华为路由器qos car+nat+dhcp+vlan配置

xinghe0

　　客户网络环境：
　　一个小型办公网络，有两家公司（A、B）在一个写字楼办公，共申请一条4M独享VDSL专线（其中A是缴3M的专线费用，B是缴1M的专线费用），共60台电脑左右，各30台电脑，各三台非网管24口D-LINK交换机，一台华为1821路由器（1wan口，4lan口）。
　　用户特殊需求：
　　（1）、A、B不能互访。
　　（2）、A、B都通过华为路由器DHCP获取地址。
　　（3）、A、B带宽必须划分开，A享受3M带宽，B享受1M带宽（原来的时候B公司网络流量过大经常影响到A公司网络办公）。
　　简单解决方案：
　　根据现有网络条件，实际上仅通过华为1821路由器可以实现以上功能，具体实施如下：
　　（1）、在华为路由器1821内部网关口（eth1/0）划分子接口（eth1/0.1、eth1/0.2），分别配置两个网关（192.168.0.1、192.168.0.2），并分别进行封装与vlan2、vlan3相对应。
　　（2）、在华为路由器1821两个lan口（eth1/1、eth1/2）划分两个vlan(vlan2、vlan3)。
　　（3）、分别在两个不同的逻辑子接口（eth1/0.1、eth1/0.2）配置nat并应用。
　　（4）、分别在两个不同的逻辑子接口（eth1/0.1、eth1/0.2）配置dhcp，在同一物理接口针对两个vlan网络应用dhcp来分配两个不同的网段。
　　（5）、由于该路由器lan口为二层端口，无法实现qos car限速，只能考虑在其唯一的内部网关接口（eth1/0）的子接口上实现qos car限速达到带宽限制的作用。
　　（6）、配置wan口地址（X、X、X、X），配置static route地址，大功告成。
　　（7）、配置用户登录（super、console、vty等）用户名及密码（这里仅配置密码模式）。
　　（8）、测试并观察端口信息、负载信息等，随时调整相应策略，由于考虑到其设备处理能力及时间紧迫，并未增加太多策略（如ACL等）和功能。
　　华为1821路由器具体配置如下：
　　#
　　sysname Quidway
　　#
　　clock timezone gmt-12:000 minus 12:00:00
　　#
　　cpu-usage cycle 1min
　　#
　　connection-limit disable
　　connection-limit default action deny
　　connection-limit default amount upper-limit 50 lower-limit 20
　　#
　　web set-package force flash:/http.zip
　　#
　　radius scheme system
　　#
　　domain system
　　#
　　local-user *******
　　password cipher .]@*********
　　service-type telnet terminal
　　level 3
　　service-type ftp
　　#
　　acl number 2000    \\ 配置nat Acl
　　rule 0 permit source 192.168.0.0 0.0.0.255
　　#
　　acl number 3000    \\ 配置nat Acl
　　rule 0 permit ip source 192.168.1.0 0.0.0.255
　　acl number 3001    \\配置 Firewall Acl
　　rule 0 deny ip destination 192.168.1.0 0.0.0.255
　　acl number 3002   \\配置 Firewall Acl
　　rule 0 deny ip destination 192.168.0.0 0.0.0.255
　　#
　　interface Ethernet1/0
　　ip address dhcp-alloc
　　#
　　interface Ethernet1/0.1
　　ip address 192.168.0.1 255.255.255.0
　　dhcp select interface                               \\ dhcp 应用于子接口
　　dhcp server dns-list 202.106.0.20 202.106.196.115
　　firewall packet-filter 3001 inbound         \\ firewall ACL过滤应用于接口
　　vlan-type dot1q vid 2                              \\子接口封装dot1q
　　qos car inbound any cir 3072000 cbs 153600 ebs 1000 green pass red discard
　　\\流量限速qos car 配置
　　qos car outbound any cir 3072000 cbs 153600 ebs 1000 green pass red discard
　　\\流量限速qos car 配置
　　#
　　interface Ethernet1/0.2
　　ip address 192.168.1.1 255.255.255.0
　　dhcp select interface                                \\ dhcp 应用于子接口
　　dhcp server dns-list 202.106.0.20 202.106.196.115
　　firewall packet-filter 3002 inbound        \\ firewall ACL过滤应用于接口
　　vlan-type dot1q vid 3                             \\子接口封装dot1q
　　qos car inbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard
　　\\流量限速qos car 配置
　　qos car outbound any cir 1024000 cbs 51200 ebs 1000 green pass red discard
　　\\流量限速qos car 配置
　　#
　　interface Ethernet1/1
　　port access vlan 2                                   \\将e1/1端口加入vlan2
　　#
　　interface Ethernet1/2
　　port access vlan 3                                    \\将e1/1端口加入vlan2
　　#
　　interface Ethernet1/3
　　#
　　interface Ethernet1/4
　　#
　　interface Ethernet2/0                                \\进入wan口配置
　　ip address X、X、X、X 255.255.255.224
　　nat outbound 3000
　　nat outbound 2000
　　#
　　interface NULL0
　　#
　　FTP server enable
　　#
　　ip route-static 0.0.0.0 0.0.0.0  y、y、y、y  preference 60
　　#
　　user-interface con 0                                     \\用户登录配置
　　authentication-mode password
　　set authentication password cipher 0HB8%-MB%I^[Q1R','&6NQ!!
　　user-interface vty 0 4
　　user privilege level 3
　　set authentication password cipher 0HB8%-MB%I^[Q1R','&6NQ!!
　　#
　　return
　　[Quidway]