华为企业级路由器完整版实战配置

华为 AR2200/AR3200/AR6200/AR6300 全系列，VRP5、VRP8 通用，企业机房标准出口组网，无兼容bug。

实际组网场景

G0/0/0 对接运营商外网宽带/专线；G0/0/1 下联核心交换机内网；全程支持内网全员上网、远程运维安全接入、内网路由全互通、基础网络安全防护、防端口扫描防攻击，配置闭环无遗漏。

一、基础底盘全加固配置（机房上线必做，防篡改防乱改）

|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| <Huawei> system-view # 从用户视图进入系统视图 Huawei sysname HQ-出口核心路由器 # 修改设备主机名，方便运维识别 HQ-出口核心路由器 clock timezone China add 8 # 设置时区为东八区（北京时间） HQ-出口核心路由器 ntp server 202.112.10.36 # 配置公网NTP时间服务器，自动同步设备时间 HQ-出口核心路由器 undo info-center enable # 关闭冗余日志弹窗，避免命令行刷屏干扰配置 HQ-出口核心路由器 fan speed auto # 风扇自动调速，静音且智能控温 HQ-出口核心路由器 temperature threshold high 60 # 设置设备高温告警阈值60℃ # Console物理口锁死，防止本地非法插拔篡改设备 HQ-出口核心路由器 user-interface console 0 # 进入Console本地控制台接口视图 HQ-出口核心路由器-ui-console0 authentication-mode password # 开启密码认证模式 HQ-出口核心路由器-ui-console0 set password irreversible-cipher LocalAdmin@2026 # 设置加密本地登录密码 HQ-出口核心路由器-ui-console0 idle-timeout 3 # 无操作3分钟自动超时退出，防挂在终端 HQ-出口核心路由器-ui-console0 quit # 退出接口视图 |

二、三层管理员账号+全加密远程运维（杜绝弱密码、杜绝裸奔Telnet漏洞）

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 创建最高权限运维账号，加密存储，不泄露明文 HQ-出口核心路由器 local-user NetAdmin password irreversible-cipher NetCore@202605 # 创建加密运维账号，密码不可逆加密 HQ-出口核心路由器 local-user NetAdmin privilege level 15 # 设置账号最高15级权限，拥有全部操作权限 HQ-出口核心路由器 local-user NetAdmin service-type ssh terminal # 允许该账号SSH远程、本地终端登录 # 关闭不安全明文协议，只保留加密SSH运维（远程配置核心基础） HQ-出口核心路由器 user-interface vty 0 15 # 进入0-15所有虚拟远程终端线路 HQ-出口核心路由器-ui-vty0-15 authentication-mode aaa # 远程登录采用AAA账号密码认证 HQ-出口核心路由器-ui-vty0-15 protocol inbound ssh # 仅允许SSH协议登录，禁用Telnet明文 HQ-出口核心路由器-ui-vty0-15 idle-timeout 5 # 远程终端5分钟无操作自动下线 HQ-出口核心路由器-ui-vty0-15 quit # 退出VTY视图 HQ-出口核心路由器 ssh server enable # 全局开启SSH远程服务 HQ-出口核心路由器 ssh server encryption-algorithm aes-256 # 采用AES256高强度加密算法 HQ-出口核心路由器 ssh server hmac-algorithm sha2-256 # 采用SHA256哈希校验，防数据篡改 # 补充远程配置核心命令（含SSH密钥登录、远程端口修改，提升安全性） # 1. 配置SSH密钥登录（比密码登录更安全，远程运维首选） HQ-出口核心路由器 rsa local-key-pair create # 生成本地RSA密钥对，用于SSH加密认证 The key name will be: Host The range of public key size is (512 ~ 2048). Input the bits in the modulusdefault = 2048: 2048 # 密钥长度2048位，安全等级最高 Generating keys... .+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++* +* HQ-出口核心路由器 ssh user NetAdmin authentication-type publickey # 指定账号采用密钥认证 HQ-出口核心路由器 ssh user NetAdmin publickey import ssh-rsa "替换为运维人员公钥内容" # 导入运维本地公钥，免密登录 # 2. 修改SSH远程登录端口（默认22，修改后防暴力扫描） HQ-出口核心路由器 ssh server port 2222 # 更改SSH端口为2222，规避全网22端口批量扫描爆破 # 3. 配置远程登录ACL白名单（仅允许指定运维IP远程访问，杜绝非法远程接入） HQ-出口核心路由器 acl number 3000 # 创建高级ACL 3000，用于远程访问控制 HQ-出口核心路由器-acl-adv-3000 rule permit tcp source 192.168.1.10 0.0.0.0 destination-port eq 2222 # 仅允许运维固定IP远程SSH HQ-出口核心路由器-acl-adv-3000 rule deny tcp destination-port eq 2222 # 拒绝所有其他IP访问SSH端口 HQ-出口核心路由器-acl-adv-3000 quit # 退出ACL视图 HQ-出口核心路由器 user-interface vty 0 15 # 进入远程终端视图 HQ-出口核心路由器-ui-vty0-15 acl 3000 inbound # 入方向绑定白名单，严格管控远程接入IP HQ-出口核心路由器-ui-vty0-15 quit # 退出视图 # 4. 远程登录后常用运维命令（远程配置、排查必备） HQ-出口核心路由器 display device # 远程查看设备硬件运行状态 HQ-出口核心路由器 display ssh server status # 查看SSH服务运行状态、端口、加密算法 HQ-出口核心路由器 reset ssh server connection all # 强制清空所有异常挂死SSH连接 |

