跳转到主要内容

数据通信

FAQ-S5700交换机MAC本地认证的配置方法

故障描述

  版本信息:V100R005C01SPC100
  Q:S5700如何配置MAC本地认证?

故障分析

  无

处理过程

A:基于MAC本地认证的配置方法如下:
[Quidway]mac-authen
[Quidway]mac-authen username macaddress format with-hyphen
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user f0de-f163-76d5 password simple f0de-f163-76d5
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]mac-authen

当mac认证不通过时,交换机上上不学习PC的mac,查看认证状态时有如下显示:

[Quidway]dis mac-authen int Ethernet 0/0/4

Ethernet0/0/4 state: UP. MAC address authentication is enabled
Maximum users: 256
Current users: 0
Authentication Success: 6, Failure: 18
Guest VLAN is disabled

Silent MAC info:
f0de-f163-76d5
1 silent mac address(es) found, 1 printed.

当MAC认证通过时,交换机上学习到PC的MAC,查看认证状态时有如下显示:

[Quidway]dis mac-authen int Ethernet 0/0/4

Ethernet0/0/4 state: UP. MAC address authentication is enabled
Maximum users: 256
Current users: 1
Authentication Success: 5, Failure: 17
Guest VLAN is disabled

Online user(s) info:
UserId MAC/VLAN AccessTime UserName
------------------------------------------------------------------------------
37 f0de-f163-76d5/1 2008/01/01 00:37:08 f0de-f163-76d5
------------------------------------------------------------------------------

建议/总结

  1、如果mac认证是基于用户名和密码的,配置方法如下:
[Quidway]mac-authen
[Quidway]mac-authen username fixed cc pass cc
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user cc password simple cc
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]mac-authen
2、端口上支持的MAC认证的用户数默认是256,整机最大1024

AR G3配置NAT使内网用户通过外网IP访问内网服务器

故障描述

  无

故障分析

  无

处理过程

#
acl number 3000 //用于内部主机直接使用211.1.1.6访问服务器,只有内网发起的服务才会在GE1/0/0上进行NAT
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 211.1.1.6 0
#
interface GigabitEthernet1/0/0
ip address 192.168.1.1 255.255.255.0
nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //内网用户直接使用211.1.1.6访问服务器时进行NAT
nat outbound 3000 //内网用户直接访问211.1.1.6时做Easy IP,将源地址改为GE1/0/0的地址,保证内网服务器和主机间的交互都经过Router转发
#
interface GigabitEthernet1/0/1
ip address 202.1.1.1 255.0.0.0
nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //保证外网用户使用211.1.1.6可以访问服务器
return

建议/总结

配置ACL,确定对哪些网段进行NAT转换。
配置Easy-IP对指定网段的报文进行转换,注意转换方向。
如果用户只被分配到一个公网IP(211.1.1.6),并且只需要通过NAT转换某些协议报文,可做如下处理:
在Router上配置Loopback口作为网关出口,配置Loopback口IP地址为211.1.1.6/8。
在系统视图下执行命令nat static protocol { tcp | udp } global interface loopback interface-number global-port inside host-address [ netmask mask ]配置全局NAT进行转换。

华为AR G3如何针对Ip地址限速

故障描述

  无

故障分析

  无

处理过程

  在接口上做QOS CAR,如下举例(WAN接口):
  qos car outbound source-ip-address range 192.168.1.2 to 192.168.1.254 per-address cir 32 cbs 6016 pbs 10016 green pass yellow pass red discard
//配置在接口出方向对源地址为192.168.1.2到192.168.1.254范围内的报文做流量监管,指定各IP地址发送报文的承诺信息速率为32kbit/s 即上传
  qos car outbound destination-ip-address range 192.168.2.2 to 192.168.2.254 per-address cir 16 cbs 3008 pbs 5008 green pass yellow pass red discard 即下载
//配置在接口出方向对源地址为192.168.2.2到192.168.2.254范围内的报文做流量监管,指定各IP地址发送报文承诺信息速率为16kbit/s
  若在qos car命令中不配置per-address参数,则对源IP在指定范围内的所有报文聚合起来做CAR,即对该地址段发送报文的总流量做流量监管。

