通过在外网口配置nat基本就OK 了，以下配置假设EthernetO/O为局域网接口,EthernetO/1 为外网口。

1、配置内网接口( EthernetO/O):[MSR20-20 ] in terface EthernetO/O[MSR20-20 - EthernetO/O]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址[MSR20-20 ]dhcp server ip-pool 1[MSR20-20 -dhcp-pool-1]network 192.168.1.0 24[MSR20-20 -dhcp-pool-1]dns-list 202.96.134.133[MSR20-20 -dhcp-pool-1] gateway-list 192.168.1.13、配置nat[MSR20-20 ]nat address-group 1 公网IP 公网IP[MSR20-20 ]acl number 3000[MSR20-20 -acl-adv-3000]rule 0 permit ip4、配置外网接口( EthernetO/1)[MSR20-20 ] in terface EthernetO/1[MSR20-20 - Ethernet0/1]ip add 公网IP[MSR20-20 - EthernetO/1] nat outbound 3000 address-group 15 .加默缺省路由[MSR20-20 ]route-stac 0.0.0.0 0.0.0.0 夕卜网网关总结：在2020路由器下面，配置外网口，配置内网口，配置acl作nat,一条默认路由指向电信网关.ok!Console登陆认证功能的配置关键词：MSR;co nsole;一、组网需求：要求用户从con sole登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。

、组网图:三、配置步骤: 设备和版本：MSR 系列、version 5.20, R1508P02RTA关键配置脚本#//创建本地帐号与密码local-user h3cpassword simple h3c//设置服务类型为terminalservice-type termi nal//设置用户优先级为 3level 3#// 设置con sole 接口为scheme 认证模式user- in terface con 0authe nticati on-m ode scheme#四、配置关键点：1）在配置完成后，释放当前连接，重新连接设备即可telnet用户进行本地认证功能的典型配置关键词：MSR;tel net;一、组网需求：要求用户tel net登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。

设备清单：MSR系列路由器台1二、组网图：三、配置步骤:设备和版本：MSR 系列、version 5.20, R1508P02authe nticati on-m ode scheme #四、配置关键点1）必须保证Tel net Server En able , Con figure-user count也根据需要进行配置;2）实际使用用户名、密码要和local-user 配置保持一致MSR系列路由器地址池方式做NAT 的配置关键字：MSR; NAT;地址池一、组网需求：内网用户通过路由器的NAT地址池转换来访问In ternet。

设备清单：MSR系列路由器1台，PC 1台、组网图:三、配置步骤:适用设备和版本：MSR 系列、Version 5.20, Release 1508P02MSR1 配置#//用户NAT的地址池nat address-group 1 202.100.1.3 202.100.1.6#//配置允许进行NAT转换的内网地址段acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255rule 1 deny#in terface GigabitEther net0/0port lin k-mode route//在岀接口上进行NAT转换nat outbound 2000 address-group 1ip address 202.100.1.2 255.255.255.0#//内网网关in terface GigabitEthernet0/1port lin k-mode routeip address 192.168.0.1 255.255.255.0#//配置默认路由ip route-static 0.0.0.0 0.0.0.0 202.100.1.1#四、配置关键点：1 ）地址池要连续；2）在出接口做NAT转换；3 ）默认路由一般要配置。

DHCP SERVER功能的配置关键字：MSRQHCP;基础配置一、组网需求：MSR1作为DHCP服务器为网段10.1.1.0/24中的客户端动态分配IP地址, 该地址池网段分为两个子网网段：10.1.1.0/25和10.1.1.128/25。

路由器的两个以太网接口G0/0 和G0/1的地址分别为10.1.1.1/25 和10.1.1.129/25 。

10.1.1.0/25网段内的地址租用期限为10天12小时，域名为，DNS服务器地址为10.1.1.2，NBNS服务器地址为10.1.1.4，出口网关的地址为10.1.1.1 o 10.1.1.128/25网段内的地址租用期限为5天，域名为，DNS 服务器地址为10.1.1.2，无NBNS服务器地址，出口网关的地址为10.1.1.129 。

设备清单：PC两台、MSR系列路由器1台、组网图:、配置步骤:适用设备和版本：MSR 系列、Version 5.20, Release 1508P02//使能DHCP服务功能dhcp en able四、配置关键点：1）子地址池1、2的范围要在父地址池0里面。

