分类目录归档:网络技术

H3C无线控制器V5版本配置AP上线的方法

H3C无线控制器上没有开启自动上线,需要先手动在控制器上输入AP信息,然后新建vlan、新建vlan接口、新建wlan-ess接口、新建无线服务。然后在AP上配置射频参数。交换机上需要开启DHCP,为手机终端分配IP地址,并且交换机上与AP互联的接口启用trunk。

无线控制器上的配置如下:

1、新建vlan
vlan335
2、新建wlan-ess接口
interface WLAN-ESS15
port access vlan 335
3、新建服务模板,绑定wlan-ess接口
wlan service-template 15 clear
ssid wifi
bind WLAN-ESS 15
client forwarding-mode local vlan 335
service-template enable
4、为vlan接口分配地址
interface Vlan-interface335
ip address 192.168.12.253 255.255.255.0
portal server imc method layer3
portal domain imc
portal forwarding-mode local
5、为AP配置射频参数
wlan ap wifi-1 model WA2620i-AGN
serial-id XXXXXXXX
radio 1
radio 2
service-template 15 vlan-id 335
radio enable

交换机上的配置如下:
1、配置admin密码、telnet、设备名
Ruijie(config)#line vty 0 4
Ruijie(config-line)#login local
Ruijie(config-line)#exit
Ruijie(config)#username admin password ruijie
Ruijie(config)#enable password  ruijie
Ruijie(config)#end
Ruijie#write
Ruijie(config)#hostname jiaohuanji
enable service web-server
2、配置1口trunk接上联设备,2-12口trunk接AP,13-48口access接PC
interface range gigabitethernet0/1 – 12
switchport mode trunk
switchport trunk allowed vlan all
no shutdown

interface range gigabitethernet0/16 – 48
switchport access vlan 1
no shutdown
3、配置vlan1地址192.168.1.253/24,vlan325地址192.168.12.1/24
interface vlan335
ip address 192.168.12.1 255.255.255.0
4、配置DHCP
Ruijie(config)#service dhcp
ip dhcp excluded-address 192.168.12.1
ip dhcp excluded-address 192.168.12.253 192.168.12.254
ip dhcp pool wifi
lease 0 2 0
network 192.168.12.0 255.255.255.0
dns-server 218.2.135.1 223.5.5.5
default-router 192.168.12.1
exit
5、配置默认路由
ip route 0.0.0.0 0.0.0.0 192.168.1.254

AP的配置如下:
sysname wifi-1
telnet server enable
wlan ac ip 192.168.X.2
vlan1
vlan 335
interface Vlan-interface1
ipv6 address auto
ip address 192.168.1.1 255.255.255.0
ipv6 address dhcp-alloc
#
interface Vlan-interface325
portal server imc method direct
portal nas-id H3C_CMCC
portal nas-ip 192.168.X.2
#
interface GigabitEthernet1/0/1
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/2
#
interface WLAN-BSS15
port access vlan 335
#
interface WLAN-Radio1/0/1
#
interface WLAN-Radio1/0/2
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.254

防火墙阻断勒索病毒的配置方法

有一个分支机构,网络流量被总部的设备检测到存在勒索病毒,现在需要定位到病毒源并阻隔病毒流量,该分支机构所有网络设备都通过一台防火墙出去。在防火墙上查看会话,目的端口写勒索病毒的几个常用端口,TCP/UDP的135、137、138、139端口和TCP的445端口,可以看到有多台PC的会话,这些PC都是可疑的病毒源,再从防火墙上创建安全策略,源区域写PC所在的区域,源端口所有,目标区域可写所有,目标端口写勒索病毒的几个端口TCP/UDP的135、137、138、139端口和TCP的445端口,在防火墙上配置好后,再对几台PC做杀毒即可。

建议使用专业的IPS设备做安全防护,及时更新IPS库,另外PC上也要安装杀毒软件更新病毒库。

山石防火墙HA配置说明

使用高可靠性功能,用户需要按照以下步骤进行配置:

  1. 配置HA组的接口。
  2. 配置HA连接。包括HA连接接口和连接接口IP的配置。用于设备同步以及传输HA报文。
    对于X系列其他平台,仅支持将SG-6000-X7180设备的IOM-2Q8SFP+ -200模块卡的接口指定为HA连接接口,其他模块卡接口不支持该功能。
  3. 配置HA簇。为设备指定HA簇ID,并且开启设备的HA功能。
  4. 配置HA组。HA组的配置包括指定设备优先级(选举使用)以及设备HA报文相关参数等。

