====== H3C 网络技术 ======
===== NAT 回流 =====
适用于 COMWARE V7 主要用于解决在出口路由器上做了 ''NAT Server'' 后外网可以通过转换后的地址访问,但内网不能访问的问题。
在路由器出接口(指NAT SERVER 外网地址所在的端口)上启用转换,注意 NAT SERVER 指令
interface Route-Aggregation10.4001
description TO-CHINANET-2G-F5020
ip address 110.188.x.x 255.255.255.128
nat server global 110.188.x.x inside 192.168.10.53 rule ServerRule_31
在入接口启用 NAT 回流
interface te x/y
nat harpin
注:也可以能过双向NAT解决
===== 1:N 端口镜像 =====
1:N 指将一个端口流星给多个监视口,此处是交换机上的设置,路由器和防火墙要使用QoS策略完成
system-view
mirroring-group 1 remote-source
# 创建VLAN 2,该VLAN为镜像流量传输VLAN
vlan 2
quit
# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。
mirroring-group 1 remote-probe vlan 2
mirroring-group 1 mirroring-port ethernet 1/1 inbound
mirroring-group 1 reflector-port ethernet 1/2
# 将相关端口加入远程镜像VLAN,则该端口可以接受镜像组流量
interface ethernet 1/3
port access vlan 2
interface ethernet 1/4
port access vlan 2
注意:反射口不能连接网线
===== 控制 RADIUS 属性 =====
场景:
主要用于解决不同厂商或者同厂商不同产品线对RADIUS授权信息理解不同而导致的奇怪问题,比如限速策略不如预期
拒绝Radius报文中指定字段
以下字段为H3C私有字段,用于针对用户进行速度限制,因为BRAS与AC在理解该字段时意义不同,因此屏蔽掉AC接收到的该部分字段,限速操作在本地完成。
radius scheme aaaa
attribute translate
attribute reject H3c-Input-Basic-Rate received sent
attribute reject H3c-Input-Average-Rate received sent
attribute reject H3c-Input-Peak-Rate received sent
attribute reject H3c-Output-Basic-Rate received sent
attribute reject H3c-Output-Average-Rate received sent
attribute reject H3c-Output-Peak-Rate received sent
取消限制
radius scheme aaaa
undo attribute reject H3c-Input-Basic-Rate
undo attribute reject H3c-Input-Average-Rate
undo attribute reject H3c-Input-Peak-Rate
undo attribute reject H3c-Output-Basic-Rate
undo attribute reject H3c-Output-Average-Rate
undo attribute reject H3c-Output-Peak-Rate
attribute reject H3c-Input-Basic-Rate access-accept
attribute reject H3c-Input-Average-Rate access-accept
attribute reject H3c-Input-Peak-Rate access-accept
attribute reject H3c-Output-Basic-Rate access-accept
attribute reject H3c-Output-Average-Rate access-accept
attribute reject H3c-Output-Peak-Rate access-accept
域中引用 RADIUS 方案
domain isp2
authorization-attribute user-profile CAR_20M
authentication lan-access radius-scheme scsd
authorization lan-access radius-scheme scsd
accounting lan-access radius-scheme scsd
===== WLAN =====
OPTION 43 注册: 以下参数在DHCP服务器上针对AP的地址池下发
option 43 hex 8007000001c0a800b2
80 -- 固定
07 -- 后续数据长度(字节数)
0000 -- 服务器类型,一般固定(两个字节)
01 -- 下发的地址个数,即AC的IP个数(一个字节)
c0a800b2 -- IP地址的十六进制表示,其中每两个为一节,代表IP地址的一节,从左至右,如:本处为:c0(192), a8(168),00(0),b2(178),则下发的AC地址为192.168.0.178(四个字节)
部署一个家用的仅密码WIFI
创建共享密码的无线网
# AC配置
wlan service-template 10
ssid Guest6j-7
vlan 146
akm mode psk
preshared-key pass-phrase cipher $c$3$1iyJU4OxCr4u+zZtFZ5Y0N/N4qbQTUhjurb4
cipher-suite ccmp
security-ie wpa
网关设备配置
vlan 146
interface vlan 146
ip address a.b.c.d 25
dhcp select relay
dhcp relay server-address 1.1.2.2
在AC上联口放行相关vlan
在部署的AP下开放相关ssid
wlan ap wtu430-bb-*-1
radio 1
service-template 10
radio 2
service-template 10
# 配置尽量批量下发
===== WLAN 故障处理 =====
无线控制器侧
查看用户信息:显示用户MAC地址,登录时间,登录的AP。如果用户不是用的802.1x,那可能就要用 dis portal 有关的命令了
dis dot1x connection user-name usrname
查看射频口信息
dis wlan client status mac-addr {mac} verbose
* 显示用户实时速度
* 显示协商速度
* 显示网络模式,如802.11a/b/g/n/ac等
* 重传包数
* 重传率
