數(shù)據(jù)通信

FAQ-S5700交換機(jī)MAC本地認(rèn)證的配置方法

故障描述

　　版本信息：V100R005C01SPC100
　　Q：S5700如何配置MAC本地認(rèn)證？

故障分析

　　無(wú)

處理過(guò)程

A：基于MAC本地認(rèn)證的配置方法如下:
[Quidway]mac-authen
[Quidway]mac-authen username macaddress format with-hyphen
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user f0de-f163-76d5 password simple f0de-f163-76d5
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]mac-authen

當(dāng)mac認(rèn)證不通過(guò)時(shí)，交換機(jī)上上不學(xué)習(xí)PC的mac，查看認(rèn)證狀態(tài)時(shí)有如下顯示：

[Quidway]dis mac-authen int Ethernet 0/0/4

Ethernet0/0/4 state: UP. MAC address authentication is enabled
Maximum users: 256
Current users: 0
Authentication Success: 6, Failure: 18
Guest VLAN is disabled

Silent MAC info:
f0de-f163-76d5
1 silent mac address(es) found, 1 printed.

當(dāng)MAC認(rèn)證通過(guò)時(shí)，交換機(jī)上學(xué)習(xí)到PC的MAC，查看認(rèn)證狀態(tài)時(shí)有如下顯示：

[Quidway]dis mac-authen int Ethernet 0/0/4

Ethernet0/0/4 state: UP. MAC address authentication is enabled
Maximum users: 256
Current users: 1
Authentication Success: 5, Failure: 17
Guest VLAN is disabled

Online user(s) info:
UserId MAC/VLAN AccessTime UserName
------------------------------------------------------------------------------
37 f0de-f163-76d5/1 2008/01/01 00:37:08 f0de-f163-76d5
------------------------------------------------------------------------------

建議/總結(jié)

　　1、如果mac認(rèn)證是基于用戶名和密碼的，配置方法如下：
[Quidway]mac-authen
[Quidway]mac-authen username fixed cc pass cc
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user cc password simple cc
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]mac-authen
2、端口上支持的MAC認(rèn)證的用戶數(shù)默認(rèn)是256，整機(jī)最大1024

AR G3配置NAT使內(nèi)網(wǎng)用戶通過(guò)外網(wǎng)IP訪問(wèn)內(nèi)網(wǎng)服務(wù)器

故障描述

　　無(wú)

故障分析

　　無(wú)

處理過(guò)程

#
acl number 3000 //用于內(nèi)部主機(jī)直接使用211.1.1.6訪問(wèn)服務(wù)器，只有內(nèi)網(wǎng)發(fā)起的服務(wù)才會(huì)在GE1/0/0上進(jìn)行NAT
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 211.1.1.6 0
#
interface GigabitEthernet1/0/0
ip address 192.168.1.1 255.255.255.0
nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //內(nèi)網(wǎng)用戶直接使用211.1.1.6訪問(wèn)服務(wù)器時(shí)進(jìn)行NAT
nat outbound 3000 //內(nèi)網(wǎng)用戶直接訪問(wèn)211.1.1.6時(shí)做Easy IP，將源地址改為GE1/0/0的地址,保證內(nèi)網(wǎng)服務(wù)器和主機(jī)間的交互都經(jīng)過(guò)Router轉(zhuǎn)發(fā)
#
interface GigabitEthernet1/0/1
ip address 202.1.1.1 255.0.0.0
nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //保證外網(wǎng)用戶使用211.1.1.6可以訪問(wèn)服務(wù)器
return

建議/總結(jié)

配置ACL，確定對(duì)哪些網(wǎng)段進(jìn)行NAT轉(zhuǎn)換。
配置Easy-IP對(duì)指定網(wǎng)段的報(bào)文進(jìn)行轉(zhuǎn)換，注意轉(zhuǎn)換方向。
如果用戶只被分配到一個(gè)公網(wǎng)IP（211.1.1.6），并且只需要通過(guò)NAT轉(zhuǎn)換某些協(xié)議報(bào)文，可做如下處理：
在Router上配置Loopback口作為網(wǎng)關(guān)出口,配置Loopback口IP地址為211.1.1.6/8。
在系統(tǒng)視圖下執(zhí)行命令nat static protocol { tcp | udp } global interface loopback interface-number global-port inside host-address [ netmask mask ]配置全局NAT進(jìn)行轉(zhuǎn)換。