配置HA功能,必须配置HA数据连接接口;且HA组0和组1接口不能配置为HA数据连接接口,只能配置为HA控制连接接口。

配置HA,请按照以下步骤进行操作:

1、选择“系统 > HA”,进入HA配置页面。

null

说明
HA控制连接接口1
指定HA控制连接接口的名称。控制连接同步两台设备间的所有数据。
HA控制连接接口2
指定HA控制连接接口的名称(备份设备)。
HA辅助链路接口
指定HA辅助链路接口的名称。在Active-Passive(A/P)模式中,为了避免当HA连接发生故障时HA设备的主备状态出现异常,用户可以指定HA辅助链路接口,通过配置的HA辅助链路接收和发送心跳报文(Hello报文),以确保HA设备维持正常的主备状态。
说明
在HA连接恢复正常之前,HA辅助链路只能接收和发送心跳报文,不能同步数据报文信息,因此建议用户不要修改当前设备配置信息,在HA连接恢复后,进行手动同步会话信息。
HA辅助链路接口必须使用除HA连接接口以外的接口,并且已绑定到安全域。
HA主备设备需将相同的接口指定为HA辅助链路接口,并确保两端设备的该接口属于同一个VLAN。
HA数据连接接口
指定HA数据连接接口的名称。数据连接仅同步数据报文信息,如会话信息。指定后,会话信息将通过HA数据连接接口同步完成。目前仅支持将物理接口和集聚接口配置为数据连接的接口。用户最多可以指定1个HA数据连接接口。
IP地址
指定HA连接接口的IP地址及网络掩码。
HA簇ID
指定HA簇ID。取值范围为1~8。当选择HA簇ID为无时表示关闭设备的HA功能。
节点ID
开启HA功能后,用户需为设备指定节点ID(HA Node),两台设备需指定不同的节点ID。范围是0到1。如不指定该参数,设备将通过自动协商获取节点ID。
Peer-mode
勾选启用复选框开启 HA Peer模式,并标识该设备在HA簇中的角色。范围是0到1。默认情况下,HA 节点ID为0的设备上的组0为主动状态,节点ID为1的设备上的组0为禁用状态。
对称路由
若指定该参数,设备将工作在对称路由模式下。
HA同步配置
在某些特殊情况下,可能出现主备配置信息不同步现象。此时,需要用户手动同步主备设备的配置信息。点击“HA同步配置”按钮,完成配置信息同步。
HA同步会话
默认情况下,HA设备之间会自动同步会话信息。同步会话会产生一定流量,在高负载情况下可能会对设备性能造成影响。用户可以根据设备负载情况使用HA会话自动同步功能,以确保设备的稳定性。点击“HA同步会话”按钮,启用HA会话自动同步功能。
新建
默认情况下,指定HA簇ID后,系统自动创建组0。点击“新建”按钮, 可创建组1并对其进行配置。
删除
若已创建HA组1,用户可点击“删除”按钮将组1配置删除。
优先级
指定当前设备在HA组中的优先级。优先级高(数字小)的会被选举为主设备。
抢占时间
指定当前设备是否开启抢占模式以及抢占延迟时间。如果将设备配置为抢占模式,一旦设备发现自己的优先级高于主设备,就会将自己升级为主设备,而原先的主设备将变为备份设备。如果输入0,则表示不开启抢占模式;即使设备的优先级高于主设备,它也只能在主设备故障时代替主设备工作。
Hello报文间隔
输入HA设备向HA组中的其它设备发送Hello报文的时间间隔。同一个HA组的设备的Hello报文间隔时间必须相同。
Hello报文警戒值
输入HA组对应的Hello报文的警戒值,即如果设备没有收到对方设备的该命令指定个数的Hello报文,就判断对方无心跳。
免费ARP包个数
指定当前设备选举为主设备后,发送ARP请求包的个数。当备份设备升级为主设备时,新主设备需要向网络中发送ARP请求包,通知相关网络设备更新其ARP表。
监测对象
指定已配置的监测对象的名称。系统利用监测对象监控设备的工作状态。一旦发现设备不能正常工作,立即采取相应措施。
描述
指定该HA组的描述信息。

2、点击“发送”按钮,完成配置。

山石防火墙主备配置方法

现有两台山石防火墙需要配置主备,以提高网络可靠性,保证业务不中断。

拓扑如下:

组建HA AP模式的两台设备分别为Device A和Device B。配置后,Device A将被选举为主设备,进行流量转发;Device B为备份设备。Device A会将其配置信息以及状态数据同步到备份设备Device B。当主设备Device A出现故障不能正常转发流量时,备份设备Device B会在不影响用户通信的状态下切换为主设备,继续转发流量。

步骤一: 配置Device A的监测对象。监控主设备ethernet0/0的工作状态,一旦发现接口工作失败,则进行主备切换。

选择“对象 > 监测对象”,并点击“新建”。

  • 名称:track1
  • 警戒值:255
  • 监测类型:选择<接口>单选按钮,并点击“添加”按钮。在弹出的<添加监测对象>对话框,指定接口为“ethernet0/0”,权值为“255”

步骤二: 配置HA组。

Device A

选择“系统 > HA”,在<组0>处配置。

  • 优先级:10
  • 监测对象:track1

Device B

选择“系统 > HA”,在<组0>处配置。

  • 优先级:100

步骤三: 配置Device A的接口及策略。

选择”网络 > 接口”,双击ethernet0/0。

  • 绑定安全域:三层安全域
  • 安全域:untrust
  • 类型:静态IP
  • IP地址:100.1.1.4
  • 网络掩码:29

选择”网络 > 接口”,双击ethernet0/1。

  • 绑定安全域:三层安全域
  • 安全域:trust
  • 类型:静态IP
  • IP地址:192.168.1.4
  • 网络掩码:29

选择“策略 > 安全策略”,并点击“新建”按钮创建一条策略规则。

  • 名称:policy
  • 源信息
    • 安全域:trust
    • 地址:Any
  • 目的信息
    • 安全域:untrust
    • 地址:Any
  • 其他信息
    • 服务/服务组:Any
    • 行为:允许

步骤四:配置HA控制连接接口,并开启HA功能。

Device A

选择“系统 > HA”。

  • HA控制连接接口1:ethernet0/4
  • HA控制连接接口2:ethernet0/8
  • IP地址:1.1.1.1/24
  • HA簇ID:1

Device B

选择“系统 > HA”。

  • HA控制连接接口1:ethernet0/4
  • HA控制连接接口2:ethernet0/8
  • IP地址:1.1.1.2/24
  • HA簇ID:1

步骤五:主备同步完成后,配置主设备与备份设备的管理IP。

Device A

Device A

选择”网络 > 接口”,双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。

  • 管理IP
    • IP地址:192.168.1.253

Device B

选择”网络 > 接口”,双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。

  • 管理IP
    • IP地址:192.168.1.254

步骤六:验证结果。

配置完成后,点击“系统 > 系统信息”,两台设备的HA状态分别如下显示:

Device A

  • HA状态:Master

Device B

  • HA状态:Backup

当Device A出现故障不能正常转发流量或Device A的ethernet0/0接口断开时,Device B会在不影响用户通信的状态下切换为主设备,继续转发流量。

点击“系统 > 系统信息”,两台设备的HA状态分别如下显示:

Device A

  • HA状态:Monitor Failed

Device A:

Device B

  • HA状态:Master

Device B:

山石虚拟防火墙安装步骤

山石虚拟防火墙,可以安装在vmware workstation上,非常适合动手操作实践、做实验等,非常好用。

前提也非常容易,电脑支持64位,内存最小4G。

山石虚拟防火墙桥接在物理网卡上,虚拟机和虚拟防火墙内网口都桥接在虚拟网卡上。

步骤大概如下:

1、新建一个虚拟虚拟机,版本vmware workstation 10。

2、操作系统选择“稍后安装操作系统”,操作系统版本选择“Other Linux 3.x kernel 64-bit”。

3、配置虚拟机名称和位置,选择1颗1核的处理器,内存选择1G,使用桥接网络,I/O控制器类型选择LSI Logic,虚拟硬盘类型选择IDE,硬盘选择“使用现有虚拟磁盘”,选择山石防火墙的vmdk,选择“保持原有格式”。