* 信号强度 RSSI
显示空口信息
AC侧调整,需要打开AP的TELNET功能
# 将存在故障区域的AP调整为可登录状态
system-view
# 进入Probe模式:
probe
#启动AP Telnet 功能:
wlan ap-execute ap-name exec-console enable
#查看AP IP地址
dis wlan ap name ap-name address
登录AP端进行查看
# 登录AP:
telnet ap-address
# 密码默认为: h3capadmin
# 进入Probe模式
dis ar5drv 射频口号(1-2) channelbusy
# 其中: CtlBusy为总使用率, TxBusy为发送方向,RxBusy为接收方向:最佳情况下: CtlBusy = TxBusy + RxBusy,否则可能存在干扰情况。
===== 4TO6转换:AFT =====
# H3C IPv6技术
## IPv6主机访问IPv4服务器
interface IPv4Side #IPv4侧接口
aft enable #启动地址转换功能
interface IPv6Side #IPv6侧接口
aft enable
aft v4tov6 source 1.1.1.1 2001:1fff::1 #将1.1.1.1转换为2001:1fff::1
aft v6tov4 source acl ipv6 name any Interface LOOPBACK0 #将所有需要访问IPv4服务器的终端均转换为LOOPBACK0的地址
注:
a) 命令中的 Source 或者 Destination 不是数据流向,而是根据v4tov6或者v6tov4的字面意义解。v4tov6的source就是把指定v4地址转换为v6地址,v6tov4 source则是将指定的v6地址转换为v4地址。
b) v4/v6间的相互访问是双向的,因此需要双向均配置转换
c) 一般而言,发起连接的一端进行动态转换,服务器的那端进行静态转换或者前缀转换
## 关于日志记录问题
a) IPv6 Aft 日志记录好象无效,可以使用会话记录代替
*) 注: aft log 要配置了port-block-size后才生效,即
*) aft v6tov4 source acl ipv6 name any address-group 0 port-block-size 200
b) 启用会话记录:
*) 全局模式下启用会话日志: session log flow-begin
*) 在具体端口下启用相应的日志记录: session log enable ipv6 inbound
*) 将日志转换为syslog,userlog flow syslog
c) H3C F5020, comware v710,r9320 记录会话日志到会话缓冲区时,使用了独立的缓冲区,要使用: display logbuffer module Session 查看,更老的版本可能没有独立缓冲区,保持不变。当时就是因为不知道,以为没有输出日志
===== 热升级:ISSU =====
* 空间要留够,ipe软件包只需要在一个业务板里面有就可以了,可以留在空间大的那个板上。
* 将telnet/ssh 超时时间取消,防止因超时被踢出来
* 先升备用引擎板,issu load file ipe ... slot ..
* 等待板位启动好,用 dis issu state, dis version(一定要等升级中的板位就绪,如果直接切换过去会导致业务中断)
* 主备切换,issu run switchover
* 接受升级,issu accept
* 升级原主板或其他板,issu commit slot ...
===== 计划任务 =====
创建一个任务,里面有所需要执行的命令,注意命令是在全局模式下执行的,因此通常需要行执行一个 system-view 命令切换到配置模式
scheduler job switchover_waf
command 0 system-view
command 1 int Ten-GigabitEthernet2/0/0/45
command 2 shutdown
注:为了消除一些交互式命令对批命令执行的影响,一些设备引入了:
save force
reboot force
两条命令,这样系统就不会询问用户,而直接保存配置或者重启系统,适合用在计划任务中
创建一个任务计划,包括命令执行时间,执行频率等参数
scheduler schedule switchover_waf
user-role level-15
job switchover_waf
time once at 21:59
===== SSLVPN =====
user-group s_vpn
authorization-attribute sslvpn-policy-group s_vpn
sslvpn ip address-pool s_vpn 192.168.10.2 192.168.10.253 #起止地址
sslvpn gateway s_vpn
ip address 1.1.1.1 port 65443 #本设备上已存在的地址,可用环回口地址
service enable
sslvpn context s_vpn
gateway s_vpn
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool s_vpn mask 255.255.255.0
ip-tunnel dns-server primary a.b.c.d #下发的DNS地址
ip-route-list s_vpn
include 192.168.0.0 255.255.0.0 #需要下发的路由
include 10.0.0.0 255.0.0.0
policy-group s_vpn
filter ip-tunnel acl 3001
ip-tunnel access-route ip-route-list s_vpn
aaa domain sicnu
service enable
===== uRPF =====
uRPF 是对流量入站进行来源检查,检查通过的数据包才能继续转发,主要解决**IP伪装攻击**问题
对入站报文设置两项检查
* 在启用该技术的入口检查数据包源地址是否在转发表中存在
* 检查源地址与报文入接口是否匹配
两种方式
* 松散模式LOOSE,只检查路由表
* 严格模式STRICT,检查路由表与出接口
注:如果存在冗余路由,则应该配置为松散模式,如果在网络边界上,应该配置允许默认路由,否则站外流量无法转发。
注2:如果使用策略路由,也不能使用严格模式,严格路由只能用于内部接口且所有流量来源都明确的情况下。
防火墙设置
Security-zone name Untrust
ip urpf strict allow-default-route #允许默认路由,在网络边界上应该配置该命令,否则站外流量无法转发就比较悲剧
ip urpf loose allow-default-route
路由器设置
interface Tent x/y
ip urpf strict allow-default-route
===== 端口限速 =====
以下命令限制端口发包速率为960Mbps
interface int
qos lr outbound cir 960000