數(shù)據通(tōng)信

FAQ-S5700交換機(jī)MAC本地(dì)認證的(de)配置方法

故障描述

　　版本信息：V100R005C01SPC≈ ☆$100
　　Q：S5700如(rú)何配置MAC本地(dì)認證？

故障分(fēn)析

　　無

處理(lǐ)過程

A：基于MAC本地(dì)認證的(de)配置方法如(₹✔rú)下(xià):
[Quidway]mac-authen
[Quidway]mac-authen u÷←λsername macaddress format with-hy€γphen
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user f0de-f163-↔¶✘76d5 password simple ™×δf0de-f163-76d5
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]mac-authen

當mac認證不(bù)通(tōng)過時(shí)€✘←↕，交換機(jī)上(shàng)上(shàng)不(bù)學習(xí)P ♦↑C的(de)mac，查看(kàn)認證狀态時(shí)有(yǒu)如(rú)'Ω©下(xià)顯示：

[Quidway]dis mac-authen int Ethλ♥αernet 0/0/4

Ethernet0/0/4 state: UP. MAC ad≠•dress authentication is enabl¥ed
Maximum users: 256
Current users: 0
Authentication Success: 6, Faiπ±§lure: 18
Guest VLAN is disabled

Silent MAC info:
f0de-f163-76d5
1 silent mac address₽&(es) found, 1 printed.

當MAC認證通(tōng)過時(shí)•<→δ，交換機(jī)上(shàng)學習(xí)到(dào)PCαβ™的(de)MAC，查看(kàn)認證狀态時(shí)有(yǒ±♥↓u)如(rú)下(xià)顯示：

[Quidway]dis mac-authen int Ethernet ≥✔‌0/0/4

Ethernet0/0/4 state: UP. MAα& C address authentication is enabled
Maximum users: 256
Current users: 1
Authentication Succes♠'s: 5, Failure: 17
Guest VLAN is disabled

Online user(s) info:
UserId MAC/VLAN ♦∑ AccessTime <γγ≥ UserName
----------------------------------¥λ-----------------------------γ↕δ→---------------
37 f0de-f163-76d5/1 2008/≤©ε01/01 00:37:08 f0₩¥∑de-f163-76d5
--------------------------≤≥‌-----------------------₩↔♥-----------------------------§≥←‍

建議(yì)/總結

　　1、如(rú)果mac認證是(shì)基于用(β₽<yòng)戶名和(hé)密碼的(de)，配置方法如(rú)下↓>&(xià)：
[Quidway]mac-authen
[Quidway]mac-authen username ♥ fixed cc pass cc
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user cc password si∞ £mple cc
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]ma₹∑¶λc-authen
2、端口上(shàng)支持的(de)MACφ'認證的(de)用(yòng)戶數(shù)默認是(s¶✘•hì)256，整機(jī)最大(dà)1024

AR G3配置NAT使內(nèi)網用(yòng)戶通(tōng)過ε✘π≈外(wài)網IP訪問(wèn)內(nè∑'i)網服務器(qì)