4、CD/DVD使用山石的ISO镜像文件。

5、添加多个虚拟网卡,虚拟网卡1对应山石虚拟防火墙的e0/0,虚拟网卡2对应e0/1,以此类推。

虚拟机开机后,使用账号密码hillstone登录,可以通过show interface命令查看接口。

再做以下配置就可以使用web页面管理了。

1、配置管理流量
vfw(config)#admin host any any

2、配置接口参数
vfw(config)#interface e0/0
vfw(config-if-eth0/0)#ip address dhcp
vfw(config-if-eth0/0)#zone trust
vfw(config-if-eth0/0)#manage https
vfw(config-if-eth0/0)#manage http
vfw(config-if-eth0/0)#manage ping
vfw(config-if-eth0/0)#manage telnet
vfw(config-if-eth0/0)#no shutdown
vfw#save

即可通过https://ip来登录管理虚拟防火墙。

Huawei交换机配置Telnet登录

一,交换机开启Telnet服务

system-view #进入系统视图

[Huawei]telnet server ? #查看有enable还是disable选项,选择对应的开启方式。

[Huawei]telnet server enable #enable选项开启Telnet服务 (普通系列一般为这个)

[Huawei]undo telnet server disable #disable选项开启Telnet服务 (CE高端系列一般为这个)

二,配置VTY用户界面的最大个数(同时可以登录的最大数)

[Huawei]user-interface maximum-vty 15 #默认是5,这个可以不设置

三,配置VTY用户界面的终端属性

[Huawei]user-interface vty 0 14 #上面是15所有这里是0 14 如果选择默认这里是0 4

[Huawei-ui-vty0-14]protocol inbound telnet #配置VTY用户界面支持Telnet协议,缺省情况下,用户界面支持所有协议,这个可以不配

[Huawei-ui-vty0-14]user privilege level 3 #设置用户级别。3为管理级,有最高权限。

四,配置VTY用户界面的用户验证方式

系统提供AAA验证、密码验证两种方式。配置用户验证方式可以增加设备的安全性。
操作步骤

1、设置AAA验证

[Huawei]user-interface vty 0 14 #进入VTY 用户界面视图。0 14表示15个用户,如果只输入14表示只进入14这个VTY

[Huawei-ui-vty0-14]authentication-mode aaa, #设置用户验证方式为AAA验证。

[Huawei-ui-vty0-14]quit #退出VTY用户界面视图

[Huawei]aaa #进入AAA视图

[Huawei-aaa]local-user admin1234 password ? #查看可以选择的密码选择

[Huawei-aaa]local-user admin1234 password simple Huawei12#$ #密码选项simple 账号admin1234 密码Huawei12#$ (普通系列一般为这个)

[Huawei-aaa]local-user admin1234 password irreversible-cipher Huawei12#$ #密码选项irreversible-cipher 账号admin1234 密码Huawei12#$ (CE高端系列一般为这个)
[Huawei-aaa]local-user admin1234 service-type telnet #配置本地用户的接入类型为Telnet

[Huawei-aaa]quit #退出AAA视图。

[Huawei]commit #提交配置

2、设置密码验证

[Huawei]user-interface vty 0 14 #进入VTY用户界面视图

[Huawei-ui-vty0-14]authentication-mode password #设置用户验证方式为密码验证

[Huawei-ui-vty0-14]set authentication password Huawei12#$ #设置验证密码,输入的密码可以是明文或密文

说明:

输入的密码可以是明文或者密文,当不指定cipher password参数时,将采用交互方式输入明文密码,当指定cipher password参数时,既可以输入明文密码也可以输入密文密码,但都将以密文形式保存在配置文件中。

save #保存配置

设置Dell Networking N2000、N3000和N4000系列交换机的管理访问

设置管理IP地址

不使用串行连接时,要管理交换机,需要可访问的IP地址。要设置IP地址,请输入以下命令。
此示例使用VLAN 1、默认VLAN和IP 192.168.0.250 /24。

console>enable

console#configure

console(config)#interface vlan 1

console(config-if)#ip address 192.168.0.250 255.255.255.0

注:在N3000和N4000交换机上,有一个带外端口可用于管理交换机。
下面是同一示例,但使用带外(OOB)接口。

console(config)#interface out-of-band

console(config-if)#ip address 192.168.0.250 255.255.255.0

如果可用,建议使用OOB接口管理交换机。OOB接口独立于硅开关,
直接到达CPU。如果生产网络出现问题,仍可通过OOB接口访问交换机。

注:将OOB接口插入独立管理网络,不要将其插回到交换机上的入站端口。

使用VLAN管理网络时,建议创建独立VLAN专用于管理。
这会将管理流量与数据流量分离。这不仅有助于提高性能,也可提高一点安全性。
您可以通过任何可达VLAN IP地址管理交换机。