三、外网+内网双接口标准固化配置（IP写实、端口UP、现场直接对接）

|---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 外网上联口：对接运营商专线/宽带光猫，填写实际公网IP与网关 HQ-出口核心路由器 interface GigabitEthernet 0/0/0 # 进入外网千兆上联接口 HQ-出口核心路由器-GigabitEthernet0/0/0 description 上联_运营商外网专线 # 接口标注备注，方便运维识别链路 HQ-出口核心路由器-GigabitEthernet0/0/0 ip address 218.xx.xx.55 255.255.255.248 # 配置运营商分配公网IP及子网掩码 HQ-出口核心路由器-GigabitEthernet0/0/0 nat outbound # 接口开启出方向NAT转换（适配老版本VRP） HQ-出口核心路由器-GigabitEthernet0/0/0 undo shutdown # 开启接口，默认端口UP HQ-出口核心路由器-GigabitEthernet0/0/0 quit # 退出外网接口视图 # 内网核心口：下联全公司办公交换机，网关固定兜底 HQ-出口核心路由器 interface GigabitEthernet 0/0/1 # 进入内网核心下联接口 HQ-出口核心路由器-GigabitEthernet0/0/1 description 下联_内网核心交换机 # 标注内网链路信息 HQ-出口核心路由器-GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 # 配置内网核心网关地址 HQ-出口核心路由器-GigabitEthernet0/0/1 undo shutdown # 开启内网接口 HQ-出口核心路由器-GigabitEthernet0/0/1 quit # 退出内网接口视图 |

四、全局路由闭环（默认外网兜底+内网全段静态回包，全网无黑洞路由）

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 全网所有未知流量全部转发到运营商网关，保证全员正常上网 HQ-出口核心路由器 ip route-static 0.0.0.0 0.0.0.0 218.xx.xx.54 # 配置默认路由，所有外网流量指向运营商网关 # 内网多网段精准回程路由，覆盖办公、财务、监控、车间全区域 HQ-出口核心路由器 ip route-static 192.168.2.0 255.255.255.0 192.168.1.254 # 去往192.168.2.0网段流量指向核心交换机 HQ-出口核心路由器 ip route-static 192.168.3.0 255.255.255.0 192.168.1.254 # 去往监控网段回程路由 HQ-出口核心路由器 ip route-static 192.168.4.0 255.255.255.0 192.168.1.254 # 去往车间/特殊业务网段回程路由 |

五、标准ACL白名单+安全NAT上网（只放行内网合法网段，拦截非法私网入侵）

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 基础ACL精准放行内网全部办公网段，拒绝其他陌生IP入网 HQ-出口核心路由器 acl number 2000 # 创建基础ACL 2000，用于NAT上网匹配 HQ-出口核心路由器-acl-basic-2000 rule permit source 192.168.1.0 0.0.0.255 # 放行主办公网段上网 HQ-出口核心路由器-acl-basic-2000 rule permit source 192.168.2.0 0.0.0.255 # 放行分支办公网段上网 HQ-出口核心路由器-acl-basic-2000 rule permit source 192.168.3.0 0.0.0.255 # 放行监控网段上网 HQ-出口核心路由器-acl-basic-2000 rule deny source any # 拒绝所有未知网段上网，防止非法私网接入 HQ-出口核心路由器-acl-basic-2000 quit # 退出ACL视图 # 外网口绑定ACL，实现内网统一转换公网IP上网 HQ-出口核心路由器 interface GigabitEthernet 0/0/0 # 进入外网接口 HQ-出口核心路由器-GigabitEthernet0/0/0 nat outbound 2000 # 绑定ACL，仅允许放行网段做NAT上网 HQ-出口核心路由器-GigabitEthernet0/0/0 quit # 退出接口视图 |

