山石防火墙主备配置方法

现有两台山石防火墙需要配置主备，以提高网络可靠性，保证业务不中断。

拓扑如下：

组建HA AP模式的两台设备分别为Device A和Device B。配置后，Device A将被选举为主设备，进行流量转发；Device B为备份设备。Device A会将其配置信息以及状态数据同步到备份设备Device B。当主设备Device A出现故障不能正常转发流量时，备份设备Device B会在不影响用户通信的状态下切换为主设备，继续转发流量。

步骤一：配置Device A的监测对象。监控主设备ethernet0/0的工作状态，一旦发现接口工作失败，则进行主备切换。

选择“对象 > 监测对象”，并点击“新建”。

名称：track1
警戒值：255
监测类型：选择<接口>单选按钮，并点击“添加”按钮。在弹出的<添加监测对象>对话框，指定接口为“ethernet0/0”，权值为“255”

步骤二：配置HA组。

Device A

选择“系统 > HA”，在<组0>处配置。

优先级：10
监测对象：track1

Device B

选择“系统 > HA”，在<组0>处配置。

优先级：100

步骤三：配置Device A的接口及策略。

选择”网络 > 接口”，双击ethernet0/0。

绑定安全域：三层安全域
安全域：untrust
类型：静态IP
IP地址：100.1.1.4
网络掩码：29

选择”网络 > 接口”，双击ethernet0/1。

绑定安全域：三层安全域
安全域：trust
类型：静态IP
IP地址：192.168.1.4
网络掩码：29

选择“策略 > 安全策略”，并点击“新建”按钮创建一条策略规则。

名称：policy
源信息
- 安全域：trust
- 地址：Any
目的信息
- 安全域：untrust
- 地址：Any
其他信息
- 服务/服务组：Any
- 行为：允许

步骤四：配置HA控制连接接口，并开启HA功能。

Device A

选择“系统 > HA”。

HA控制连接接口1：ethernet0/4
HA控制连接接口2：ethernet0/8
IP地址：1.1.1.1/24
HA簇ID：1

Device B

选择“系统 > HA”。

HA控制连接接口1：ethernet0/4
HA控制连接接口2：ethernet0/8
IP地址：1.1.1.2/24
HA簇ID：1

步骤五：主备同步完成后，配置主设备与备份设备的管理IP。

Device A

选择”网络 > 接口”，双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。

管理IP
- IP地址：192.168.1.253

Device B

选择”网络 > 接口”，双击ethernet0/1。在<接口配置>对话框<IP配置>处点击“高级选项”。

管理IP
- IP地址：192.168.1.254

步骤六：验证结果。

配置完成后，点击“系统 > 系统信息”，两台设备的HA状态分别如下显示：

Device A

HA状态：Master

Device B

HA状态：Backup

当Device A出现故障不能正常转发流量或Device A的ethernet0/0接口断开时，Device B会在不影响用户通信的状态下切换为主设备，继续转发流量。

点击“系统 > 系统信息”，两台设备的HA状态分别如下显示：

Device A

HA状态：Monitor Failed

Device A：

Device B

HA状态：Master

Device B：

山石虚拟防火墙安装步骤

山石虚拟防火墙，可以安装在vmware workstation上，非常适合动手操作实践、做实验等，非常好用。

前提也非常容易，电脑支持64位，内存最小4G。

山石虚拟防火墙桥接在物理网卡上，虚拟机和虚拟防火墙内网口都桥接在虚拟网卡上。

步骤大概如下：

1、新建一个虚拟虚拟机，版本vmware workstation 10。

2、操作系统选择“稍后安装操作系统”，操作系统版本选择“Other Linux 3.x kernel 64-bit”。

3、配置虚拟机名称和位置，选择1颗1核的处理器，内存选择1G，使用桥接网络，I/O控制器类型选择LSI Logic，虚拟硬盘类型选择IDE，硬盘选择“使用现有虚拟磁盘”，选择山石防火墙的vmdk，选择“保持原有格式”。

4、CD/DVD使用山石的ISO镜像文件。

5、添加多个虚拟网卡，虚拟网卡1对应山石虚拟防火墙的e0/0，虚拟网卡2对应e0/1，以此类推。

虚拟机开机后，使用账号密码hillstone登录，可以通过show interface命令查看接口。

再做以下配置就可以使用web页面管理了。

1、配置管理流量
vfw(config)#admin host any any

2、配置接口参数
vfw(config)#interface e0/0
vfw(config-if-eth0/0)#ip address dhcp
vfw(config-if-eth0/0)#zone trust
vfw(config-if-eth0/0)#manage https
vfw(config-if-eth0/0)#manage http
vfw(config-if-eth0/0)#manage ping
vfw(config-if-eth0/0)#manage telnet
vfw(config-if-eth0/0)#no shutdown
vfw#save

