數(shù)據(jù)通信

FAQ-S5700交換機MAC本地認證的配置方法

故障描述

　　版本信息：V100R005C01SPC100
　　Q：S5700如何配置MAC本地認證？

故障分析

　　無

處理過程

A：基于MAC本地認證的配置方法如下:
[Quidway]mac-authen
[Quidway]mac-authen username macaddress format with-hyphen
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user f0de-f163-76d5 password simple f0de-f163-76d5
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]mac-authen

當mac認證不通過時，交換機上上不學習PC的mac，查看認證狀態(tài)時有如下顯示：

[Quidway]dis mac-authen int Ethernet 0/0/4

Ethernet0/0/4 state: UP. MAC address authentication is enabled
Maximum users: 256
Current users: 0
Authentication Success: 6, Failure: 18
Guest VLAN is disabled

Silent MAC info:
f0de-f163-76d5
1 silent mac address(es) found, 1 printed.

當MAC認證通過時，交換機上學習到PC的MAC，查看認證狀態(tài)時有如下顯示：

[Quidway]dis mac-authen int Ethernet 0/0/4

Ethernet0/0/4 state: UP. MAC address authentication is enabled
Maximum users: 256
Current users: 1
Authentication Success: 5, Failure: 17
Guest VLAN is disabled

Online user(s) info:
UserId MAC/VLAN AccessTime UserName
------------------------------------------------------------------------------
37 f0de-f163-76d5/1 2008/01/01 00:37:08 f0de-f163-76d5
------------------------------------------------------------------------------

建議/總結

　　1、如果mac認證是基于用戶名和密碼的，配置方法如下：
[Quidway]mac-authen
[Quidway]mac-authen username fixed cc pass cc
[Quidway]aaa
[Quidway-aaa]
[Quidway-aaa]local-user cc password simple cc
[Quidway]int ethe0/0/4
[Quidway-Ethernet0/0/4]mac-authen
2、端口上支持的MAC認證的用戶數(shù)默認是256，整機最大1024

AR G3配置NAT使內網(wǎng)用戶通過外網(wǎng)IP訪問內網(wǎng)服務器

故障描述

　　無

故障分析

　　無

處理過程

#
acl number 3000 //用于內部主機直接使用211.1.1.6訪問服務器，只有內網(wǎng)發(fā)起的服務才會在GE1/0/0上進行NAT
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 211.1.1.6 0
#
interface GigabitEthernet1/0/0
ip address 192.168.1.1 255.255.255.0
nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //內網(wǎng)用戶直接使用211.1.1.6訪問服務器時進行NAT
nat outbound 3000 //內網(wǎng)用戶直接訪問211.1.1.6時做Easy IP，將源地址改為GE1/0/0的地址,保證內網(wǎng)服務器和主機間的交互都經(jīng)過Router轉發(fā)
#
interface GigabitEthernet1/0/1
ip address 202.1.1.1 255.0.0.0
nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //保證外網(wǎng)用戶使用211.1.1.6可以訪問服務器
return

建議/總結

配置ACL，確定對哪些網(wǎng)段進行NAT轉換。
配置Easy-IP對指定網(wǎng)段的報文進行轉換，注意轉換方向。
如果用戶只被分配到一個公網(wǎng)IP（211.1.1.6），并且只需要通過NAT轉換某些協(xié)議報文，可做如下處理：
在Router上配置Loopback口作為網(wǎng)關出口,配置Loopback口IP地址為211.1.1.6/8。
在系統(tǒng)視圖下執(zhí)行命令nat static protocol { tcp | udp } global interface loopback interface-number global-port inside host-address [ netmask mask ]配置全局NAT進行轉換。

華為AR G3如何針對Ip地址限速

故障描述

　　無

故障分析

　　無

處理過程

　　在接口上做QOS CAR，如下舉例（WAN接口）：
　　qos car outbound source-ip-address range 192.168.1.2 to 192.168.1.254 per-address cir 32 cbs 6016 pbs 10016 green pass yellow pass red discard
//配置在接口出方向對源地址為192.168.1.2到192.168.1.254范圍內的報文做流量監(jiān)管，指定各IP地址發(fā)送報文的承諾信息速率為32kbit/s　即上傳
　　qos car outbound destination-ip-address range 192.168.2.2 to 192.168.2.254 per-address cir 16 cbs 3008 pbs 5008 green pass yellow pass red discard 即下載
//配置在接口出方向對源地址為192.168.2.2到192.168.2.254范圍內的報文做流量監(jiān)管，指定各IP地址發(fā)送報文承諾信息速率為16kbit/s
　　若在qos car命令中不配置per-address參數(shù)，則對源IP在指定范圍內的所有報文聚合起來做CAR，即對該地址段發(fā)送報文的總流量做流量監(jiān)管。