故障描述

　　無

故障分(fēn)析

　　無

處理(lǐ)過程

#
acl number 3000 //用(yò•₩ng)于內(nèi)部主機(jī)直接使用(yòng)211.1.1.6訪問>®(wèn)服務器(qì)，隻有(yǒu)內(nèi)網♠↕$♦發起的(de)服務才會(huì)在GE1/0/0上(shàng)進行(xíngγ±λ)NAT
rule 5 permit ip source 1€<92.168.1.0 0.0.0.255 dest'☆∏ination 211.1.1.6 0
#
interface GigabitEtherne×©∑t1/0/0
ip address 192.168.1.1 255.2✔γε±55.255.0
nat static global 211.©♦1.1.6 inside 192.168.1.€₩★☆2 netmask 255.255.255.255 //內(nèi)網用(y§§∞"òng)戶直接使用(yòng)211.1.1→★α.6訪問(wèn)服務器(qì)時(shí)進行✘₽δ$(xíng)NAT
nat outbound 3000 //內(nèi)網用(yòng)戶直接≈ε訪問(wèn)211.1.1.6時(shí)做(zuò)Ea✘™♦☆sy IP，将源地(dì)址改為(wèi)GE1/0/×σ0的(de)地(dì)址,保證內(nèi)網服務器(qì)和(®ε∏hé)主機(jī)間(jiān)的(de)交互都(σ←dōu)經過Router轉發
#
interface GigabitEthernet1/0/1
ip address 202.1.1.1 255.0.₩ 0.0
nat static global 211.1.1.6 ↕≠δinside 192.168.1.2 netmask 2‌ 55.255.255.255 //保證外(wài" ™)網用(yòng)戶使用(yòng)211.1.1.6可(kě✘→¥)以訪問(wèn)服務器(qì)
return

建議(yì)/總結

配置ACL，确定對(duì)哪些(xiē®≥)網段進行(xíng)NAT轉換。
配置Easy-IP對(duì)指定網段的(de)報(bào)文βγλ(wén)進行(xíng)轉換，注意轉換方向。
如(rú)果用(yòng)戶隻被分(fēn)配到(dào)一(yī)個(gè)δ¥φ公網IP（211.1.1.6），并且隻需要≠¥<σ(yào)通(tōng)過NAT轉換某些(xiē)協議(yì)報(b® ×ào)文(wén)，可(kě)做(zuò)如(rú)下(xi>₽♣à)處理(lǐ)：
在Router上(shàng)配置Loopback口作₹ (zuò)為(wèi)網關出口,配置Loopbαβack口IP地(dì)址為(wèi)211.1.1.6/8。‍✔•♠
在系統視(shì)圖下(xià)執行(xíng)命令nat statλ✘ic protocol { tcp | udp&∑£® } global interface loo§&¶↕pback interface-number glob↕‌÷al-port inside host-address [ netmask m★→εask ]配置全局NAT進行(xíng)轉換。

華為(wèi)AR G3如(rú)何針對(duì)Ip<®<∞地(dì)址限速

故障描述

　　無

故障分(fēn)析

　　無

處理(lǐ)過程

　　在接口上(shàng)做(zuò)QOS CAR，如( ∑•rú)下(xià)舉例（WAN接口）：
　　qos car outbound source ≤±-ip-address range 192.168.1.2 to 192. ±₩168.1.254 per-addres☆Ω∏s cir 32 cbs 6016 pbs 10γ♣≈✔016 green pass yellow★® pass red discard
//配置在接口出方向對(duì)源地(dì)址為(wèi)19±↓2.168.1.2到(dào)192.168.1.254範圍∏₽ 內(nèi)的(de)報(bào)文(wén)做(zuφ‌ò)流量監管，指定各IP地(dì)址發送報(λ™¶bào)文(wén)的(de)承諾信息速率為(wèi)32kbit'>✘ /s　即上(shàng)傳
　　qos car outbound destination-i≠ •‌p-address range 192.168.2.2 $≈to 192.168.2.254 per-address cir 16 ✘←σ≤cbs 3008 pbs 5008 green pass yel&©low pass red discard 即下(xià)載
//配置在接口出方向對(duì)源地(dì)址為(wèi)192.168.2.☆>2到(dào)192.168.2.254範圍內(>≥nèi)的(de)報(bào)文(wén)做(♣♦zuò)流量監管，指定各IP地(dì)址發送報(bào)文(wén)承諾☆< ♠信息速率為(wèi)16kbit/s
　　若在qos car命令中不(bù)配置per-address參數(shù)>♦£‍，則對(duì)源IP在指定範圍內(nèi∑₽)的(de)所有(yǒu)報(bào)文(wén)聚合起來(lái)←'做(zuò)CAR，即對(duì)該地(dì)址段發送報(bào)文(₩‌§'wén)的(de)總流量做(zuò)流量監管。