即可通过https://ip来登录管理虚拟防火墙。

Huawei交换机配置Telnet登录

一,交换机开启Telnet服务

system-view #进入系统视图

[Huawei]telnet server ？ #查看有enable还是disable选项，选择对应的开启方式。

[Huawei]telnet server enable #enable选项开启Telnet服务（普通系列一般为这个）

[Huawei]undo telnet server disable #disable选项开启Telnet服务（CE高端系列一般为这个）

二，配置VTY用户界面的最大个数（同时可以登录的最大数）

[Huawei]user-interface maximum-vty 15 #默认是5，这个可以不设置

三，配置VTY用户界面的终端属性

[Huawei]user-interface vty 0 14 #上面是15所有这里是0 14 如果选择默认这里是0 4

[Huawei-ui-vty0-14]protocol inbound telnet #配置VTY用户界面支持Telnet协议，缺省情况下，用户界面支持所有协议，这个可以不配

[Huawei-ui-vty0-14]user privilege level 3 #设置用户级别。3为管理级，有最高权限。

四，配置VTY用户界面的用户验证方式

系统提供AAA验证、密码验证两种方式。配置用户验证方式可以增加设备的安全性。
操作步骤

1、设置AAA验证

[Huawei]user-interface vty 0 14 #进入VTY 用户界面视图。0 14表示15个用户，如果只输入14表示只进入14这个VTY

[Huawei-ui-vty0-14]authentication-mode aaa， #设置用户验证方式为AAA验证。

[Huawei-ui-vty0-14]quit #退出VTY用户界面视图

[Huawei]aaa #进入AAA视图

[Huawei-aaa]local-user admin1234 password ？ #查看可以选择的密码选择

[Huawei-aaa]local-user admin1234 password simple Huawei12#$ #密码选项simple 账号admin1234 密码Huawei12#$ (普通系列一般为这个)

[Huawei-aaa]local-user admin1234 password irreversible-cipher Huawei12#$ #密码选项irreversible-cipher 账号admin1234 密码Huawei12#$ (CE高端系列一般为这个)
[Huawei-aaa]local-user admin1234 service-type telnet #配置本地用户的接入类型为Telnet

[Huawei-aaa]quit #退出AAA视图。

[Huawei]commit #提交配置

2、设置密码验证

[Huawei]user-interface vty 0 14 #进入VTY用户界面视图

[Huawei-ui-vty0-14]authentication-mode password #设置用户验证方式为密码验证

[Huawei-ui-vty0-14]set authentication password Huawei12#$ #设置验证密码，输入的密码可以是明文或密文

说明：

输入的密码可以是明文或者密文，当不指定cipher password参数时，将采用交互方式输入明文密码，当指定cipher password参数时，既可以输入明文密码也可以输入密文密码，但都将以密文形式保存在配置文件中。

save #保存配置

设置Dell Networking N2000、N3000和N4000系列交换机的管理访问

设置管理IP地址

不使用串行连接时，要管理交换机，需要可访问的IP地址。要设置IP地址，请输入以下命令。
此示例使用VLAN 1、默认VLAN和IP 192.168.0.250 /24。

console>enable

console#configure

console(config)#interface vlan 1

console(config-if)#ip address 192.168.0.250 255.255.255.0

注：在N3000和N4000交换机上，有一个带外端口可用于管理交换机。
下面是同一示例，但使用带外(OOB)接口。

console(config)#interface out-of-band

console(config-if)#ip address 192.168.0.250 255.255.255.0

如果可用，建议使用OOB接口管理交换机。OOB接口独立于硅开关，
直接到达CPU。如果生产网络出现问题，仍可通过OOB接口访问交换机。

注：将OOB接口插入独立管理网络，不要将其插回到交换机上的入站端口。

使用VLAN管理网络时，建议创建独立VLAN专用于管理。
这会将管理流量与数据流量分离。这不仅有助于提高性能，也可提高一点安全性。
您可以通过任何可达VLAN IP地址管理交换机。