華為AR G3如何針對(duì)Ip地址限速

故障描述

　　無(wú)

故障分析

　　無(wú)

處理過(guò)程

　　在接口上做QOS CAR，如下舉例（WAN接口）：
　　qos car outbound source-ip-address range 192.168.1.2 to 192.168.1.254 per-address cir 32 cbs 6016 pbs 10016 green pass yellow pass red discard
//配置在接口出方向?qū)υ吹刂窞?92.168.1.2到192.168.1.254范圍內(nèi)的報(bào)文做流量監(jiān)管，指定各IP地址發(fā)送報(bào)文的承諾信息速率為32kbit/s　即上傳
　　qos car outbound destination-ip-address range 192.168.2.2 to 192.168.2.254 per-address cir 16 cbs 3008 pbs 5008 green pass yellow pass red discard 即下載
//配置在接口出方向?qū)υ吹刂窞?92.168.2.2到192.168.2.254范圍內(nèi)的報(bào)文做流量監(jiān)管，指定各IP地址發(fā)送報(bào)文承諾信息速率為16kbit/s
　　若在qos car命令中不配置per-address參數(shù)，則對(duì)源IP在指定范圍內(nèi)的所有報(bào)文聚合起來(lái)做CAR，即對(duì)該地址段發(fā)送報(bào)文的總流量做流量監(jiān)管。

建議/總結(jié)

　　上述功能自V200R002C01版本起支持。

關(guān)于華為/H3C部分設(shè)備存在HTTP管理漏洞的規(guī)避方法

故障描述

　　AR 路由器：AR 18/28/46、AR 19/29/49（H3C型號(hào)為MSR20/30/50）為中小企業(yè)的多業(yè)務(wù)路由器。AR 18/28/46支持BIMS管理。AR18-2X、AR18-3X和AR18-3XE同時(shí)還支持Web管理。AR 19/29/49（H3C型號(hào)為MSR20/30/50）僅支持Web管理。.
受影響版本：

AR 19/29/49 R2207 earlier versions（H3C型號(hào)為MSR20/30/50）
AR 28/46 R0311 and earlier versions
AR 18-3x R0118 and earlier versions
AR 18-2x R1712 and earlier versions
AR18-1x R0130 and earlier versions

　　Huawei 交換機(jī)：S2000系列、S3000系列、S3500系列、S3900系列(H3C為S3600)、S5100系列和S5600系列交換機(jī)支持WEB網(wǎng)管，開(kāi)啟了HTTP服務(wù)。S7800系列交換機(jī)R6305及以后的版本支持WEB網(wǎng)管，開(kāi)啟了HTTP服務(wù)。S8500（H3C為S9500）系列交換機(jī)不支持WEB網(wǎng)管，但在R1631P001和R1632(注1)版本中默認(rèn)打開(kāi)了HTTP服務(wù)。
受影響版本：

S2000系列、S3000系列、S3500系列、S3900系列（H3C S3600）、S5100系列和S5600系列交換機(jī)所有版本
S7800系列交換機(jī)R6305和以后的版本
S8500系列交換機(jī)R1631P001版本（H3C S9500）
S8500系列交換機(jī)R1632版本（H3C 9500）

故障分析

　　攻擊者利用此漏洞，可能使設(shè)備執(zhí)行攻擊者注入的任意命令。

處理過(guò)程

場(chǎng)景一：用戶使用設(shè)備時(shí)不使用WEB網(wǎng)頁(yè)進(jìn)行配置管理，且不使用BIMS（Branch Intelligent Management System）功能進(jìn)行遠(yuǎn)程配置。
規(guī)避方案：關(guān)閉HTTP端口和BIMS服務(wù)，具體配置如下：
AR 18/28/46：
[Quidway] ip http shutdown
[Quidway] undo bims enable
AR 19/29/49：
[Quidway] undo ip http enable
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機(jī)：
[Quidway] ip http shutdown (注3)
S7800系列交換機(jī)：
[Quidway] undo ip http enable