建議/總結

　　上述功能自V200R002C01版本起支持。

關于華為/H3C部分設備存在HTTP管理漏洞的規(guī)避方法

故障描述

　　AR 路由器：AR 18/28/46、AR 19/29/49（H3C型號為MSR20/30/50）為中小企業(yè)的多業(yè)務路由器。AR 18/28/46支持BIMS管理。AR18-2X、AR18-3X和AR18-3XE同時還支持Web管理。AR 19/29/49（H3C型號為MSR20/30/50）僅支持Web管理。.
受影響版本：

AR 19/29/49 R2207 earlier versions（H3C型號為MSR20/30/50）
AR 28/46 R0311 and earlier versions
AR 18-3x R0118 and earlier versions
AR 18-2x R1712 and earlier versions
AR18-1x R0130 and earlier versions

　　Huawei 交換機：S2000系列、S3000系列、S3500系列、S3900系列(H3C為S3600)、S5100系列和S5600系列交換機支持WEB網(wǎng)管，開啟了HTTP服務。S7800系列交換機R6305及以后的版本支持WEB網(wǎng)管，開啟了HTTP服務。S8500（H3C為S9500）系列交換機不支持WEB網(wǎng)管，但在R1631P001和R1632(注1)版本中默認打開了HTTP服務。
受影響版本：

S2000系列、S3000系列、S3500系列、S3900系列（H3C S3600）、S5100系列和S5600系列交換機所有版本
S7800系列交換機R6305和以后的版本
S8500系列交換機R1631P001版本（H3C S9500）
S8500系列交換機R1632版本（H3C 9500）

故障分析

　　攻擊者利用此漏洞，可能使設備執(zhí)行攻擊者注入的任意命令。

處理過程

場景一：用戶使用設備時不使用WEB網(wǎng)頁進行配置管理，且不使用BIMS（Branch Intelligent Management System）功能進行遠程配置。
規(guī)避方案：關閉HTTP端口和BIMS服務，具體配置如下：
AR 18/28/46：
[Quidway] ip http shutdown
[Quidway] undo bims enable
AR 19/29/49：
[Quidway] undo ip http enable
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機：
[Quidway] ip http shutdown (注3)
S7800系列交換機：
[Quidway] undo ip http enable

場景二：用戶使用WEB網(wǎng)頁對設備進行配置管理或使用BIMS功能進行遠程配置。
規(guī)避方案：通過ACL控制HTTP建立的源IP地址，具體配置如下：
AR 18/28/46：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
AR 19/29/49：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001 (注3)
S7800系列交換機：
[Quidway] acl number 2001
[Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0
[Quidway-acl-basic-2001]rule 5 deny
[Quidway]ip http acl 2001
場景三：設備不支持WEB網(wǎng)頁進行配置管理，但HTTP服務端口是打開的。
規(guī)避方案：關閉HTTP服務端口，具體配置如下：
S8500系列交換機：
[Quidway] ip http shutdown

建議/總結

　　版本建議如下：
AR 18/28/46 通過規(guī)避方案解決，暫不發(fā)布版本或補丁修復此漏洞；
AR 19/29/49 通過規(guī)避方案解決，或者升級為AR 19/29/49 R2207或之后版本；
S2000系列、S3000系列、S3500系列、S3900系列、S5100系列、S5600系列和S7800系列交換機：通過規(guī)避方案解決，暫不發(fā)布版本或補丁修復此漏洞；
S8500系列交換機：通過規(guī)避方案解決，或是升級到R1640及以后的版本。

附件

就Recurity_Lab_披露華為AR_18_28安全漏洞說明函

FAQ-802.11N加密方式導致速度慢

故障描述

　　客戶采用802.11N無線AP，但連接上后無線速度最高為54M？

故障分析

　　支持802.11n的AP設置的加密方式為WEP或者TKIP，則終端關聯(lián)的速率可能只有54Mbps（802.11b/g的速率），因為802.11n里沒有定義WEP和TKIP加密方式，因此TKIP加密方式下，終端是以802.11g模式關聯(lián)的。終端網(wǎng)卡的支持能力，有些網(wǎng)卡只支持802.11b/g模式，則關聯(lián)802.11n AP時，關聯(lián)速率最高只有54Mbps，或者說支持802.11n AP配置的射頻類型為802.11b/g，則AP只支持802.11b/g類型的射頻。
　　