如果从外部网络管理交换机，则必须为交换机分配一个默认网关，用于访问其它网络。
以下命令使用192.168.0.1作为默认网关地址。

console(config)#ip default-gateway 192.168.0.1

设置交换机上的登录访问

要管理交换机，您需要用户名和密码。要通过telnet或SSH管理交换机，则有一个启用密码是最佳做法。输入以下命令以配置登录访问。这是一个用户名为Dell，密码为MYPASSWORD的示例。启用密码示例使用ENP@$$w0rd。这只是示例，您应使用更复杂、很难猜测的凭据来保护您的交换机安全。

console>enable

console#configure

console(config)#username Dell password MYPASSWORD privilege 15

console(config)#enable password ENP@$$w0rd

注：您可在交换机上设置多个用户，以及不同的访问级别/访问权限级别。0为无访问权限，1为只读，15为读写。

选择Telnet、HTTP、SSH或HTTPS用于管理

默认允许的管理协议为Telnet和HTTP。Telnet和SSH通过Putty或Terraterm等工具提供基于命令行的管理。
HTTP和HTTPS通过Web浏览器提供基于GUI的管理。可运行所有四个协议，也可一个协议都不运行。如果全部被禁用，则可用的最后一个管理是串行。

出于安全目的，建议关闭Telnet和HTTP，并启用SSH和/或HTTPS。Telnet和HTTP以纯文本形式传输数据包，
意味着如果某人捕获流量，他可以在管理时读取通过交换机推送的所有函数命令。SSH和HTTPS加密数据包，增强数据包安全。

要启用SSH和HTTPS，输入以下命令。SSH和HTTPS要求您生成DSA和RSA密钥。HTTPS要求您创建证书。

console(config)#crypto key generate dsa

console(config)#crypto key generate rsa

console(config)#ip ssh server

console(config)#crypto certificate 1 generate

console(config-crypto-cert)#key-generate

console(config-crypto-cert)#exit

console(config)#ip http secure-server

要禁用Telnet和HTTPS，输入以下命令。

在通过HTTPS、SSH或串行连接管理交换机时，需要运行这些设置，因为禁用此服务将断开交换机的连接。

console(config)#ip telnet server disable

console(config)#no ip http server

保存配置

对配置满意后，必须保存它，这样在交换机重新引导时，会保留其配置。输入以下命令保存配置。

console#wr

此操作可能需要几分钟时间。

管理接口将在这段时间内不可用。

是否确定要保存？(y/n) y

注：有关配置特定管理选项的更多详细信息，请参阅《用户配置指南》和《CLI参考指南》。

顶级域名后缀

.aaa .aarp .abarth .abb .abbott .abbvie .abc .able .abogado .abudhabi .ac .academy .accenture .accountant .accountants .aco .active .actor .ad .adac .ads .adult .ae .aeg .aero .aetna .af .afamilycompany .afl .africa .ag .agakhan .agency .ai .aig .aigo .airbus .airforce .airtel .akdn .al .alfaromeo .alibaba .alipay .allfinanz .allstate .ally .alsace .alstom .am .americanexpress .americanfamily .amex .amfam .amica .amsterdam .analytics .android .anquan .anz .ao .aol .apartments .app .apple .aq .aquarelle .ar .arab .aramco .archi .army .arpa .art .arte .as .asda .asia .associates .at .athleta .attorney .au .auction .audi .audible .audio .auspost .author .auto .autos .avianca .aw .aws .ax .axa .az .azure
B

.ba .baby .baidu .banamex .bananarepublic .band .bank .bar .barcelona .barclaycard .barclays .barefoot .bargains .baseball .basketball .bauhaus .bayern .bb .bbc .bbt .bbva .bcg .bcn .bd .be .beats .beauty .beer .bentley .berlin .best .bestbuy .bet .bf .bg .bh .bharti .bi .bible .bid .bike .bing .bingo .bio .biz .bj .black .blackfriday .blanco .blockbuster .blog .bloomberg .blue .bm .bms .bmw .bn .bnl .bnpparibas .bo .boats .boehringer .bofa .bom .bond .boo .book .booking .bosch .bostik .boston .bot .boutique .box .br .bradesco .bridgestone .broadway .broker .brother .brussels .bs .bt .budapest .bugatti .build .builders .business .buy .buzz .bv .bw .by .bz .bzh
C

.ca .cab .cafe .cal .call .calvinklein .cam .camera .camp .cancerresearch .canon .capetown .capital .capitalone .car .caravan .cards .care .career .careers .cars .cartier .casa .case .caseih .cash .casino .cat .catering .catholic .cba .cbn .cbre .cbs .cc .cd .ceb .center .ceo .cern .cf .cfa .cfd .cg .ch .chanel .channel .charity .chase .chat .cheap .chintai .christmas .chrome .chrysler .church .ci .cipriani .circle .cisco .citadel .citi .citic .city .cityeats .ck .cl .claims .cleaning .click .clinic .clinique .clothing .cloud .club .clubmed .cm .cn .co .coach .codes .coffee .college .cologne .com .comcast .commbank .community .company .compare .computer .comsec .condos .construction .consulting .contact .contractors .cooking .cookingchannel .cool .coop .corsica .country .coupon .coupons .courses .cr .credit .creditcard .creditunion .cricket .crown .crs .cruise .cruises .csc .cu .cuisinella .cv .cw .cx .cy .cymru .cyou .cz
D