場(chǎng)景二：用戶使用WEB網(wǎng)頁(yè)對(duì)設(shè)備進(jìn)行配置管理或使用BIMS功能進(jìn)行遠(yuǎn)程配置。
規(guī)避方案：通過(guò)ACL控制HTTP建立的源IP地址，具體配置如下：
AR 18/28/46：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
AR 19/29/49：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機(jī)：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001 (注3)
S7800系列交換機(jī)：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
場(chǎng)景三：設(shè)備不支持WEB網(wǎng)頁(yè)進(jìn)行配置管理，但HTTP服務(wù)端口是打開(kāi)的。
規(guī)避方案：關(guān)閉HTTP服務(wù)端口，具體配置如下：
S8500系列交換機(jī)：
[Quidway] ip http shutdown

建議/總結(jié)

　　版本建議如下：
AR 18/28/46 通過(guò)規(guī)避方案解決，暫不發(fā)布版本或補(bǔ)丁修復(fù)此漏洞；
AR 19/29/49 通過(guò)規(guī)避方案解決，或者升級(jí)為AR 19/29/49 R2207或之后版本；
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列、S5600系列和S7800系列交換機(jī)：通過(guò)規(guī)避方案解決，暫不發(fā)布版本或補(bǔ)丁修復(fù)此漏洞；
S8500系列交換機(jī)：通過(guò)規(guī)避方案解決，或是升級(jí)到R1640及以后的版本。

附件

就Recurity_Lab_披露華為AR_18_28安全漏洞說(shuō)明函

FAQ-802.11N加密方式導(dǎo)致速度慢

故障描述

　　客戶采用802.11N無(wú)線AP，但連接上后無(wú)線速度最高為54M？

故障分析

　　支持802.11n的AP設(shè)置的加密方式為WEP或者TKIP，則終端關(guān)聯(lián)的速率可能只有54Mbps（802.11b/g的速率），因?yàn)?02.11n里沒(méi)有定義WEP和TKIP加密方式，因此TKIP加密方式下，終端是以802.11g模式關(guān)聯(lián)的。終端網(wǎng)卡的支持能力，有些網(wǎng)卡只支持802.11b/g模式，則關(guān)聯(lián)802.11n AP時(shí)，關(guān)聯(lián)速率最高只有54Mbps，或者說(shuō)支持802.11n AP配置的射頻類型為802.11b/g，則AP只支持802.11b/g類型的射頻。
　　

處理過(guò)程

　　更改加密套件為CCMP，客戶端設(shè)置安全類型為WPA2，加密類型為AES

建議/總結(jié)

　　無(wú)

802.11a/b/g/n標(biāo)準(zhǔn)的對(duì)比情況？

故障描述

　　無(wú)

故障分析

　　無(wú)

處理過(guò)程

802.11a/b/g/n在頻段、兼容性、理論速率、實(shí)測(cè)速率、單AP用戶量方面的對(duì)比情況如下表：

協(xié)議	使用頻段	兼容性	理論速率	實(shí)測(cè)速率	1M限速最大用戶	建議最大用戶
802.11a	5GHz	NA	54Mbps	22Mbps左右	15	10
802.11b	2.4GHz	NA	11Mbps	5Mbps左右	--	--
802.11g	2.4GHz	兼容802.11b	54Mbps	22Mbps左右	15	10
802.11n	2.4GHz、5GHz	兼容802.11a/b/g	300Mbps（二空間流）	80–220Mbps左右	見(jiàn)下表	見(jiàn)下表

環(huán)境	理論用戶	企業(yè)建議最大用戶
11n 1×1 MIMO HT20模式單流（65Mbps），每用戶限速512k	23	15
11n 2×2 MIMO HT20模式雙流（130Mbps），每用戶限速1M	25	15
11n 1×1 MIMO HT40模式單流（150Mbps），每用戶限速1M	28	15
11n 2×2 MIMO HT40模式雙流（300Mbps），每用戶限速1M	45	25

