H3C 网络技术
NAT 回流
适用于 COMWARE V7 主要用于解决在出口路由器上做了 NAT Server 后外网可以通过转换后的地址访问,但内网不能访问的问题。
在路由器出接口(指NAT SERVER 外网地址所在的端口)上启用转换,注意 NAT SERVER 指令
interface Route-Aggregation10.4001 description TO-CHINANET-2G-F5020 ip address 110.188.x.x 255.255.255.128 nat server global 110.188.x.x inside 192.168.10.53 rule ServerRule_31
在入接口启用 NAT 回流
interface te x/y nat harpin
注:也可以能过双向NAT解决
1:N 端口镜像
1:N 指将一个端口流星给多个监视口,此处是交换机上的设置,路由器和防火墙要使用QoS策略完成
system-view mirroring-group 1 remote-source # 创建VLAN 2,该VLAN为镜像流量传输VLAN vlan 2 quit # 为远程源镜像组配置远程镜像VLAN、源端口和反射口。 mirroring-group 1 remote-probe vlan 2 mirroring-group 1 mirroring-port ethernet 1/1 inbound mirroring-group 1 reflector-port ethernet 1/2 # 将相关端口加入远程镜像VLAN,则该端口可以接受镜像组流量 interface ethernet 1/3 port access vlan 2 interface ethernet 1/4 port access vlan 2
注意:反射口不能连接网线
控制 RADIUS 属性
场景:
主要用于解决不同厂商或者同厂商不同产品线对RADIUS授权信息理解不同而导致的奇怪问题,比如限速策略不如预期
拒绝Radius报文中指定字段
以下字段为H3C私有字段,用于针对用户进行速度限制,因为BRAS与AC在理解该字段时意义不同,因此屏蔽掉AC接收到的该部分字段,限速操作在本地完成。
radius scheme aaaa attribute translate attribute reject H3c-Input-Basic-Rate received sent attribute reject H3c-Input-Average-Rate received sent attribute reject H3c-Input-Peak-Rate received sent attribute reject H3c-Output-Basic-Rate received sent attribute reject H3c-Output-Average-Rate received sent attribute reject H3c-Output-Peak-Rate received sent
取消限制
radius scheme aaaa undo attribute reject H3c-Input-Basic-Rate undo attribute reject H3c-Input-Average-Rate undo attribute reject H3c-Input-Peak-Rate undo attribute reject H3c-Output-Basic-Rate undo attribute reject H3c-Output-Average-Rate undo attribute reject H3c-Output-Peak-Rate attribute reject H3c-Input-Basic-Rate access-accept attribute reject H3c-Input-Average-Rate access-accept attribute reject H3c-Input-Peak-Rate access-accept attribute reject H3c-Output-Basic-Rate access-accept attribute reject H3c-Output-Average-Rate access-accept attribute reject H3c-Output-Peak-Rate access-accept
域中引用 RADIUS 方案
domain isp2 authorization-attribute user-profile CAR_20M authentication lan-access radius-scheme scsd authorization lan-access radius-scheme scsd accounting lan-access radius-scheme scsd
WLAN
OPTION 43 注册: 以下参数在DHCP服务器上针对AP的地址池下发
option 43 hex 8007000001c0a800b2 80 -- 固定 07 -- 后续数据长度(字节数) 0000 -- 服务器类型,一般固定(两个字节) 01 -- 下发的地址个数,即AC的IP个数(一个字节) c0a800b2 -- IP地址的十六进制表示,其中每两个为一节,代表IP地址的一节,从左至右,如:本处为:c0(192), a8(168),00(0),b2(178),则下发的AC地址为192.168.0.178(四个字节)
部署一个家用的仅密码WIFI
创建共享密码的无线网 # AC配置 wlan service-template 10 ssid Guest6j-7 vlan 146 akm mode psk preshared-key pass-phrase cipher $c$3$1iyJU4OxCr4u+zZtFZ5Y0N/N4qbQTUhjurb4 cipher-suite ccmp security-ie wpa 网关设备配置 vlan 146 interface vlan 146 ip address a.b.c.d 25 dhcp select relay dhcp relay server-address 1.1.2.2 在AC上联口放行相关vlan 在部署的AP下开放相关ssid wlan ap wtu430-bb-*-1 radio 1 service-template 10 radio 2 service-template 10 # 配置尽量批量下发
WLAN 故障处理
无线控制器侧
查看用户信息:显示用户MAC地址,登录时间,登录的AP。如果用户不是用的802.1x,那可能就要用 dis portal 有关的命令了
dis dot1x connection user-name usrname
查看射频口信息
dis wlan client status mac-addr {mac} verbose
- 显示用户实时速度
- 显示协商速度
- 显示网络模式,如802.11a/b/g/n/ac等
- 重传包数
- 重传率
- 信号强度 RSSI