.dabur .dad .dance .data .date .dating .datsun .day .dclk .dds .de .deal .dealer .deals .degree .delivery .dell .deloitte .delta .democrat .dental .dentist .desi .design .dev .dhl .diamonds .diet .digital .direct .directory .discount .discover .dish .diy .dj .dk .dm .dnp .do .docs .doctor .dodge .dog .doha .domains .dot .download .drive .dtv .dubai .duck .dunlop .duns .dupont .durban .dvag .dvr .dz
E

.earth .eat .ec .eco .edeka .edu .education .ee .eg .email .emerck .energy .engineer .engineering .enterprises .epost .epson .equipment .er .ericsson .erni .es .esq .estate .esurance .et .etisalat .eu .eurovision .eus .events .everbank .exchange .expert .exposed .express .extraspace
F

.fage .fail .fairwinds .faith .family .fan .fans .farm .farmers .fashion .fast .fedex .feedback .ferrari .ferrero .fi .fiat .fidelity .fido .film .final .finance .financial .fire .firestone .firmdale .fish .fishing .fit .fitness .fj .fk .flickr .flights .flir .florist .flowers .fly .fm .fo .foo .food .foodnetwork .football .ford .forex .forsale .forum .foundation .fox .fr .free .fresenius .frl .frogans .frontdoor .frontier .ftr .fujitsu .fujixerox .fun .fund .furniture .futbol .fyi
G

.ga .gal .gallery .gallo .gallup .game .games .gap .garden .gb .gbiz .gd .gdn .ge .gea .gent .genting .george .gf .gg .ggee .gh .gi .gift .gifts .gives .giving .gl .glade .glass .gle .global .globo .gm .gmail .gmbh .gmo .gmx .gn .godaddy .gold .goldpoint .golf .goo .goodhands .goodyear .goog .google .gop .got .gov .gp .gq .gr .grainger .graphics .gratis .green .gripe .grocery .group .gs .gt .gu .guardian .gucci .guge .guide .guitars .guru .gw .gy
H

.hair .hamburg .hangout .haus .hbo .hdfc .hdfcbank .health .healthcare .help .helsinki .here .hermes .hgtv .hiphop .hisamitsu .hitachi .hiv .hk .hkt .hm .hn .hockey .holdings .holiday .homedepot .homegoods .homes .homesense .honda .honeywell .horse .hospital .host .hosting .hot .hoteles .hotels .hotmail .house .how .hr .hsbc .ht .hu .hughes .hyatt .hyundai
I

.ibm .icbc .ice .icu .id .ie .ieee .ifm .ikano .il .im .imamat .imdb .immo .immobilien .in .inc .industries .infiniti .info .ing .ink .institute .insurance .insure .int .intel .international .intuit .investments .io .ipiranga .iq .ir .irish .is .iselect .ismaili .ist .istanbul .it .itau .itv .iveco
J

.jaguar .java .jcb .jcp .je .jeep .jetzt .jewelry .jio .jlc .jll .jm .jmp .jnj .jo .jobs .joburg .jot .joy .jp .jpmorgan .jprs .juegos .juniper
K

.kaufen .kddi .ke .kerryhotels .kerrylogistics .kerryproperties .kfh .kg .kh .ki .kia .kim .kinder .kindle .kitchen .kiwi .km .kn .koeln .komatsu .kosher .kp .kpmg .kpn .kr .krd .kred .kuokgroup .kw .ky .kyoto .kz
L

.la .lacaixa .ladbrokes .lamborghini .lamer .lancaster .lancia .lancome .land .landrover .lanxess .lasalle .lat .latino .latrobe .law .lawyer .lb .lc .lds .lease .leclerc .lefrak .legal .lego .lexus .lgbt .li .liaison .lidl .life .lifeinsurance .lifestyle .lighting .like .lilly .limited .limo .lincoln .linde .link .lipsy .live .living .lixil .lk .llc .loan .loans .locker .locus .loft .lol .london .lotte .lotto .love .lpl .lplfinancial .lr .ls .lt .ltd .ltda .lu .lundbeck .lupin .luxe .luxury .lv .ly
M