建議/總結(jié)

　　無(wú)

EPON與GPON對(duì)比

故障描述

　　無(wú)

故障分析

　　無(wú)

處理過(guò)程

表2 PON技術(shù)比較
項(xiàng)目	EPON	GPON
下行速率	1250Mbit/s	1244Mbit/s或2488Mbit/s
上行速率	1250Mbit/s	155Mbit/s、622Mbit/s、1244Mbit/s或2488Mbit/s
分路比	取決與光功率預(yù)算	取決與光功率預(yù)算
最大傳輸距離	10km或20km	20km
數(shù)據(jù)鏈路層協(xié)議	以太網(wǎng)	GEM或ATM
封裝效率	高	最高
技術(shù)標(biāo)準(zhǔn)化程度	完備	一般
芯片、器件成熟程度	高	一般
理論成本	低	低
實(shí)際成本	低	高

建議/總結(jié)

　　無(wú)

FAQ-無(wú)線AP如何選擇？

故障描述

　　無(wú)

故障分析

　　無(wú)

處理過(guò)程

　　1、速率。目前來(lái)看，我們建議所有新建網(wǎng)用戶采用802.11A/B/N,支持300M
　　2、胖AP Or 瘦AP：AP數(shù)量大型12臺(tái)建議采用瘦AP，瘦AP支持漫游業(yè)務(wù)不中斷。
　　3、功率大小：用戶密度大，功率小，用戶密度小，功率選大，一個(gè)AP支持的用戶數(shù)大概為15-20個(gè)。
　　4、放裝型還是分布型：樓道、普通用戶密度小用分布型，會(huì)議室用戶密碼大用放裝型。

建議/總結(jié)

　　無(wú)

FAQ-華為交換機(jī)無(wú)時(shí)鐘芯片的解決辦法

故障描述

　　華為低端交換機(jī)是沒(méi)有硬件時(shí)鐘芯片的，設(shè)備重啟后時(shí)間將被重置。如何解決。

故障分析

　　無(wú)

處理過(guò)程

　　使用NTP時(shí)間同步的方式處理。網(wǎng)絡(luò)中一般路由器、防火墻設(shè)備都有硬件時(shí)鐘芯片。我們可以通過(guò)NTP時(shí)鐘同步的方式將所有網(wǎng)絡(luò)設(shè)備的時(shí)鐘進(jìn)行同步。
　　例：
　　防火墻配置（10.10.1.254）： ntp-service refclock-master 2
　　交換機(jī)配置： ntp-service unicast-server 10.10.1.254

建議/總結(jié)

　　我們建議不管交換機(jī)是否有時(shí)鐘芯片，都采用NTP方式來(lái)同步時(shí)鐘，有助于設(shè)備故障排除及管理。

FAQ-華為交換機(jī)如何記入命令日志

故障描述

　　無(wú)

故障分析

　　無(wú)

處理過(guò)程

　　1、由于華為交換機(jī)（Sx300/Sx700）默認(rèn)是不將操作命令記入日志，如果需要將操作的命令寫(xiě)入日志，需要配置相關(guān)的命令。
　　2、在設(shè)備需要配置如下的命令：
info-center source SHELL channel logbuffer log level debugging state on，這樣在設(shè)備上通過(guò)display logbuffer就可以看見(jiàn)登陸設(shè)備之后操作的命令了。

例如：
[SW-L-S2752-02]info-center source SHELL channel logbuffer log level debugging state on
[SW-L-S2752-02]dis logb
Logging buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 512
Channel number : 4 , Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 0
Current messages : 295

Feb 15 2012 04:50:32-05:13 SW-L-S2752-02 %%01SHELL/5/CMDRECORD(l)[0]:Record command information. (Task=VT0 , Ip=10.10.1.254, User=huawei, Command="info-center source SHELL channel logbuffer log level debugging state on")

建議/總結(jié)

　　無(wú)

訂閱數(shù)據(jù)通信