itwiki:h3c-networking

差别

这里会显示出您选择的修订版和当前版本之间的差别。

到此差别页面的链接

itwiki:h3c-networking [2024/01/08 13:19] – 创建 ovwx@live.ioitwiki:h3c-networking [Unknown date] (当前版本) – 移除 - 外部编辑 (Unknown date) 127.0.0.1
行 1: 行 1:
-====== H3C 网络技术 ====== 
- 
-===== NAT 回流 ===== 
- 
-适用于 COMWARE V7 主要用于解决在出口路由器上做了 ''NAT Server'' 后外网可以通过转换后的地址访问,但内网不能访问的问题。 
- 
-在路由器出接口(指NAT SERVER 外网地址所在的端口)上启用转换,注意 NAT SERVER 指令 
-<code> 
-interface Route-Aggregation10.4001 
- description TO-CHINANET-2G-F5020 
- ip address 110.188.x.x 255.255.255.128 
- nat server global 110.188.x.x inside 192.168.10.53 rule ServerRule_31 
-</code> 
- 
-在入接口启用 NAT 回流 
-<code> 
-interface te x/y 
-  nat harpin 
-</code> 
- 
-注:也可以能过双向NAT解决 
- 
-===== 1:N 端口镜像 ===== 
- 
-1:N 指将一个端口流星给多个监视口,此处是交换机上的设置,路由器和防火墙要使用QoS策略完成 
- 
-<code> 
-system-view 
-mirroring-group 1 remote-source 
- 
-# 创建VLAN 2,该VLAN为镜像流量传输VLAN 
-vlan 2 
-quit 
- 
-# 为远程源镜像组配置远程镜像VLAN、源端口和反射口。 
- 
-mirroring-group 1 remote-probe vlan 2 
-mirroring-group 1 mirroring-port ethernet 1/1 inbound 
-mirroring-group 1 reflector-port ethernet 1/2 
- 
-# 将相关端口加入远程镜像VLAN,则该端口可以接受镜像组流量 
-interface ethernet 1/3 
-  port access vlan 2 
-interface ethernet 1/4 
-  port access vlan 2 
- 
-</code> 
- 
-注意:反射口不能连接网线 
- 
-===== 控制 RADIUS 属性 ===== 
- 
-场景: 
- 
-主要用于解决不同厂商或者同厂商不同产品线对RADIUS授权信息理解不同而导致的奇怪问题,比如限速策略不如预期 
- 
-拒绝Radius报文中指定字段 
- 
-以下字段为H3C私有字段,用于针对用户进行速度限制,因为BRAS与AC在理解该字段时意义不同,因此屏蔽掉AC接收到的该部分字段,限速操作在本地完成。 
- 
-<code> 
-radius scheme aaaa 
-  attribute translate  
-  attribute reject H3c-Input-Basic-Rate received sent 
-  attribute reject H3c-Input-Average-Rate received sent 
-  attribute reject H3c-Input-Peak-Rate received sent 
-  attribute reject H3c-Output-Basic-Rate received sent 
-  attribute reject H3c-Output-Average-Rate received sent 
-  attribute reject H3c-Output-Peak-Rate received sent 
-</code> 
- 
-取消限制 
- 
-<code> 
-radius scheme aaaa 
-  undo attribute reject H3c-Input-Basic-Rate 
-  undo attribute reject H3c-Input-Average-Rate 
-  undo attribute reject H3c-Input-Peak-Rate 
-  undo attribute reject H3c-Output-Basic-Rate 
-  undo attribute reject H3c-Output-Average-Rate 
-  undo attribute reject H3c-Output-Peak-Rate 
-  attribute reject H3c-Input-Basic-Rate access-accept 
-  attribute reject H3c-Input-Average-Rate access-accept 
-  attribute reject H3c-Input-Peak-Rate access-accept 
-  attribute reject H3c-Output-Basic-Rate access-accept 
-  attribute reject H3c-Output-Average-Rate access-accept 
-  attribute reject H3c-Output-Peak-Rate access-accept 
-</code> 
- 
-域中引用 RADIUS 方案 
- 
-<code> 
-domain isp2 
- authorization-attribute user-profile CAR_20M 
