服务器，只能通过内网IP。原因为内网电脑能上网，对外的IP就是光纤的IP，这样再返回来访问这个IP，相当于同一个IP访问自己，肯定不行。

所以，你内网用户能上网，对外的IP为2228586194 ，然后又访问回2228586194，相当于自己访问自己，虽然你将80端口映射到你内网的服务器的8080端口上，肯定是不行的。除非你的WWW服务器有域名，通过域名访问是可以的，通过IP访问肯定不行，或者重新分配拟的外网接口IP ，看你的地址池，可用的IP还是挺多的。

我用的是小鸟云的，性能稳定，可以免费试用。

h3c3100进入web服务器的方式：

第一步：在通过WEB方式登录以太网交换机之前，用户先通过Console口正确配置以太网交换机管理VLAN接口的IP地址。

通过Console口搭建配置环境。如图5-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。

(1) RS-232串口

(2) Console口

(3) 配置电缆

在PC机上运行终端仿真程序（如Windows 3X的Terminal或Windows 9X的超级终端等），设置终端通信参数为：波特率：9600bit/s；数据位：8；奇偶校验：无；数据流控制：无。

给以太网交换机加电，加电后PC机终端上将显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符，如图5-2所示。

通过Console口在超级终端中执行以下命令，配置以太网交换机管理VLAN的IP地址。

system-view

[H3C] interface Vlan-interface 1（进入管理VLAN）

[H3C-Vlan-interface1] undo ip address（取消管理VLAN原有的IP地址）

[H3C-Vlan-interface1] ip address 101531782 2552552550（配置以太网交换机管理VLAN的IP地址为101531782）。

第二步：用户通过Console口，在以太网交换机上配置欲登录的WEB网管用户名和认证口令。

l              通过Console口，添加以太网交换机的Web用户，用户级别设为3（管理级用户）

[H3C] local-user admin（设置用户名为admin）

[H3C-luser-admin] service-type telnet level 3（设置级别3）

[H3C-luser-admin] password simple admin（设置密码admin）

l              配置交换机到网关的静态路由

[H3C] ip route-static 0000 0000 192168050 (网关的IP地址为192168050)

第三步：搭建WEB网管远程配置环境

第四步：用户通过PC与交换机相连，并通过浏览器登录交换机：在WEB网管终端(PC)的浏览器地址栏内输入URL:http://101531782（WEB网管终端和以太网交换机之间要路由可达），浏览器会显示WEB网管的登录页面。

第五步：输入在交换机上添加的用户名和密码，“语言”下拉列表中选择中文，点击登录>按钮后即可登录，显示中文WEB网管初始页面。

实现是可以的。比较麻烦。映射简单，在外网接口上做相应的端口映射就可以了。

主要是你这个涉及到双线路，也就是路由这块要改动一下。假如防火墙的默认路由 指向的是1111这个地址。那么就需要使用策略路由将源地址19216812的数据都强制指向到2222