显示空口信息
AC侧调整,需要打开AP的TELNET功能
# 将存在故障区域的AP调整为可登录状态 system-view # 进入Probe模式: probe #启动AP Telnet 功能: wlan ap-execute ap-name exec-console enable #查看AP IP地址 dis wlan ap name ap-name address
登录AP端进行查看
# 登录AP: telnet ap-address # 密码默认为: h3capadmin # 进入Probe模式 dis ar5drv 射频口号(1-2) channelbusy # 其中: CtlBusy为总使用率, TxBusy为发送方向,RxBusy为接收方向:最佳情况下: CtlBusy = TxBusy + RxBusy,否则可能存在干扰情况。
4TO6转换:AFT
# H3C IPv6技术 ## IPv6主机访问IPv4服务器 interface IPv4Side #IPv4侧接口 aft enable #启动地址转换功能 interface IPv6Side #IPv6侧接口 aft enable aft v4tov6 source 1.1.1.1 2001:1fff::1 #将1.1.1.1转换为2001:1fff::1 aft v6tov4 source acl ipv6 name any Interface LOOPBACK0 #将所有需要访问IPv4服务器的终端均转换为LOOPBACK0的地址 注: a) 命令中的 Source 或者 Destination 不是数据流向,而是根据v4tov6或者v6tov4的字面意义解。v4tov6的source就是把指定v4地址转换为v6地址,v6tov4 source则是将指定的v6地址转换为v4地址。 b) v4/v6间的相互访问是双向的,因此需要双向均配置转换 c) 一般而言,发起连接的一端进行动态转换,服务器的那端进行静态转换或者前缀转换 ## 关于日志记录问题 a) IPv6 Aft 日志记录好象无效,可以使用会话记录代替 *) 注: aft log 要配置了port-block-size后才生效,即 *) aft v6tov4 source acl ipv6 name any address-group 0 port-block-size 200 b) 启用会话记录: *) 全局模式下启用会话日志: session log flow-begin *) 在具体端口下启用相应的日志记录: session log enable ipv6 inbound *) 将日志转换为syslog,userlog flow syslog c) H3C F5020, comware v710,r9320 记录会话日志到会话缓冲区时,使用了独立的缓冲区,要使用: display logbuffer module Session 查看,更老的版本可能没有独立缓冲区,保持不变。当时就是因为不知道,以为没有输出日志
热升级:ISSU
- 空间要留够,ipe软件包只需要在一个业务板里面有就可以了,可以留在空间大的那个板上。
- 将telnet/ssh 超时时间取消,防止因超时被踢出来
- 先升备用引擎板,issu load file ipe … slot ..
- 等待板位启动好,用 dis issu state, dis version(一定要等升级中的板位就绪,如果直接切换过去会导致业务中断)
- 主备切换,issu run switchover
- 接受升级,issu accept
- 升级原主板或其他板,issu commit slot …
计划任务
创建一个任务,里面有所需要执行的命令,注意命令是在全局模式下执行的,因此通常需要行执行一个 system-view 命令切换到配置模式
scheduler job switchover_waf command 0 system-view command 1 int Ten-GigabitEthernet2/0/0/45 command 2 shutdown
注:为了消除一些交互式命令对批命令执行的影响,一些设备引入了:
save force reboot force 两条命令,这样系统就不会询问用户,而直接保存配置或者重启系统,适合用在计划任务中
创建一个任务计划,包括命令执行时间,执行频率等参数
scheduler schedule switchover_waf user-role level-15 job switchover_waf time once at 21:59
SSLVPN
user-group s_vpn
authorization-attribute sslvpn-policy-group s_vpn
sslvpn ip address-pool s_vpn 192.168.10.2 192.168.10.253 #起止地址
sslvpn gateway s_vpn
ip address 1.1.1.1 port 65443 #本设备上已存在的地址,可用环回口地址
service enable
sslvpn context s_vpn
gateway s_vpn
ip-tunnel interface SSLVPN-AC1
ip-tunnel address-pool s_vpn mask 255.255.255.0
ip-tunnel dns-server primary a.b.c.d #下发的DNS地址
ip-route-list s_vpn
include 192.168.0.0 255.255.0.0 #需要下发的路由
include 10.0.0.0 255.0.0.0
policy-group s_vpn
filter ip-tunnel acl 3001
ip-tunnel access-route ip-route-list s_vpn
aaa domain sicnu
service enable
uRPF
uRPF 是对流量入站进行来源检查,检查通过的数据包才能继续转发,主要解决IP伪装攻击问题
对入站报文设置两项检查
- 在启用该技术的入口检查数据包源地址是否在转发表中存在
- 检查源地址与报文入接口是否匹配
两种方式
- 松散模式LOOSE,只检查路由表
- 严格模式STRICT,检查路由表与出接口
注:如果存在冗余路由,则应该配置为松散模式,如果在网络边界上,应该配置允许默认路由,否则站外流量无法转发。
注2:如果使用策略路由,也不能使用严格模式,严格路由只能用于内部接口且所有流量来源都明确的情况下。
防火墙设置
Security-zone name Untrust ip urpf strict allow-default-route #允许默认路由,在网络边界上应该配置该命令,否则站外流量无法转发就比较悲剧 ip urpf loose allow-default-route
路由器设置
interface Tent x/y ip urpf strict allow-default-route
端口限速
以下命令限制端口发包速率为960Mbps
interface int qos lr outbound cir 960000