- authentication lan-access radius-scheme scsd 
- authorization lan-access radius-scheme scsd 
- accounting lan-access radius-scheme scsd 
-</code> 
- 
-===== WLAN ===== 
- 
-OPTION 43 注册: 以下参数在DHCP服务器上针对AP的地址池下发 
- 
-<code> 
-option 43 hex 8007000001c0a800b2 
-80 -- 固定 
-07 -- 后续数据长度(字节数) 
-0000 -- 服务器类型,一般固定(两个字节) 
-01 -- 下发的地址个数,即AC的IP个数(一个字节) 
-c0a800b2 -- IP地址的十六进制表示,其中每两个为一节,代表IP地址的一节,从左至右,如:本处为:c0(192), a8(168),00(0),b2(178),则下发的AC地址为192.168.0.178(四个字节) 
-</code> 
- 
-部署一个家用的仅密码WIFI 
-<code> 
-创建共享密码的无线网 
- 
-# AC配置 
-wlan service-template 10 
- ssid Guest6j-7 
- vlan 146 
- akm mode psk 
- preshared-key pass-phrase cipher $c$3$1iyJU4OxCr4u+zZtFZ5Y0N/N4qbQTUhjurb4 
- cipher-suite ccmp 
- security-ie wpa 
- 
-网关设备配置 
- 
-vlan 146 
-interface vlan 146 
- ip address a.b.c.d 25 
- dhcp select relay 
- dhcp relay server-address 1.1.2.2 
- 
-在AC上联口放行相关vlan 
- 
-在部署的AP下开放相关ssid 
- 
-wlan ap wtu430-bb-*-1 
- radio 1 
-  service-template 10 
- radio 2 
-  service-template 10 
- 
-# 配置尽量批量下发 
-</code> 
- 
-===== WLAN 故障处理 ===== 
- 
-无线控制器侧 
- 
-查看用户信息:显示用户MAC地址,登录时间,登录的AP。如果用户不是用的802.1x,那可能就要用 dis portal 有关的命令了 
- 
-<code> dis dot1x connection user-name usrname </code> 
- 
-查看射频口信息 
- 
-<code> dis wlan client status mac-addr {mac} verbose </code> 
- 
-  * 显示用户实时速度 
-  * 显示协商速度 
-  * 显示网络模式,如802.11a/b/g/n/ac等 
-  * 重传包数 
-  * 重传率 
-  * 信号强度 RSSI 
- 
-显示空口信息 
- 
-AC侧调整,需要打开AP的TELNET功能 
- 
-<code> 
-# 将存在故障区域的AP调整为可登录状态 
-system-view 
-# 进入Probe模式:  
-probe 
-#启动AP Telnet 功能: 
-wlan ap-execute ap-name exec-console enable 
-#查看AP IP地址 
-dis wlan ap name ap-name address 
-</code> 
- 
-登录AP端进行查看 
- 
-<code> 
-# 登录AP:  
-telnet ap-address 
-# 密码默认为: h3capadmin 
-# 进入Probe模式 
-dis ar5drv 射频口号(1-2) channelbusy 
-# 其中: CtlBusy为总使用率, TxBusy为发送方向,RxBusy为接收方向:最佳情况下: CtlBusy = TxBusy + RxBusy,否则可能存在干扰情况。 
-</code> 
- 
-===== 4TO6转换:AFT ===== 
- 
-<code> 
-# H3C IPv6技术 
- 
-## IPv6主机访问IPv4服务器 
- 
-interface IPv4Side #IPv4侧接口 
- aft enable #启动地址转换功能 
- 
-interface IPv6Side #IPv6侧接口 
- aft enable 
- 
-aft v4tov6 source 1.1.1.1 2001:1fff::1 #将1.1.1.1转换为2001:1fff::1 
-aft v6tov4 source acl ipv6 name any Interface LOOPBACK0 #将所有需要访问IPv4服务器的终端均转换为LOOPBACK0的地址 
- 
-注: 
-a) 命令中的 Source 或者 Destination 不是数据流向,而是根据v4tov6或者v6tov4的字面意义解。v4tov6的source就是把指定v4地址转换为v6地址,v6tov4 source则是将指定的v6地址转换为v4地址。 
-b) v4/v6间的相互访问是双向的,因此需要双向均配置转换 
-c) 一般而言,发起连接的一端进行动态转换,服务器的那端进行静态转换或者前缀转换 
- 
-## 关于日志记录问题 
-a) IPv6 Aft 日志记录好象无效,可以使用会话记录代替 
-*) 注: aft log 要配置了port-block-size后才生效,即 
-*) aft v6tov4 source acl ipv6 name any address-group 0 port-block-size 200 
-b) 启用会话记录:  
-*) 全局模式下启用会话日志: session log flow-begin 