建議(yì)/總結

　　上(shàng)述功能(néng)自(zì)V200R002C01↑σ★版本起支持。

關于華為(wèi)/H3C部分(fēn)設備存在HTTP管理(lǐ)漏洞的(d©∑ε™e)規避方法

故障描述

　　AR 路(lù)由器(qì)：AR 1♠¥☆8/28/46、AR 19/29/49（≥γH3C型号為(wèi)MSR20/30/5§γ"α0）為(wèi)中小(xiǎo)企業(yè)的(de£‍ )多(duō)業(yè)務路(lù)由器(qì)。AR 18/28/46支持Bγ•☆→IMS管理(lǐ)。AR18-2X、AR18-3X和(hé)AR18-‌β₹♠3XE同時(shí)還(hái)支持Web管理(lǐ↓✔↕÷)。AR 19/29/49（H3C型号為(wèi)MSR20/30/50）僅支ε"Ω✘持Web管理(lǐ)。.
受影(yǐng)響版本：

AR 19/29/49 R2207 earlier versio γ<₩ns（H3C型号為(wèi)MSR20/30/50）
AR 28/46 R0311 and earlier versi‌γδons
AR 18-3x R0118 and earl€ ier versions
AR 18-2x R1712 and earlier versiσ♣₽φons
AR18-1x R0130 and e≈÷♠arlier versions

　　Huawei 交換機(jī)：S2000系列、S3000系列、S3₽★Ω→500系列、S3900系列(H3C為(wèi)S3600)、S♥©←‌5100系列和(hé)S5600系列交換機(jī)支♠>持WEB網管，開(kāi)啓了(le)HTTP服務。S7800系列×σΩ交換機(jī)R6305及以後的(de)版本支↕δ持WEB網管，開(kāi)啓了(le)HTTP服務。S850'♠&0（H3C為(wèi)S9500）系列交換機(jī)∞¥不(bù)支持WEB網管，但(dàn)在R1631P001和(hé)R163&₹£α2(注1)版本中默認打開(kāi)了(le)HTTP服務。
受影(yǐng)響版本：

S2000系列、S3000系列、S3500系列、S3900系列（ ↔"αH3C S3600）、S5100系列和(hé)S5600系列交換機(α♠jī)所有(yǒu)版本
S7800系列交換機(jī)R6305和↑γ(hé)以後的(de)版本
S8500系列交換機(jī)R1631P0 ≈ε01版本（H3C S9500）
S8500系列交換機(jī)R1632版本（H3C 9500）

故障分(fēn)析

　　攻擊者利用(yòng)此漏洞，可(kě)能(néng)使設備執行 ¶(xíng)攻擊者注入的(de)任意命令 γ。

處理(lǐ)過程

場(chǎng)景一(yī)：用(yòng)戶使用(yòn÷©÷g)設備時(shí)不(bù)使用(yòng)WEB網頁進行(xí★‌₩ng)配置管理(lǐ)，且不(bù)使用(yòn <g)BIMS（Branch Intelligent<≠ Management System）功能(nγ©✔éng)進行(xíng)遠(yuǎn)程配置。
規避方案：關閉HTTP端口和(hé)BI∑&₩MS服務，具體(tǐ)配置如(rú)下(xià)：
AR 18/28/46：
[Quidway] ip http shutdown
[Quidway] undo bims enable
AR 19/29/49：
[Quidway] undo ip http ena"✔ble
S2000系列、S3000系列、S3500系列↔¥®‌、S3900系列、S5100系列和(hé)S5600系列交換機(jī)§γ'•：
[Quidway] ip http shutdown (注3)
S7800系列交換機(jī)：
[Quidway] undo ip http enable

