H3C路由器设置
1. 端口映射
如某公司内网有做游戏或者其他服务机器，需要外网的机器访问时，需要设置端口映射
内部机器:192.168.2.223
外网IP:61.190.38.198
需要做端口映射:在NAT配置中设置
2. 内网中的PC通过域名访问内部的服务器
内部服务器IP:192.168.3.2(VLAN3) TCP端口:80和3777
内部PC机:192.168.2.0/24和192.168.1.0/24(VLAN2和VLN1)
命令配置:
Acl number 3400
Rule 0 permit tcp source 192.168.2.0 0.0.0.255 destination
192.168.3.2 0
destination-port eg 80
Rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination
192.168.3.2 0
destination-port eg 3777
Rule 10 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0
destination-port eg 80
Rule 15 permit tcp source 192.168.1.0 0.0.0.255 destination 192.168.3.2 0
destination-port eg 3777
Interface vlan-interface 3
Nat outbound 3400
注:acl的子网掩码和子网掩码是相反的，192.168.1.0/24的子网掩码是255.255.255.0
则acl的子网掩码是0.0.0.255
3. IP和MAC地址绑定
防止ARP欺骗
1) arp扫描:ARP防攻击
2) 固化
4. 互联网访问控制
1) 设置时间
注:1-2、2-1无内置电池，设备重启后时间恢复成2007年1月1日。

2) 设置访问控制
5. 用户群组
1) 添加群组
2) 在相应的组中添加用户
3) 访问控制
4) 应用控制
5) 带宽控制
6) 包过滤
6. 内部访问隔离
1) 限制VLAN1和VLAN2、VLAN3互访VLAN1:192.168.1.0/24
VLAN2:192.168.2.0/24
VLAN3:192.168.3.0/24
命令:
Firewall enable
Acl number 2300
Rule 0 deny source 192.168.1.0 0.0.0.255 Interface vlan-interface 2
Firewall packet-filter 2300 outbound Interface vlan-interface 3
Firewall packet-filter 2300 outbound
2)vlan2访问vlan3,但是vlan3不能访问vlan2 firewall enable
acl number 2301
rule 0 deny
aspf-policy 1
detect tcp
detect udp
interface vlan-interface 3
firewall packet-filter 2301 inbound firewall aspf 1 outbound
7.VPN L2TP。