建议/总结

  上述功能自V200R002C01版本起支持。

关于华为/H3C部分设备存在HTTP管理漏洞的规避方法

故障描述

  AR 路由器:AR 18/28/46、AR 19/29/49(H3C型号为MSR20/30/50) 为中小企业的多业务路由器。AR 18/28/46支持BIMS管理。AR18-2X、AR18-3X和AR18-3XE同时还支持Web管理。AR 19/29/49(H3C型号为MSR20/30/50)仅支持Web管理。.
受影响版本:

  • AR 19/29/49 R2207 earlier versions(H3C型号为MSR20/30/50)
  • AR 28/46 R0311 and earlier versions
  • AR 18-3x R0118 and earlier versions
  • AR 18-2x R1712 and earlier versions
  • AR18-1x R0130 and earlier versions

  Huawei 交换机:S2000系列、S3000系列、S3500系列、S3900系列(H3C为S3600)、S5100系列和S5600系列交换机支持WEB网管,开启了HTTP服务。S7800系列交换机R6305及以后的版本支持WEB网管,开启了HTTP服务。S8500(H3C为S9500)系列交换机不支持WEB网管,但在R1631P001和R1632(注1)版本中默认打开了HTTP服务。
受影响版本:

  • S2000系列、S3000系列、S3500系列、S3900系列(H3C S3600)、S5100系列和S5600系列交换机所有版本
  • S7800系列交换机R6305和以后的版本
  • S8500系列交换机R1631P001版本(H3C S9500)
  • S8500系列交换机R1632版本(H3C 9500)
故障分析

  攻击者利用此漏洞,可能使设备执行攻击者注入的任意命令。

处理过程

场景一:用户使用设备时不使用WEB网页进行配置管理,且不使用BIMS(Branch Intelligent Management System)功能进行远程配置。
规避方案:关闭HTTP端口 和BIMS服务,具体配置如下:
AR 18/28/46:
[Quidway] ip http shutdown
[Quidway] undo bims enable
AR 19/29/49:
[Quidway] undo ip http enable
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交换机:
[Quidway] ip http shutdown (注3)
S7800系列交换机:
[Quidway] undo ip http enable

场景二:用户使用WEB网页对设备进行配置管理或使用BIMS功能进行远程配置。
规避方案:通过ACL控制HTTP建立的源IP地址,具体配置如下:
AR 18/28/46:
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
AR 19/29/49:
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交换机:
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001 (注3)
S7800系列交换机:
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
场景三:设备不支持WEB网页进行配置管理,但HTTP服务端口是打开的。
规避方案:关闭HTTP服务端口,具体配置如下:
S8500系列交换机:
[Quidway] ip http shutdown

建议/总结

  版本建议如下:
AR 18/28/46 通过规避方案解决,暂不发布版本或补丁修复此漏洞;
AR 19/29/49 通过规避方案解决,或者升级为AR 19/29/49 R2207或之后版本;
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列、S5600系列和S7800系列交换机: 通过规避方案解决,暂不发布版本或补丁修复此漏洞;
S8500系列交换机: 通过规避方案解决,或是升级到R1640及以后的版本。

附件
就Recurity_Lab_披露华为AR_18_28安全漏洞说明函

FAQ-802.11N加密方式导致速度慢

故障描述

  客户采用802.11N无线AP,但连接上后无线速度最高为54M?

故障分析

  支持802.11n的AP设置的加密方式为WEP或者TKIP,则终端关联的速率可能只有54Mbps(802.11b/g的速率),因为802.11n里没有定义WEP和TKIP加密方式,因此TKIP加密方式下,终端是以802.11g模式关联的。终端网卡的支持能力,有些网卡只支持802.11b/g模式,则关联802.11n AP时,关联速率最高只有54Mbps,或者说支持802.11n AP配置的射频类型为802.11b/g,则AP只支持802.11b/g类型的射频。
  

处理过程

  更改加密套件为CCMP,客户端设置安全类型为WPA2,加密类型为AES

建议/总结

  无

802.11a/b/g/n标准的对比情况?