場(chǎng)景二：用(yòng)戶使用(yòng¶₽ )WEB網頁對(duì)設備進行(xíng)配置管理(lǐ)或使用(y★↓♣≈òng)BIMS功能(néng)進行(xíng)遠(yuǎn)程配α>置。
規避方案：通(tōng)過ACL控制(zhì&↓'γ)HTTP建立的(de)源IP地(dì)址，具體(tǐ)配置如(rú)‌≤±下(xià)：
AR 18/28/46：
[Quidway] acl number 2001
[Quidway-acl-basic-2≤±♦↓001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule ₹♥ε5 deny
[Quidway]ip http acl 20"Ω±↕01
AR 19/29/49：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit ↓←σsource 1.1.1.1 0
[Quidway-acl-basic-200¥→∏©1]rule 5 deny
[Quidway]ip http acl 2001
S2000系列、S3000系列、S3500系列β₹‍↕、S3900系列、S5100系列和(hé)S5600系列交換機↕$<(jī)：
[Quidway] acl number 2001
[Quidway-acl-basic-2001]&∑₽ rule 0 permit source 1.1.1.1 ♥§ε₩0
[Quidway-acl-basic-2001]rul↓>¥e 5 deny
[Quidway]ip http acl 2001 (注3)
S7800系列交換機(jī)：
[Quidway] acl number 2001•α$→
[Quidway-acl-basic-2001] r¥↕¥∑ule 0 permit source 1.1.✘<¥>1.1 0
[Quidway-acl-basic-2001]rule 5 ∑<deny
[Quidway]ip http acl 2001
場(chǎng)景三：設備不(bù)支持WEB網頁進行(xín¥☆∏€g)配置管理(lǐ)，但(dàn)HTTP服₩∏¥務端口是(shì)打開(kāi)的(de)。
規避方案：關閉HTTP服務端口，具體(tǐ)配置如λ (rú)下(xià)：
S8500系列交換機(jī)：
[Quidway] ip http shutdown

建議(yì)/總結

　　版本建議(yì)如(rú)下(xià)：
AR 18/28/46 通(tōng)過規避方案解決，暫不(bù×→↕)發布版本或補丁修複此漏洞；
AR 19/29/49 通(tōng)過♠↕規避方案解決，或者升級為(wèi)AR 19/29/49 R2207或之後₹δ版本；
S2000系列、S3000系列、S350ε£ §0系列、S3900系列、S5100系列、S5600系列和(hé)S780∞∞0系列交換機(jī)：通(tōng)過規£££♠避方案解決，暫不(bù)發布版本或補丁修複此漏洞；
S8500系列交換機(jī)：通(tōng)過規避方案解♠✘決，或是(shì)升級到(dào)R1640及以後的<®₹×(de)版本。

附件(jiàn)

就(jiù)Recurity_Lab_披露華為(≈© "wèi)AR_18_28安全漏洞說(shuō)明(míng)函

FAQ-802.11N加密方式導緻速度慢(màn)

故障描述

　　客戶采用(yòng)802.11N無線AP，但(dàn)連接上δ‌π(shàng)後無線速度最高(gāo)為(wèi)54M？

故障分(fēn)析

　　支持802.11n的(de)AP設置的(de)加密方∞✔式為(wèi)WEP或者TKIP，則終端關聯的(deδ₹)速率可(kě)能(néng)隻有(yǒu)54¥™Mbps（802.11b/g的(de)速率），因為•$(wèi)802.11n裡(lǐ)沒有(yσ¶ǒu)定義WEP和(hé)TKIP加密方式，因此TKIP加密方式下 ≈÷(xià)，終端是(shì)以802.11g模式關聯的(de)。終端¶ ₩>網卡的(de)支持能(néng)力，有(yǒu)些(xiē)網卡隻"≈♦支持802.11b/g模式，則關聯802.11n AP時(shí)，關☆₩聯速率最高(gāo)隻有(yǒu)54Mbps，或者說β≈ £(shuō)支持802.11n AP配置的(de)射頻(p↔φín)類型為(wèi)802.11b/g，則AP隻支持802.↔δ11b/g類型的(de)射頻(pín)。
　　