.ma .macys .madrid .maif .maison .makeup .man .management .mango .map .market .marketing .markets .marriott .marshalls .maserati .mattel .mba .mc .mckinsey .md .me .med .media .meet .melbourne .meme .memorial .men .menu .merckmsd .metlife .mg .mh .miami .microsoft .mil .mini .mint .mit .mitsubishi .mk .ml .mlb .mls .mm .mma .mn .mo .mobi .mobile .mobily .moda .moe .moi .mom .monash .money .monster .mopar .mormon .mortgage .moscow .moto .motorcycles .mov .movie .movistar .mp .mq .mr .ms .msd .mt .mtn .mtr .mu .museum .mutual .mv .mw .mx .my .mz
N

.na .nab .nadex .nagoya .name .nationwide .natura .navy .nba .nc .ne .nec .net .netbank .netflix .network .neustar .new .newholland .news .next .nextdirect .nexus .nf .nfl .ng .ngo .nhk .ni .nico .nike .nikon .ninja .nissan .nissay .nl .no .nokia .northwesternmutual .norton .now .nowruz .nowtv .np .nr .nra .nrw .ntt .nu .nyc .nz
O

.obi .observer .off .office .okinawa .olayan .olayangroup .oldnavy .ollo .om .omega .one .ong .onl .online .onyourside .ooo .open .oracle .orange .org .organic .origins .osaka .otsuka .ott .ovh
P

.pa .page .panasonic .panerai .paris .pars .partners .parts .party .passagens .pay .pccw .pe .pet .pf .pfizer .pg .ph .pharmacy .phd .philips .phone .photo .photography .photos .physio .piaget .pics .pictet .pictures .pid .pin .ping .pink .pioneer .pizza .pk .pl .place .play .playstation .plumbing .plus .pm .pn .pnc .pohl .poker .politie .porn .post .pr .pramerica .praxi .press .prime .pro .prod .productions .prof .progressive .promo .properties .property .protection .pru .prudential .ps .pt .pub .pw .pwc .py
Q

.qa .qpon .quebec .quest .qvc
R

.racing .radio .raid .re .read .realestate .realtor .realty .recipes .red .redstone .redumbrella .rehab .reise .reisen .reit .reliance .ren .rent .rentals .repair .report .republican .rest .restaurant .review .reviews .rexroth .rich .richardli .ricoh .rightathome .ril .rio .rip .rmit .ro .rocher .rocks .rodeo .rogers .room .rs .rsvp .ru .rugby .ruhr .run .rw .rwe .ryukyu
S

.sa .saarland .safe .safety .sakura .sale .salon .samsclub .samsung .sandvik .sandvikcoromant .sanofi .sap .sarl .sas .save .saxo .sb .sbi .sbs .sc .sca .scb .schaeffler .schmidt .scholarships .school .schule .schwarz .science .scjohnson .scor .scot .sd .se .search .seat .secure .security .seek .select .sener .services .ses .seven .sew .sex .sexy .sfr .sg .sh .shangrila .sharp .shaw .shell .shia .shiksha .shoes .shop .shopping .shouji .show .showtime .shriram .si .silk .sina .singles .site .sj .sk .ski .skin .sky .skype .sl .sling .sm .smart .smile .sn .sncf .so .soccer .social .softbank .software .sohu .solar .solutions .song .sony .soy .space .spiegel .sport .spot .spreadbetting .sr .srl .srt .st .stada .staples .star .starhub .statebank .statefarm .statoil .stc .stcgroup .stockholm .storage .store .stream .studio .study .style .su .sucks .supplies .supply .support .surf .surgery .suzuki .sv .swatch .swiftcover .swiss .sx .sy .sydney .symantec .systems .sz
T

.tab .taipei .talk .taobao .target .tatamotors .tatar .tattoo .tax .taxi .tc .tci .td .tdk .team .tech .technology .tel .telecity .telefonica .temasek .tennis .teva .tf .tg .th .thd .theater .theatre .tiaa .tickets .tienda .tiffany .tips .tires .tirol .tj .tjmaxx .tjx .tk .tkmaxx .tl .tm .tmall .tn .to .today .tokyo .tools .top .toray .toshiba .total .tours .town .toyota .toys .tr .trade .trading .training .travel .travelchannel .travelers .travelersinsurance .trust .trv .tt .tube .tui .tunes .tushu .tv .tvs .tw .tz
U

.ua .ubank .ubs .uconnect .ug .uk .unicom .university .uno .uol .ups .us .uy .uz
V

.va .vacations .vana .vanguard .vc .ve .vegas .ventures .verisign .versicherung .vet .vg .vi .viajes .video .vig .viking .villas .vin .vip .virgin .visa .vision .vista .vistaprint .viva .vivo .vlaanderen .vn .vodka .volkswagen .volvo .vote .voting .voto .voyage .vu .vuelos
W