这样就可以了。保证数据的来回路径一致

我吧我做过的配置直接发给你吧，但是，朋友你的给点分。

交换机配置DHCP

dhcp server ip-pool 1 ：配置DHCP组1

network 1721510 mask 2552552550 ：配置地址池

gateway-list 172151254 ：配置网关

dns-list 20210344150 2021032468 ：配置DNS

expired day 10 ：配置DHCP过期时间（10天）

配置DHCP中继

#

dhcp-server 1 ip 19216831

interface Vlan-interface10

ip address 1721610254 2552552550

dhcp-server 1

基本属性：

vlan特性：三层互通，两层隔离。三层交换机不同vlan之间默认是互通的，两次交换机不同vlan是隔离的。

vlan IP：就是定义一个vlan下所有机器的网关地址，该vlan下的机器网关必须是这个IP。

接口：就是交换机后面可以插网线的端口，可以设置为Access、Trunk、Hybrid等

注意点：

交换机与相关设备（路由、交换机）相连时，建议将接口设置为Trunk口，并且允许相关vlan通过。

交换机下行连接电脑终端或服务器终端建议将接口设置为Access接口。

定义vlan时，尽量使用24的掩码（2552552550）进行划分，如果存在包含关系vlan之间互连就会有问题，所以尽量不适用大网段。

设置DHCP自动划分IP示例：

组网图：

1）配置DHCP服务# 启用DHCP服务。<H3C> system-view[H3C] dhcp enable2）配置端口所属VLAN和对应VLAN接口的IP地址，IP地址即是对应VLAN的网关地址[H3C]vlan 5[H3C-vlan5]port GigabitEthernet 1/0/5[H3C-vlan5]quit[H3C]vlan 6[H3C-vlan6]port GigabitEthernet 1/0/6[H3C-vlan6]quit[H3C]vlan 7[H3C-vlan7]port GigabitEthernet 1/0/7[H3C-vlan7]quit[H3C]interface vlan 5[H3C-Vlan-interface5]ip address 1921685254 2552552550[H3C-Vlan-interface5]quit[H3C]interface vlan 6[H3C-Vlan-interface6]ip address 1921686254 2552552550[H3C-Vlan-interface6]quit[H3C]interface vlan 7[H3C-Vlan-interface7]ip address 1921687254 2552552550[H3C-Vlan-interface7]quit3）配置不参与自动分配的IP地址（DNS服务器等，此步为选配）[H3C] dhcp server forbidden-ip 1921685100[H3C] dhcp server forbidden-ip 1921686100[H3C] dhcp server forbidden-ip 19216871004）配置DHCP地址池5，用来为19216850/24网段内的客户端分配IP地址。[H3C] dhcp server ip-pool 5[H3C-dhcp-pool-5] network 19216850 mask 2552552550[H3C-dhcp-pool-5] dns-list 8888[H3C-dhcp-pool-5] gateway-list 1921685254[H3C-dhcp-pool-5] quit说明：如果有多个公网的DNS地址，命令可以如下方式输入[H3C-dhcp-pool-5] dns-list 8888 1141141141145）配置DHCP地址池6，用来为19216860/24网段内的客户端分配IP地址。[H3C] dhcp server ip-pool 6[H3C-dhcp-pool-6] network 19216860 mask 2552552550[H3C-dhcp-pool-6] dns-list 8888[H3C-dhcp-pool-6] gateway-list 1921686254[H3C-dhcp-pool-6] quit6）配置DHCP地址池7，用来为19216870/24网段内的客户端分配IP地址。[H3C] dhcp server ip-pool 7[H3C-dhcp-pool-7] network 19216870 mask 2552552550[H3C-dhcp-pool-7] dns-list 8888[H3C-dhcp-pool-7] gateway-list 1921687254[H3C-dhcp-pool-7] quit7）保存配置[H3C]save force

通过端口将给下联傻瓜SW打标签，将一个交换机配置为一个vlan：

如图：电脑发出的数据，通过交换机到核心SW的下联口，因为下联SW没有做打标签的工作，直接在进入核心SW的时候给数据打上VLAN10的标签即可。

简单的网络组图示例：

一、H3C交换机划分vlan

1、基于端口划分vlan

(1) 配置 Device A

# 创建 VLAN 100，并将 GigabitEthernet1/0/1 加入 VLAN 100。

<DeviceA> system-view

[DeviceA] vlan 100[DeviceA-vlan100] port gigabitethernet 1/0/1[DeviceA-vlan100] quit

# 创建 VLAN 200，并将 GigabitEthernet1/0/2 加入 VLAN 200。

[DeviceA] vlan 200[DeviceA-vlan200] port gigabitethernet 1/0/2[DeviceA-vlan200] quit

# 为了使 Device A 上 VLAN 100 和 VLAN 200 的报文能发送给 Device B，将 GigabitEthernet1/0/3的链路类型配置为 Trunk，并允许 VLAN 100 和 VLAN 200 的报文通过。

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] port link-type trunk[DeviceA-GigabitEthernet1/0/3] port trunk permit vlan 100 200

(2) Device B 上的配置与 Device A 上的配置相同，不再赘述。

(3) 将 Host A 和 Host C 配置在一个网段，比如 1921681000/24；将 Host B 和 Host D 配置在

一个网段，比如 1921682000/24。

4 验证配置

(1) Host A 和 Host C 能够互相 ping 通，但是均不能 ping 通 Host B。Host B 和 Host D 能够互相ping 通，但是均不能 ping 通 Host A。

(2) 通过查看显示信息验证配置是否成功。

# 查看 Device A 上 VLAN 100 和 VLAN 200 的配置信息，验证以上配置是否生效。

[DeviceA-GigabitEthernet1/0/3] display vlan 100 VLAN ID: 100 VLAN type: Static

Route interface: Not configured

Description: VLAN 0100 Name: VLAN 0100 Tagged ports: GigabitEthernet1/0/3

1-18 Untagged ports: GigabitEthernet1/0/1

[DeviceA-GigabitEthernet1/0/3] display vlan 200 VLAN ID: 200 VLAN type: Static

Route interface: Not configured

Description: VLAN 0200 Name: VLAN 0200 Tagged ports: GigabitEthernet1/0/3 Untagged ports:GigabitEthernet1/0/2

2、基于IP自网段划分网段

(1) 配置 Device C

# 配置子网 19216850/24 与 VLAN 100 关联。

<DeviceC> system-view

[DeviceC] vlan 100[DeviceC-vlan100] ip-subnet-vlan ip 19216850 2552552550[DeviceC-vlan100] quit

# 配置子网 192168500/24 与 VLAN 200 关联。

[DeviceC] vlan 200[DeviceC-vlan200] ip-subnet-vlan ip 192168500 2552552550[DeviceC-vlan200] quit