處理(lǐ)過程

　　更改加密套件(jiàn)為(wèi)CCMP，客戶端設置安全→>≈>類型為(wèi)WPA2，加密類型為(wèi)AES

建議(yì)/總結

　　無

802.11a/b/g/n标準的(de)對(©↕§★duì)比情況？

故障描述

　　無

故障分(fēn)析

　　無

處理(lǐ)過程

802.11a/b/g/n在頻(pín)段→≠、兼容性、理(lǐ)論速率、實測速率、單AP用(yòn&&✘☆g)戶量方面的(de)對(duì)比情況如(r☆≈✔ú)下(xià)表：

協議(yì)	使用(yòng)頻(pín)段	兼容性	理(lǐ)論速率	實測速率	1M限速最大(dà)用(yòng)戶	建議(yì)最大(dà)用(yòng)戶
802.11a	5GHz	NA	54Mbps	22Mbps左右	15	10
802.11b	2.4GHz	NA	11Mbps	5Mbps左右	--	--
802.11g	2.4GHz	兼容802.11b	54Mbps	22Mbps左右	15	10
802.11n	2.4GHz、5GHz	兼容802.11a/b/g	300Mbps（二空(kōng)間(jiān)流）	80–220Mbps左右	見(jiàn)下(xià)表	見(jiàn)下(xià)表

環境	理(lǐ)論用(yòng)戶	企業(yè)建議(yì)最大(dà)用(yòng)戶£Ω•
11n 1×1 MIMO HT20模式單流（65Mbps），每用(y±✘òng)戶限速512k	23	15
11n 2×2 MIMO HT20模式雙流（1¥♥>30Mbps），每用(yòng)戶限速1≤↑¥"M	25	15
11n 1×1 MIMO HT40模式單流（150Mbps），每用ε©>(yòng)戶限速1M	28	15
11n 2×2 MIMO HT40模式雙流（300M¶♣α↓bps），每用(yòng)戶限速1M	45	25

建議(yì)/總結

　　無

EPON與GPON對(duì)比

故障描述

　　無

故障分(fēn)析

　　無

處理(lǐ)過程

表2 PON技(jì)術(shù)比較
項目	EPON	GPON
下(xià)行(xíng)速率	1250Mbit/s	1244Mbit/s或2488Mbit/s♣¥
上(shàng)行(xíng)速率	1250Mbit/s	155Mbit/s、622Mbit/s、1244Mbit/s或2488M$®bit/s
分(fēn)路(lù)比	取決與光(guāng)功率預算(suàn)	取決與光(guāng)功率預算(suàn)
最大(dà)傳輸距離(lí)	10km或20km	20km
數(shù)據鏈路(lù)層協議(yì)	以太網	GEM或ATM
封裝效率	高(gāo)	最高(gāo)
技(jì)術(shù)标準化(huà)程度	完備	一(yī)般
芯片、器(qì)件(jiàn)成熟程度	高(gāo)	一(yī)般
理(lǐ)論成本	低(dī)	低(dī)
實際成本	低(dī)	高(gāo)

