H3C ER3000系列路由器实现中小企业上网的组网需求和方案

针对很多中小企业来说，H3C公司的ER3000系列路由器产品是一个非常经济和耐用的选择。对于这样的企业规模来说，并不需要太大的网络承载能力，但是也需要实现禁止ARP攻击、限制BT、迅雷下载和禁止常用IM软件（比如说QQ、阿里旺旺和MSN）的功能，下面将根据这些需求给出一个H3C ER3000系列路由器实现中小企业上网的组网需求和方案：

一、组网需求：

某企业需要满足以下需求：

1) 电信、网通各 100M光纤接入，并实现“电信走电信，网通走网通”的需求（仅

ER3260/ER3200支持）。

2) 防止局域网内的 ARP攻击。

3) 防止某些计算机使用 BT、迅雷等软件过度占用网络资源。

4) 禁止某些计算机 QQ和MSN上线。

二、组网配置方案：

为满足以上典型需求，使用 ER3000 系列组建局域网，以下面具体的组网配置方案

为例进行说明：

1) WAN口接入方式采用静态 IP地址接入方式。

2) 通过光纤收发器分别接入到电信和网通线路，WAN 口模式采用手工负载均衡

方式，实现“电信走电信，网通走网通”（仅 ER3260/ER3200）。

3) 关闭 DHCP服务器功能，手工给局域网内各计算机分配静态 IP地址。

4) 启用 IP/MAC绑定功能，防止 ARP攻击。

5) 启用 ARP防欺骗功能。

6) 设置 IP流量限制和 NAT表项限制，防止 BT、迅雷等软件过度占用网络资源。

7) 设置业务控制，禁止某些计算机 QQ和 MSN上线（仅 ER3200/ER3100）。

三、组网拓扑图：

四、配置步骤：

（1）通过连接到 ER3000系列 LAN口的计算机进行设置。在计算机 Web浏览器的地址

栏中输入http://192.168.1.1。按回车后出现登录对话框。在登录对话框中输入缺省的管理员用户名：admin，密码：admin（如果密码已更改，则需要输入新密码），单击<确定>按钮后便可进入

Web配置页面。然后进行如下配置：

1. 连接到因特网

(1) 设置多 WAN连接模式（设置 ER3100请略过这一步）。设置路径：WAN设

置→连接到因特网，设置如下。

(2) 设置上网方式。设置路径：WAN设置→连接到因特网，设置如下。

(3) 设置均衡路由策略（设置 ER3100请略过这一步）。设置路径：WAN设置→

连接到因特网，单击页面右下方的<导入>按钮，导入网通路由策略表（可以直

接从 H3C网站上下载）。 H3C ER3000系列企业级路由器 用户手册 9 典型配置案例

说明：

由于缺省链路设置为 WAN 1，且 WAN 1的 ISP为电信，所以这里只需导入网通

的策略路由表。

本例中 WAN2口与网通连接，导入网通路由策略表前，请注意策略表中的出接

口应该是 WAN2口。

若网通策略路由表不能够完全覆盖您所需要的策略，请手工进行添加。

2. 设置局域网

(1) 关闭 ER3000系列的 DHCP服务器。设置路径：LAN设置→局域网设置，如

下图所示。

(2) 给局域网内的计算机静态指定 IP地址和子网掩码。

3. 设置防 ARP攻击和欺骗

(1) 设置 IP/MAC地址绑定。设置路径：访问控制→IP/MAC绑定，单击<ARP列

表导入>按钮。

(2) 选中“全选”复选框，单击<导入到 IP/MAC绑定表>，IP/MAC绑定关系导入

到 IP/MAC绑定表。

(3) 选中“仅允许IP/MAC绑定的客户端访问外网”，单击<确定>按钮，ARP防

攻击生效。

(4) 设置 ARP防欺骗。设置路径：安全设置→ARP防攻击，选中“启用 ARP防

欺骗功能”，并选中“主动发送免费 ARP报文”，并将“发送免费ARP报文

的时间间隔”设为 1秒。单击<确定>按钮，完成配置。

4. 设置 IP流量限制和 NAT表项限制

(1) 设置 IP流量限制。 设置路径：QoS设置→IP流量限制。 启用 IP流量限制功能，

设置 IP地址范围及流量上限。设置完成后，单击<增加>按钮，添加到 IP流量

限制表中。

(2) 设置 NAT表项限制。设置路径：QoS设置→NAT表项限制。启用 NAT表项

限制功能， 设置 IP地址范围及 NAT表项上限。 设置完成后， 单击<增加>按钮，

添加到 NAT表项限制表中。

5. 设置业务控制

设置业务控制（设置ER3260请略过这一步）。设置路径：访问控制→业务控制。

先禁止局域网内所有计算机的QQ/MSN上线权限，然后设置特权 IP 使其拥有

QQ./MSN上线权限，单击<增加>按钮，添加到业务控制表中。

完成所有设置步骤后，您就可以放心地通过ER3000系列进行上网了。