2）要把一些固定的|p地址，如DNS服务器地址、域名服务器地址、WINS服务器地址禁止用于自动分配。

3）配置好地址池及相关服务器地址后，一定要在系统视图下使能DHCP服务功能。

MSR系列路由器GRE隧道基础配置关键字：MSR;GRE;隧道一、组网需求：Router A、Router B两台路由器通过公网用GRE实现私网互通。

设备清单：MSR系列路由器2台二、组网图：三、配置步骤：#//通过tunnel 访问对端私网的路由ip route-static 12.1.1.0 255.255.255.0 Tunn el0#Router B 配置#interface EthernetO/Oport link-mode routeip address 10.1.1.2 255.255.255.252#interface LoopBack1ip address 12.1.1.1 255.255.255.255#//创建GRE隧道，指定封装后的源地址和目的地址interface Tunnel0ip address 192.168.0.1 255.255.255.0source 10.1.1.2destination 10.1.1.1#//通过tunnel 访问对端私网的路由ip route-static 11.1.1.0 255.255.255.0 Tunnel0#四、配置关键点：1）两端的隧道地址要处于同一网段；2）不要忘记配置通过tunnel访问对方私网的路由。

L2TP 穿过NAT接入LNS功能配置关键字：MSR;L2TP;VPN;NAT;LNS一、组网需求：移动用户通过L2TP客户端软件接入LNS以访问总部内网，但LNS的地址为内网地址，需要通过NAT服务器后才能接入。

设备清单：MSR系列路由器2台PC、组网图:、配置步骤:LNS配置#sys name H3C#I2tp enable // 使能L2TP#doma in h3cip pool 1 11.1.1.2 11.1.1.5#local-user ua // 创建本地用户userapassword simple uaservice-type ppp // 采用ppp 方式#l2tp-group 1 // 创建L2TP组#in terface GigabitEthernetO/1port lin k-mode route//使用出接口进行NAT转换nat outbou nd 2000//允许外网UDP数据访问192.168.0.1nat server protocol udp global 1.1.1.1 any in side 192.168.0.1 anyip address 1.1.1.1 255.0.0.0#PC的配置如下：在PC上的配置步骤可以分为两步：创建一个新连接和修改连接属性，具体如下：首先要创建一个新的连接，操作步骤为：网络邻居-> 属性在网络任务栏里选择“创建一个新的连接”单击下一步选择“连接到我的工作场所”，单击下一步选择“虚拟专用网络连接”，单击下一步输入连接名称“ I2tp ”，单击下一步选择“不拨初始连接”，单击下一步选择LNS的服务器地址1.1.1.1，单击下一步选择“不使用我的智能卡”，单击下一步单击完成，此时就会出现名为I2tp 的连接，如下:单击属性按钮，修改连接属性，要与LNS端保持一致，如下:在属性栏里选择“安全”，选择“高级”> “设置”，如下：选择“允许这些协议”—> “不加密的密码(PAP (U) ” ,单击确定。

至此，PC机上的配置完成。

双击“ I2tp ”连接，输入用户名ua和密码ua, 就可以访问内部网络了。

在PC上pingLNS的loopback地址，如下：C:\Docume nts and Setti ngs\Admi nistrator>pi ng 192.168.0.3Pinging 192.168.0.3 with 32 bytes of data:Reply from 192.168.0.3: bytes=32 time=1ms TTL=255Reply from 192.168.0.3: bytes=32 time<1ms TTL=255Reply from 192.168.0.3: bytes=32 time<1ms TTL=255Reply from 192.168.0.3: bytes=32 time<1ms TTL=255Ping statistics for 192.168.0.3:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-sec on ds:Minimum = 0ms, Maximum = 1ms, Average = 0ms四、配置关键点：1)L2TP的认证最好采用域方式认证2)PC侧的配置要与LNS上的配置一致3)PC侧的服务器地址要填NAT公网出口地址LNS上对L2TP接入进行Radius认证功能的配置关键字：MSR;L2TP;LNS;Radius;AAA、组网需求MSR路由器是LNS服务器，对外提供L2TP接入服务，并对接入用户进行Radius 认证设备清单：MSR系列路由器1台，主机2台二、组网图：三、配置步骤：MS配置#//势能L2TPI2tp en able#//将默认域改为h3cdoma in default en able h3c#//配置Radius 方案h3cradius scheme h3cserver-type sta ndard//主认证Radius服务器地址primary authe nticatio n 192.168.0.13//主计费服务器地址primary accou nti ng 192.168.0.13//认证服务器密码key authe ntication 123456//计费服务器密码key accou nting 123456//不带域名认证user- name-format without-doma in//使能计费acco un ti ng-on en able#//配置H3C域doma in h3c//配置认证方案为h3cauthe nticati on ppp radius-scheme h3c//配置授权方案也是h3c，必须配置，否则无法认证通过authorizati on ppp radius-scheme h3caccess-limit disablestate activeidle-cut disableself-service-url disable//配置地址池ip pool 1 10.0.0.2 10.0.0.9#//l2tp 组 1l2tp-group 1//不进行隧道认证undo tunnel authe nticati on//绑定虚模板0allow l2tp virtual-template 0#//虚模板0in terface Virtual-Template。