.wales .walmart .walter .wang .wanggou .warman .watch .watches .weather .weatherchannel .webcam .weber .website .wed .wedding .weibo .weir .wf .whoswho .wien .wiki .williamhill .win .windows .wine .winners .wme .wolterskluwer .woodside .work .works .world .wow .ws .wtc .wtf
X

.xbox .xerox .xfinity .xihuan .xin .xxx .xyz
Y

.yachts .yahoo .yamaxun .yandex .ye .yodobashi .yoga .yokohama .you .youtube .yt .yun
Z

.za .zappos .zara .zero .zip .zippo .zm .zone .zuerich .zw
IDN

.कॉम .セール .佛山 .ಭಾರತ .慈善 .集团 .在线 .한국 .ଭାରତ .大众汽车 .点看 .คอม .ভাৰত .ভারত .八卦 .موقع .বাংলা .公益 .公司 .香格里拉 .网站 .移动 .我爱你 .москва .қаз .католик .онлайн .сайт .联通 .срб .бг .бел .קום .时尚 .微博 .淡马锡 .ファッション .орг .नेट .ストア .삼성 .சிங்கப்பூர் .商标 .商店 .商城 .дети .мкд .ею .ポイント .新闻 .工行 .家電 .كوم .中文网 .中信 .中国 .中國 .娱乐 .谷歌 .భారత్ .ලංකා .電訊盈科 .购物 .クラウド .ભારત .通販 .भारतम् .भारत .भारोत .网店 .संगठन .餐厅 .网络 .ком .укр .香港 .诺基亚 .食品 .飞利浦 .台湾 .台灣 .手表 .手机 .мон .الجزائر .عمان .ارامكو .ایران .العليان .اتصالات .امارات .بازار .پاکستان .الاردن .موبايلي .بارت .بھارت .المغرب .ابوظبي .السعودية .ڀارت .كاثوليك .سودان .همراه .عراق .مليسيا .澳門 .닷컴 .政府 .شبكة .بيتك .عرب .გე .机构 .组织机构 .健康 .ไทย .سورية .招聘 .рус .рф .珠宝 .تونس .大拿 .みんな .グーグル .ελ .世界 .書籍 .ഭാരതം .ਭਾਰਤ .网址 .닷넷 .コム .天主教 .游戏 .vermögensberater .vermögensberatung .企业 .信息 .嘉里大酒店 .嘉里 .مصر .قطر .广东 .இலங்கை .இந்தியா .հայ .新加坡 .فلسطين .政务

linux系统tcpdump丢包问题解决方法

在一台suse linux上使用tcpdump命令抓包，出现“packets dropped by kernel”，一般造成这种丢包的原因是libcap抓到包后，tcpdump上层没有及时取出，导致libcap缓冲区溢出，从而覆盖了未处理包，显示为dropped by kernel，这里的kernel并不是说是被linux内核抛弃的，而是被tcpdump的内核，即libcap抛弃掉。
解决方法：

根据以上分析，可以通过改善tcpdump上层的处理效率来减少丢包率，下面的几步根据需要选用，每一步都能减少一定的丢包率。

1.最小化抓取过滤范围，即通过指定网卡，端口，包流向，包大小减少包数量

2. 添加-n参数，禁止反向域名解析
tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt >a.pack
大多数情况这样就可以解决
可以通过改善tcpdump上层的处理效率来减少丢包率

3. 将数据包输出到cap文件
tcpdump -i eth0 dst port 1234 and udp -s 2048 -n -X -tt -w a.cap

4. 用sysctl修改SO_REVBUF参数，增加libcap缓冲区长度

华为AR1200-S/AR1200设备web页面配置步骤

配置步骤：

system-view

[HUAWEI]http server enable(开启http服务)

[HUAWEI]interface vlanif 1

[HUAWEI-Vlanif1]ip add 192.168.1.1 255.255.255.0 （配置IP地址）

[HUAWEI-Vlanif1]quit

[HUAWEI]aaa

[HUAWEI-aaa]local-user huawei password cipher huawei@123（配置用户名huawei和密码huawei@123）

[HUAWEI-aaa]local-user huawei privilege level 15（配置用户名权限）

[HUAWEI-aaa]local-user huawei service-type http（配置用户名服务类型）

[HUAWEI-aaa]quit

[HUAWEI]quit

save

rp_filter及Linux下多网卡接收多播的问题

有一台双网卡的机器，上面装有Fedora8，运行一个程序。该程序分别在两个网口上都接收多播数据，程序运行是正常的。但是，后来升级系统到Fedora13，发现就出问题了：在运行几秒钟后，第2个网口上就接收不到多播数据了。