六、端口映射发布内网服务器（ERP/监控/官网后台，安全可控不裸奔）

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 外网固定公网IP映射内网ERP服务器443端口，仅业务放行 HQ-出口核心路由器 interface GigabitEthernet 0/0/0 # 进入外网公网接口 HQ-出口核心路由器-GigabitEthernet0/0/0 nat server protocol tcp global 218.xx.xx.55 443 inside 192.168.1.200 443 # 公网443映射内网ERP HTTPS服务 HQ-出口核心路由器-GigabitEthernet0/0/0 nat server protocol tcp global 218.xx.xx.55 8080 inside 192.168.1.201 8080 # 公网8080映射内网业务后台端口 HQ-出口核心路由器-GigabitEthernet0/0/0 quit # 退出外网接口视图 |

七、企业OSPF动态路由全域互通（多楼栋多分厂自动学习路由，不用手动加）

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| HQ-出口核心路由器 ospf 1 router-id 218.xx.xx.55 # 启动OSPF进程1，指定固定Router-ID（公网IP，稳定不漂移） HQ-出口核心路由器-ospf-1 area 0 # 进入OSPF骨干区域0 HQ-出口核心路由器-ospf-1-area-0.0.0.0 network 192.168.1.0 0.0.0.255 # 宣告主办公网段，开启OSPF邻居学习 HQ-出口核心路由器-ospf-1-area-0.0.0.0 network 192.168.2.0 0.0.0.255 # 宣告分支网段，实现动态路由互通 HQ-出口核心路由器-ospf-1-area-0.0.0.0 quit # 退出区域视图 HQ-出口核心路由器-ospf-1 quit # 退出OSPF进程视图 |

八、全局防攻击+安全加固（防端口扫描、防DDOS、防内网病毒广播）

|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 开启设备全局安全防护，封堵外网恶意攻击 HQ-出口核心路由器 firewall enable # 开启设备防火墙功能 HQ-出口核心路由器 firewall default deny # 默认拒绝所有外网主动入站流量，安全兜底 # 防ARP欺骗、防内网IP冲突、防恶意扫描 HQ-出口核心路由器 arp anti-attack valid-check enable # 开启ARP合法性校验，防ARP欺骗病毒 HQ-出口核心路由器 arp anti-attack rate-limit enable # 开启ARP报文限速，防ARP洪水攻击 HQ-出口核心路由器 tcp syn-cookie enable # 开启SYN-Cookie，防御SYN DDOS攻击 HQ-出口核心路由器 icmp rate-limit total 50 # 限制ICMP报文速率，防外网ping洪水攻击 # 关闭全网无用高危服务，缩小攻击面（安全加固核心） HQ-出口核心路由器 undo telnet server enable # 彻底关闭明文Telnet服务 HQ-出口核心路由器 undo ftp server enable # 关闭不安全FTP文件服务 HQ-出口核心路由器 undo http server enable # 关闭WEB管理页面，防止后台漏洞入侵 HQ-出口核心路由器 undo snmp agent enable # 关闭SNMP监控服务，防止信息泄露 |

九、运维兜底+日志+设备健康监控（出问题秒排查，全程留痕）

|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 设备运行日志本地留存，故障回溯有据可查 HQ-出口核心路由器 info-center loghost 192.168.1.100 # 指定内网日志服务器IP，集中存储设备日志 HQ-出口核心路由器 info-center timestamp log date # 日志携带精准时间戳，方便故障溯源 # 开启链路探测，外网断线自动告警排查 HQ-出口核心路由器 nqa test-instance user test_icmp # 创建NQA链路检测实例 HQ-出口核心路由器-nqa-user-test_icmp test-type icmp # 检测类型为ICMP ping探测 HQ-出口核心路由器-nqa-user-test_icmp destination-address ipv4 223.5.5.5 # 探测阿里DNS，判断外网连通性 HQ-出口核心路由器-nqa-user-test_icmp frequency 10 # 每10秒探测一次链路状态 HQ-出口核心路由器-nqa-user-test_icmp start now # 立即启动链路检测 |

十、上线必查+保存固化全套命令（不丢配置、不翻车）

|-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 逐项核查配置完整性，上线前必查 HQ-出口核心路由器 display current-configuration # 查看设备全部当前配置 HQ-出口核心路由器 display ip routing-table # 查看全局路由表，确认默认路由、回程路由生效 HQ-出口核心路由器 display nat session all # 查看NAT转换会话，确认内网上网正常 HQ-出口核心路由器 display ospf peer brief # 查看OSPF邻居状态，确认动态路由互通 HQ-出口核心路由器 display firewall session table # 查看防火墙会话，排查异常流量 HQ-出口核心路由器 save # 保存当前配置至设备闪存 Y # 二次确认存储，机房标准流程 |