如果从外部网络管理交换机,则必须为交换机分配一个默认网关,用于访问其它网络。
以下命令使用192.168.0.1作为默认网关地址。

console(config)#ip default-gateway 192.168.0.1

设置交换机上的登录访问

要管理交换机,您需要用户名和密码。要通过telnet或SSH管理交换机,则有一个启用密码是最佳做法。输入以下命令以配置登录访问。这是一个用户名为Dell,密码为MYPASSWORD的示例。启用密码示例使用ENP@$$w0rd。这只是示例,您应使用更复杂、很难猜测的凭据来保护您的交换机安全。

console>enable

console#configure

console(config)#username Dell password MYPASSWORD privilege 15

console(config)#enable password ENP@$$w0rd

注:您可在交换机上设置多个用户,以及不同的访问级别/访问权限级别。0为无访问权限,1为只读,15为读写。

选择Telnet、HTTP、SSH或HTTPS用于管理

默认允许的管理协议为Telnet和HTTP。Telnet和SSH通过Putty或Terraterm等工具提供基于命令行的管理。
HTTP和HTTPS通过Web浏览器提供基于GUI的管理。可运行所有四个协议,也可一个协议都不运行。如果全部被禁用,则可用的最后一个管理是串行。

出于安全目的,建议关闭Telnet和HTTP,并启用SSH和/或HTTPS。Telnet和HTTP以纯文本形式传输数据包,
意味着如果某人捕获流量,他可以在管理时读取通过交换机推送的所有函数命令。SSH和HTTPS加密数据包,增强数据包安全。

要启用SSH和HTTPS,输入以下命令。SSH和HTTPS要求您生成DSA和RSA密钥。HTTPS要求您创建证书。

console(config)#crypto key generate dsa

console(config)#crypto key generate rsa

console(config)#ip ssh server

console(config)#crypto certificate 1 generate

console(config-crypto-cert)#key-generate

console(config-crypto-cert)#exit

console(config)#ip http secure-server

要禁用Telnet和HTTPS,输入以下命令。

在通过HTTPS、SSH或串行连接管理交换机时,需要运行这些设置,因为禁用此服务将断开交换机的连接。

console(config)#ip telnet server disable

console(config)#no ip http server

保存配置

对配置满意后,必须保存它,这样在交换机重新引导时,会保留其配置。输入以下命令保存配置。

console#wr

此操作可能需要几分钟时间。

管理接口将在这段时间内不可用。

是否确定要保存?(y/n) y

注:有关配置特定管理选项的更多详细信息,请参阅《用户配置指南》和《CLI参考指南》。

华为AR1200-S/AR1200设备web页面配置步骤

配置步骤:

system-view

[HUAWEI]http server enable(开启http服务)

[HUAWEI]interface vlanif 1

[HUAWEI-Vlanif1]ip add 192.168.1.1 255.255.255.0 (配置IP地址)

[HUAWEI-Vlanif1]quit

[HUAWEI]aaa

[HUAWEI-aaa]local-user huawei password cipher huawei@123(配置用户名huawei和密码huawei@123)

[HUAWEI-aaa]local-user huawei privilege level 15(配置用户名权限)

[HUAWEI-aaa]local-user huawei service-type http(配置用户名服务类型)

[HUAWEI-aaa]quit

[HUAWEI]quit

save

y

深信服防火墙配置内网PC仅允许访问指定域名的方法

需求是内网PC仅允许访问指定的域名,配置步骤如下:

1、先定义内网PC网段及域名

2、新建一条应用控制策略,针对内网PC放通DNS、HTTP(HTTPS)服务

3、新建一条内容安全策略,URL过滤针对内网PC拒绝访问所有网页

4、新建一条内容安全策略,URL过滤针对内网PC允许访问指定域名,并将该条策略放置最上面

以上步骤即可实现该需求。

深信服升级客户端危险操作一览表

一些会引起设备重启,服务重启,用户掉线、断网的界面操作。
在调试设备时,注意规避或提前做好准备。

产品线
对应操作
高危风险说明
公共模块
修改网口模式、MTU
(界面、升级客户端或后台操作)
可导致网口协商失败、断网、数据中断
公共模块
网口交换(升级客户端或后台操作)
可导致序列号失效或断网
公共模块
通过公网环境升级设备
网络不稳定造成升级包损坏或升级突然中止,进而对设备造成影响
公共模块
勾选记住密码
有信息泄露的的风险