能不能收到多播，取决于交换机是不是往这个网口上转发多播数据。程序在起动的时候，会发一个IGMP的AddMembership的消息，交换机将把这个网口加入多播组。当在其他网口上收到该地址的多播包后，会转至这个网口。其后，为了确认该接收者一直在线，交换机会发送一个IGMPQuery消息，接收者反馈一个IGMP Report消息，以确认自己的存在。如果交换机没有收到IGMPReport，则认为该接收者已经断线，就不再往该网口上转发多播包了。

用抓包工具定位了一下，发现程序在启动时确实发了AddMembership消息，这是正常的。在接收下来的5秒时间内，程序能够收到多播数据。接着，交换机发来了一条IGMPQuery，问题来了，这个Fedora13系统却没有反馈Report。这是很奇怪的。按理说，IGMP属于系统自动完成的协议，无需用户干预；那么按照预期，Linux会自动反馈IGMPReport的。事实上，Feodra8和WinXP系统就是这么做的，都很正常。为什么到了Fedora13反而不正常了呢？

在调查“为什么不反馈IGMPReport”的事情上，花了一周时间都没有进展，后来发现其实不至Fedora13，其他的主流linux如Ubuntu10,SUSE14也存在同样的问题。

查了众多论坛都没有一点提示信息。后来，终于在一个英文网站上扫到了一个信息:rp_filter。后来证明，这个关键词是解决问题的关键。reverse-pathfiltering，反向过滤技术，系统在接收到一个IP包后，检查该IP是不是合乎要求，不合要求的IP包会被系统丢弃。该技术就称为rpfilter。怎么样的包才算不合要求呢？例如，用户在A网口上收到一个IP包，检查其IP为B。然后考查：对于B这个IP，在发送时应该用哪个网口，“如果在不应该接收到该包的网口上接收到该IP包，则认为该IP包是hacker行为”。

例如：

A: 192.168.8.100

B: (IGMP Query) 10.0.0.1 来自路由器

查找路由表

网卡1为默认路由: 172.17.5.100 172.17.5.1

网卡2 192.168.8.100 192.168.8.1

系统根据路由表，认为10.0.0.1这个IP应该在第一个网卡172.17.5.100上收到，现实的情况是在第二张网卡192.168.8.100上收到了。认为这是不合理的，丢弃该包。致命的问题的，该包是来自路由器的IGMPQuery包。

The rp_filter can reject incoming packets if their sourceaddress doesn’t match the network interface that they’re arrivingon, which helps to prevent IP spoofing. Turning this on, however,has its consequences: If your host has several IP addresses ondifferent interfaces, or if your single interface has multiple IPaddresses on it, you’ll find that your kernel may end up rejectingvalid traffic. It’s also important to note that even if you do notenable the rp_filter, protection against broadcast spoofing isalways on. Also, the protection it provides is only against spoofedinternal addresses; external addresses can still be spoofed.. Bydefault, it is disabled.

解决方法：

系统配置文件
1. /etc/sysctl.conf
把 net.ipv4.conf.all.rp_filter和net.ipv4.conf.default.rp_filter设为0即可
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0
系统启动后，会自动加载这个配置文件，内核会使用这个变量

2. 命令行
显示一个内核变量 sysctl net.ipv4.conf.all.rp_filter
设置一个内核变量 sysctl -w net.ipv4.conf.all.rp_filter=0
设置完后，会更新内核（实时的内存）中的变量的值，但不会修改sysctl.conf的值

3. 使用/proc文件系统
查看 cat /proc/sys/net/ipv4/conf/all/rp_filter
设置 echo “0”>/proc/sys/net/ipv4/conf/all/rp_filter

sysctl.conf文件参数rp_filter

系统：Centos6

影响：

路径：/etc/sysctl.conf

rp_filter – INTEGER 0 – No source validation.
1 – Strict mode as defined in RFC3704 Strict Reverse Path Each incoming packet is tested against the FIB and if theinterface is not the best reverse path the packet check will fail.By default failed packets are discarded.
2 – Loose mode as defined in RFC3704 Loose Reverse Path Each incoming packet’s source address is also tested against theFIB and if the source address is not reachable via any interface the packet check will fail.Current recommended practice in RFC3704 is to enable strictmode to prevent IP spoofing from DDos attacks. If using asymmetricrouting or other complicated routing, then loose mode is recommended.

The max value from conf/{all,interface}/rp_filter is used when doing source validation on the {interface}.