建議(yì)/總結

　　無

FAQ-無線AP如(rú)何選擇？

故障描述

　　無

故障分(fēn)析

　　無

處理(lǐ)過程

　　1、速率。目前來(lái)看(kàn)，我♦←φε們建議(yì)所有(yǒu)新建網用(yòng)戶采用(∏↕✔♣yòng)802.11A/B/N,支持300M
　　2、胖AP Or 瘦AP：AP數(shù)量大(dà<&π)型12台建議(yì)采用(yòng)瘦AP，瘦AP支持漫遊業(yè)務不(b✔★δù)中斷。
　　3、功率大(dà)小(xiǎo)：用(yòng)戶密度大(α₹♠dà)，功率小(xiǎo)，用(yòng)戶密度↓♣小(xiǎo)，功率選大(dà)，一(yδ₹ ×ī)個(gè)AP支持的(de)用(yòng)戶數(shù)大÷÷(dà)概為(wèi)15-20個(gè)。
　　4、放(fàng)裝型還(hái)是(shì)分(fēnδ÷)布型：樓道(dào)、普通(tōng)用(yòng)戶密度小(xiǎo)Ω©∞↓用(yòng)分(fēn)布型，會(huì)議(yì)室"σ用(yòng)戶密碼大(dà)用(yòn">♥g)放(fàng)裝型。

建議(yì)/總結

　　無

FAQ-華為(wèi)交換機(jī)無時(shí)鐘(zhōng)↓π£芯片的(de)解決辦法

故障描述

故障分(fēn)析

　　無

處理(lǐ)過程

　　使用(yòng)NTP時(shí)間(ji≈®ān)同步的(de)方式處理(lǐ)。網絡中一(yī)般路 $(lù)由器(qì)、防火(huǒ)牆設備都(dε ōu)有(yǒu)硬件(jiàn)時(shí)鐘(zγ§hōng)芯片。我們可(kě)以通(tōng)過Nφ♦TP時(shí)鐘(zhōng)同步的(de)←σ≤&方式将所有(yǒu)網絡設備的(de)時(shí)鐘(zhōng)進行(xín®α>g)同步。
　　例：
　　防火(huǒ)牆配置（10.10.1.★254）： ntp-service refclock-master 2
　　交換機(jī)配置： ntp-service u$©←÷nicast-server 10.10.1.254$£♣

建議(yì)/總結

　　我們建議(yì)不(bù)管交換機(jī)是(shì)否α£±有(yǒu)時(shí)鐘(zhōng)芯片，都(dōu)∏≠®σ采用(yòng)NTP方式來(lái)同步時(s©≥‍hí)鐘(zhōng)，有(yǒu)助于設備故障≠ <排除及管理(lǐ)。

FAQ-華為(wèi)交換機(jī)如(rú)何記入命令日(rì)¶↔志(zhì)

故障描述

　　無

故障分(fēn)析

　　無

處理(lǐ)過程

　　1、由于華為(wèi)交換機(jī)（Sx3± >™00/Sx700）默認是(shì)不(bù)将操作(zuò)命♠<₽令記入日(rì)志(zhì)，如(rú)果需要(yào)将操作(zuò)的(γ♦₽©de)命令寫入日(rì)志(zhì)，需要(yào)配置相(xσ≈€iàng)關的(de)命令。
　　2、在設備需要(yào)配置如(rú)下λ>Ω(xià)的(de)命令：
info-center source SHELL channel logb≈¶uffer log level debugging state on£↕®，這(zhè)樣在設備上(shàng)通(tōng)過display≠₩ logbuffer就(jiù)可(kě)以看(δ§₽↕kàn)見(jiàn)登陸設備之後操作(zu↕ ₩ò)的(de)命令了(le)。

例如(rú)：
[SW-L-S2752-02]info-centerπ ' source SHELL channel logbuffer lo"♦☆εg level debugging state↑γσ× on
[SW-L-S2752-02]dis logb
Logging buffer confi¶§↔↑guration and contents : enabled
Allowed max buffer size€€ : 1024
Actual buffer size : 512
Channel number : 4 , ¥×Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 0
Current messages : 295

Feb 15 2012 04:50:32-05:13>♥ SW-L-S2752-02 %%01SHELL/5/CMDRECORD(l)"₹β [0]:Record command informatio♥¶n. (Task=VT0 , Ip=10.10→×.1.254, User=huawei, Command="γ↓↓info-center source S↓∏₩£HELL channel logbuffer log leve×≠l debugging state on")

建議(yì)/總結

　　無

訂閱數(shù)據通(tōng)信