處理過程

　　更改加密套件為CCMP，客戶端設置安全類型為WPA2，加密類型為AES

建議/總結

　　無

802.11a/b/g/n標準的對比情況？

故障描述

　　無

故障分析

　　無

處理過程

802.11a/b/g/n在頻段、兼容性、理論速率、實測速率、單AP用戶量方面的對比情況如下表：

協(xié)議	使用頻段	兼容性	理論速率	實測速率	1M限速最大用戶	建議最大用戶
802.11a	5GHz	NA	54Mbps	22Mbps左右	15	10
802.11b	2.4GHz	NA	11Mbps	5Mbps左右	--	--
802.11g	2.4GHz	兼容802.11b	54Mbps	22Mbps左右	15	10
802.11n	2.4GHz、5GHz	兼容802.11a/b/g	300Mbps（二空間流）	80–220Mbps左右	見下表	見下表

環(huán)境	理論用戶	企業(yè)建議最大用戶
11n 1×1 MIMO HT20模式單流（65Mbps），每用戶限速512k	23	15
11n 2×2 MIMO HT20模式雙流（130Mbps），每用戶限速1M	25	15
11n 1×1 MIMO HT40模式單流（150Mbps），每用戶限速1M	28	15
11n 2×2 MIMO HT40模式雙流（300Mbps），每用戶限速1M	45	25

建議/總結

　　無

EPON與GPON對比

故障描述

　　無

故障分析

　　無

處理過程

表2 PON技術比較
項目	EPON	GPON
下行速率	1250Mbit/s	1244Mbit/s或2488Mbit/s
上行速率	1250Mbit/s	155Mbit/s、622Mbit/s、1244Mbit/s或2488Mbit/s
分路比	取決與光功率預算	取決與光功率預算
最大傳輸距離	10km或20km	20km
數(shù)據(jù)鏈路層協(xié)議	以太網(wǎng)	GEM或ATM
封裝效率	高	最高
技術標準化程度	完備	一般
芯片、器件成熟程度	高	一般
理論成本	低	低
實際成本	低	高

建議/總結

　　無

FAQ-無線AP如何選擇？

故障描述

　　無

故障分析

　　無

處理過程

　　1、速率。目前來看，我們建議所有新建網(wǎng)用戶采用802.11A/B/N,支持300M
　　2、胖AP Or 瘦AP：AP數(shù)量大型12臺建議采用瘦AP，瘦AP支持漫游業(yè)務不中斷。
　　3、功率大?。河脩裘芏却?，功率小，用戶密度小，功率選大，一個AP支持的用戶數(shù)大概為15-20個。
　　4、放裝型還是分布型：樓道、普通用戶密度小用分布型，會議室用戶密碼大用放裝型。

建議/總結

　　無

FAQ-華為交換機無時鐘芯片的解決辦法

故障描述

　　華為低端交換機是沒有硬件時鐘芯片的，設備重啟后時間將被重置。如何解決。

故障分析

　　無

處理過程

　　使用NTP時間同步的方式處理。網(wǎng)絡中一般路由器、防火墻設備都有硬件時鐘芯片。我們可以通過NTP時鐘同步的方式將所有網(wǎng)絡設備的時鐘進行同步。
　　例：
　　防火墻配置（10.10.1.254）： ntp-service refclock-master 2
　　交換機配置： ntp-service unicast-server 10.10.1.254

建議/總結

　　我們建議不管交換機是否有時鐘芯片，都采用NTP方式來同步時鐘，有助于設備故障排除及管理。

FAQ-華為交換機如何記入命令日志

故障描述

　　無

故障分析

　　無

處理過程

　　1、由于華為交換機（Sx300/Sx700）默認是不將操作命令記入日志，如果需要將操作的命令寫入日志，需要配置相關的命令。
　　2、在設備需要配置如下的命令：
info-center source SHELL channel logbuffer log level debugging state on，這樣在設備上通過display logbuffer就可以看見登陸設備之后操作的命令了。

例如：
[SW-L-S2752-02]info-center source SHELL channel logbuffer log level debugging state on
[SW-L-S2752-02]dis logb
Logging buffer configuration and contents : enabled
Allowed max buffer size : 1024
Actual buffer size : 512
Channel number : 4 , Channel name : logbuffer
Dropped messages : 0
Overwritten messages : 0
Current messages : 295

Feb 15 2012 04:50:32-05:13 SW-L-S2752-02 %%01SHELL/5/CMDRECORD(l)[0]:Record command information. (Task=VT0 , Ip=10.10.1.254, User=huawei, Command="info-center source SHELL channel logbuffer log level debugging state on")

建議/總結

　　無

訂閱數(shù)據(jù)通信