# 配置端口 GigabitEthernet1/0/11 为 Hybrid 端口，允许 VLAN 100 通过，并且在发送 VLAN 100的报文时携带 VLAN Tag。

[DeviceC] interface gigabitethernet 1/0/11

[DeviceC-GigabitEthernet1/0/11] port link-type hybrid[DeviceC-GigabitEthernet1/0/11] port hybrid vlan 100 tagged[DeviceC-GigabitEthernet1/0/11] quit# 配置端口 GigabitEthernet1/0/12 为 Hybrid 端口，允许 VLAN 200 通过，并且在发送 VLAN 200

的报文时携带 VLAN Tag。

[DeviceC] interface gigabitethernet 1/0/12

[DeviceC-GigabitEthernet1/0/12] port link-type hybrid[DeviceC-GigabitEthernet1/0/12] port hybrid vlan 200 tagged[DeviceC-GigabitEthernet1/0/12] quit# 配置端口GigabitEthernet1/0/1为Hybrid端口，允许VLAN 100、200通过，并且在发送VLAN 100、

200 的报文时不携带 VLAN Tag。

[DeviceC] interface gigabitethernet 1/0/1

[DeviceC-GigabitEthernet1/0/1] port link-type hybrid[DeviceC-GigabitEthernet1/0/1] port hybrid vlan 100 200 untagged# 配置端口 GigabitEthernet1/0/1 和基于 IP 子网的 VLAN 100、200 关联。

[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 100

[DeviceC-GigabitEthernet1/0/1] port hybrid ip-subnet-vlan vlan 200

[DeviceC-GigabitEthernet1/0/1] quit(2) 配置 Device A 和 Device B配置 Device A 和 Device B 允许对应 VLAN 通过，配置过程略。

4 显示与验证

# 查看所有子网 VLAN 的信息。

[DeviceC] display ip-subnet-vlan vlan all

VLAN ID: 100 Subnet index IP address Subnet mask

0 19216850 2552552550 VLAN ID: 200 Subnet index IP address Subnet mask

0 192168500 2552552550

1-22

# 查看端口 GigabitEthernet1/0/1 关联的子网 VLAN 的信息。

[DeviceC] display ip-subnet-vlan interface gigabitethernet 1/0/1 Interface: GigabitEthernet1/0/1 VLAN ID Subnet index IP address Subnet mask Status

100 0 19216850 2552552550 Active

200 0 192168500 2552552550 Active

二、基于端口划分vlan后没有网络，需要配置交换机静态路由与路由器上的回城静态路由

路由器端配置

#配置虚接口地址

<H3C>system-view

[H3C]interface  Vlan-interface 1

[H3C-Vlan-interface1]ip address 19216811 24

[H3C-Vlan-interface1]quit#添加两条静态路由，将vlan 2，3的数据下一跳回城到vlan1的ip，vlan1会将数据下发到vlan 2，3

#如果在路由web界面配置，出口需要选择LAN出口

[H3C]ip route-static 19216820 24 1921681254  

[H3C]ip route-static 19216830 24 1921681254

#保存配置

[H3C]save force32交换机端的配置

#创建vlan<H3C>system-view[H3C]vlan 2 to 3

#创建虚接口地址，vlan2和vlan3的地址分别作为PC1和PC2的网关，24对应 2552552550

[H3C]interface vlan 1

[H3C-Vlan-interface1]ip address 1921681254 24

[H3C]interface vlan 2

[H3C-Vlan-interface2]ip address 19216821 24

[H3C]interface vlan 3

[H3C-Vlan-interface3]ip address 19216831 24

#将连接PC1和PC2接口划分到相应的vlan中，已经划分vlan的跳过这步

[H3C]interface GigabitEthernet 1/0/2

[H3C-GigabitEthernet1/0/2] port access vlan 2

[H3C-GigabitEthernet1/0/2]interface GigabitEthernet 1/0/3

[H3C-GigabitEthernet1/0/3] port access vlan 3

#添加静态路由，指向路由器的网关

[H3C]ip route-static 0000 0 19216811

#保存配置

[H3C]save force

核心交换机配置示例：

需求：核心交换机下接两个底层交换机，分别连接大量PC终端与大量服务器。需要划分vlan使不同vlan的PC端都可以正常访问服务器与服务器下的虚拟机。因为服务器之间可能存在需要相互通讯的问题，需要将服务器划分进一个vlan能够正常通讯。

网络拓扑图：

左侧是划分前：路由网关为1721801，服务器中虚拟化了大量虚拟机，网管全部为1721801如果要重新划分vlan会很麻烦，PC端划分了不同vlan。

右侧是划分后：将路由网关修改为19216812，将核心交换机单独划一个vlan 200用于和路由相连。服务器vlan 100虚拟接口IP就修改为1721801，这样就不需要修改服务器与虚拟机中的网管了。记得写回城路由将数据写回核心交换机。

配完之后，流量如下走：

1、终端数据到网关，即核心交换机上

2、核心SW查找路由发现只有一条缺省路由，下一跳是路由器互联地址，将数据发给路由器互联地址

3、路由器查找路由表，将数据发往公网。

4、回包时路由器查路由表，根据路由表发现下一跳是核心交换的互联地址，将数据发给核心SW，

5、核心SW收到后，根据路由表发给各个网段