故障描述

  无

故障分析

  无

处理过程

802.11a/b/g/n在频段、兼容性、理论速率、实测速率、单AP用户量方面的对比情况如下表:

协议 使用频段 兼容性 理论速率 实测速率 1M限速最大用户 建议最大用户
802.11a 5GHz NA 54Mbps 22Mbps左右 15 10
802.11b 2.4GHz NA 11Mbps 5Mbps左右 -- --
802.11g 2.4GHz 兼容802.11b 54Mbps 22Mbps左右 15 10
802.11n 2.4GHz、5GHz 兼容802.11a/b/g 300Mbps(二空间流) 80–220Mbps左右 见下表 见下表
环境 理论用户 企业建议最大用户
11n 1×1 MIMO HT20模式单流(65Mbps),每用户限速512k 23 15
11n 2×2 MIMO HT20模式双流(130Mbps),每用户限速1M 25 15
11n 1×1 MIMO HT40模式单流(150Mbps),每用户限速1M 28 15
11n 2×2 MIMO HT40模式双流(300Mbps),每用户限速1M 45 25
建议/总结

  无

EPON与GPON对比

故障描述

  无

故障分析

  无

处理过程
表2 PON技术比较
项目 EPON GPON
下行速率 1250Mbit/s 1244Mbit/s或2488Mbit/s
上行速率 1250Mbit/s 155Mbit/s、622Mbit/s、1244Mbit/s或2488Mbit/s
分路比 取决与光功率预算 取决与光功率预算
最大传输距离 10km或20km 20km
数据链路层协议 以太网 GEM或ATM
封装效率 最高
技术标准化程度 完备 一般
芯片、器件成熟程度 一般
理论成本
实际成本
建议/总结

  无

FAQ-无线AP如何选择?

故障描述

  无

故障分析

  无

处理过程

  1、速率。目前来看,我们建议所有新建网用户采用802.11A/B/N,支持300M
  2、胖AP Or 瘦AP:AP数量大型12台建议采用瘦AP,瘦AP支持漫游业务不中断。
  3、功率大小:用户密度大,功率小,用户密度小,功率选大,一个AP支持的用户数大概为15-20个。
  4、放装型还是分布型:楼道、普通用户密度小用分布型,会议室用户密码大用放装型。

建议/总结

  无

FAQ-华为交换机无时钟芯片的解决办法

故障描述

  华为低端交换机是没有硬件时钟芯片的,设备重启后时间将被重置。如何解决。

故障分析

  无

处理过程

  使用NTP时间同步的方式处理。网络中一般路由器、防火墙设备都有硬件时钟芯片。我们可以通过NTP时钟同步的方式将所有网络设备的时钟进行同步。
  例:
  防火墙配置(10.10.1.254): ntp-service refclock-master 2
  交换机配置: ntp-service unicast-server 10.10.1.254

建议/总结

  我们建议不管交换机是否有时钟芯片,都采用NTP方式来同步时钟,有助于设备故障排除及管理。

FAQ-华为交换机如何记入命令日志

故障描述

  无

故障分析

  无

处理过程

  1、由于华为交换机(Sx300/Sx700)默认是不将操作命令记入日志,如果需要将操作的命令写入日志,需要配置相关的命令。
  2、在设备需要配置如下的命令:
info-center source SHELL channel logbuffer log level debugging state on,这样在设备上通过display logbuffer就可以看见登陆设备之后操作的命令了。

例如:
[SW-L-S2752-02]info-center source SHELL channel logbuffer log level debugging state on
[SW-L-S2752-02]dis logb
Logging buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 512
Channel number : 4 , Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 0
Current messages : 295

Feb 15 2012 04:50:32-05:13 SW-L-S2752-02 %%01SHELL/5/CMDRECORD(l)[0]:Record command information. (Task=VT0 , Ip=10.10.1.254, User=huawei, Command="info-center source SHELL channel logbuffer log level debugging state on")

建议/总结

  无

订阅 数据通信