-*) 在具体端口下启用相应的日志记录: session log enable ipv6 inbound 
-*) 将日志转换为syslog,userlog flow syslog 
-c) H3C F5020, comware v710,r9320 记录会话日志到会话缓冲区时,使用了独立的缓冲区,要使用: display logbuffer module Session 查看,更老的版本可能没有独立缓冲区,保持不变。当时就是因为不知道,以为没有输出日志 
-</code> 
- 
-===== 热升级:ISSU ===== 
- 
-  * 空间要留够,ipe软件包只需要在一个业务板里面有就可以了,可以留在空间大的那个板上。 
-  * 将telnet/ssh 超时时间取消,防止因超时被踢出来 
-  * 先升备用引擎板,issu load file ipe ... slot .. 
-  * 等待板位启动好,用 dis issu state, dis version(一定要等升级中的板位就绪,如果直接切换过去会导致业务中断) 
-  * 主备切换,issu run switchover 
-  * 接受升级,issu accept 
-  * 升级原主板或其他板,issu commit slot ... 
- 
-===== 计划任务 ===== 
- 
-创建一个任务,里面有所需要执行的命令,注意命令是在全局模式下执行的,因此通常需要行执行一个 system-view 命令切换到配置模式 
- 
-<code> 
-scheduler job switchover_waf 
- command 0 system-view 
- command 1 int Ten-GigabitEthernet2/0/0/45 
- command 2 shutdown 
-</code> 
- 
-注:为了消除一些交互式命令对批命令执行的影响,一些设备引入了: 
-<code> 
-save force 
-reboot force 
-两条命令,这样系统就不会询问用户,而直接保存配置或者重启系统,适合用在计划任务中 
-</code> 
- 
- 
-创建一个任务计划,包括命令执行时间,执行频率等参数 
- 
-<code> 
-scheduler schedule switchover_waf 
- user-role level-15 
- job switchover_waf 
- time once at 21:59 
-</code> 
- 
-===== SSLVPN ===== 
- 
-<code> 
-user-group s_vpn 
-  authorization-attribute sslvpn-policy-group s_vpn 
-sslvpn ip address-pool s_vpn 192.168.10.2 192.168.10.253 #起止地址 
-sslvpn gateway s_vpn 
-  ip address 1.1.1.1 port 65443 #本设备上已存在的地址,可用环回口地址 
-  service enable 
-sslvpn context s_vpn 
-  gateway s_vpn 
-  ip-tunnel interface SSLVPN-AC1 
-  ip-tunnel address-pool s_vpn mask 255.255.255.0 
-  ip-tunnel dns-server primary  a.b.c.d #下发的DNS地址 
-  ip-route-list s_vpn 
-  include 192.168.0.0 255.255.0.0 #需要下发的路由 
-  include 10.0.0.0 255.0.0.0 
-  policy-group s_vpn 
-    filter ip-tunnel acl 3001 
-  ip-tunnel access-route ip-route-list s_vpn 
-  aaa domain sicnu 
-  service enable 
-</code> 
- 
-===== uRPF ===== 
- 
-uRPF 是对流量入站进行来源检查,检查通过的数据包才能继续转发,主要解决**IP伪装攻击**问题 
- 
-对入站报文设置两项检查 
- 
-  * 在启用该技术的入口检查数据包源地址是否在转发表中存在 
-  * 检查源地址与报文入接口是否匹配 
- 
-两种方式 
- 
-  * 松散模式LOOSE,只检查路由表 
-  * 严格模式STRICT,检查路由表与出接口 
- 
-注:如果存在冗余路由,则应该配置为松散模式,如果在网络边界上,应该配置允许默认路由,否则站外流量无法转发。 
- 
-注2:如果使用策略路由,也不能使用严格模式,严格路由只能用于内部接口且所有流量来源都明确的情况下。 
- 
-防火墙设置 
- 
-<code> 
-Security-zone name Untrust 
-  ip urpf strict allow-default-route #允许默认路由,在网络边界上应该配置该命令,否则站外流量无法转发就比较悲剧 
-  ip urpf loose allow-default-route 
-</code> 
- 
-路由器设置 
- 
-<code> 
- interface Tent x/y 
-  ip urpf strict allow-default-route 
-</code> 
- 
-===== 端口限速 ===== 
- 
-以下命令限制端口发包速率为960Mbps 
- 
-<code> 
-interface int 
-  qos lr outbound cir 960000  
-</code> 
- 
  
  • itwiki/h3c-networking.1704716385.txt.gz
  • 最后更改: 2024/01/08 13:19
  • ovwx@live.io