Default value is 0. Note that some distributions enable it in startup scripts.
—–

Red Hat are (correctly) setting rp_filter to 1, strictmode. In this case a packet coming in eth0 willhave its source address routed out on the same interface that itcame in on (because that’s the default route). However, a packet coming in on eth1 will have it source addressrouted out on a different interface to the one it came in on and itwill be discarded. Silently.

This is basically asymmetric routing and is quite possibly not whatyou want anyway (it messes up TCP flow control) so there are twoways to fix this: stick with asymmetric routing and permit it orfix the asymmetric routing.

The first one is easiest: in /etc/sysctl.conf change rp_filter=1 torp_filter=2). You’ll need to load that andrestart the network. It’s probably easiest toreboot 🙂 to be sure. I suspect that it was notrestarting enough things that prevented this change from workingbefore.

The second one may be simple as simple as adding those routes thatshould go out on eth1 to the routing table or running some routingdaemon. It depends on your network topology,basically. This would be the preferred solutionif it’s practicable.

reverse-pathfiltering，反向过滤技术，系统在接收到一个IP包后，检查该IP是不是合乎要求，不合要求的IP包会被系统丢弃。该技术就称为rpfilter。怎么样的包才算不合要求呢？例如，用户在A网口上收到一个IP包，检查其IP为B。然后考查：对于B这个IP，在发送时应该用哪个网口，“如果在不应该接收到该包的网口上接收到该IP包，则认为该IP包是hacker行为”。

解决方法：

系统配置文件
1. /etc/sysctl.conf
把 net.ipv4.conf.all.rp_filter和net.ipv4.conf.default.rp_filter设为0即可
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.all.rp_filter = 0

net.ipv4.conf.eth0.rp_filter = 0
net.ipv4.conf.eth1.rp_filter = 0

net.ipv4.conf.lo.rp_filter = 0

系统启动后，会自动加载这个配置文件，内核会使用这个变量

3. 使用/proc文件系统
查看 cat /proc/sys/net/ipv4/conf/all/rp_filter
设置 echo “0”>/proc/sys/net/ipv4/conf/all/rp_filter

sysctl常用命令

sysctl -a 查看所有参数

sysctl -p 加载配置文件

sysctl对Linux内核/网络的设置说明

通过/etc/sysctl.conf控制和配置Linux内核及网络设置。

#忽略icmp ping广播包，应开启，避免放大攻击
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 开启恶意icmp错误消息保护
net.ipv4.icmp_ignore_bogus_error_responses = 1

# 开启SYN洪水攻击保护，表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭
net.ipv4.tcp_syncookies = 1

# 开启并记录欺骗，源路由和重定向包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

# 处理无源路由的包
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# reverse-pathfiltering 反向路径过滤，系统收到一个ip包后，会反查该ip包的ip是否与它们到达的网络接口匹配，若不匹配则丢弃。是防ip包欺骗策略。

# The rp_filter can reject incoming packets if their sourceaddress doesn’t match the network interface that they’re arrivingon, which helps to prevent IP spoofing. Turning this on, however,has its consequences: If your host has several IP addresses ondifferent interfaces, or if your single interface has multiple IPaddresses on it, you’ll find that your kernel may end up rejectingvalid traffic. It’s also important to note that even if you do notenable the rp_filter, protection against broadcast spoofing isalways on. Also, the protection it provides is only against spoofedinternal addresses; external addresses can still be spoofed.. Bydefault, it is disabled.
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

#关闭重定向。如果主机所在的网络有多个路由器，你将其中一个设为缺省网关，但该网关在收到你的ip包时，发现该ip包必须经过另外一个路由器，于是该网关就給你的主机发一个“重定向”的icmp包，告诉主机把包转发到另外一个路由器。1表示主机接受这样的重定向包，0表示忽略；linux默认是1，可以设位0以消除隐患。
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

#禁止数据包转发，不做路由器功能。所谓转发即当主机拥有多网卡时，其中一块收到数据包，根据数据包的目的ip地址将包发往本机另一网卡，该网卡根据路由表继续发送数据包。这通常就是路由器所要实现的功能。

#对比网关：内网主机向公网发送数据包时，由于目的主机跟源主机不在同一网段，所以数据包暂时发往内网默认网关处理，而本网段的主机对此数据包不做任何回应。由于源主机ip是私有的，禁止在公网使用，所以必须将数据包的源发送地址修改成公网上的可用ip，这就是网关收到数据包之后首先要做的工作–ip转换。然后网关再把数据包发往目的主机。目的主机收到数据包之后，只认为这是网关发送的请求，并不知道内网主机的存在，也没必要知道，目的主机处理完请求，把回应信息发还给网关。网关收到后，将目的主机发还的数据包的目的ip地址修改为发出请求的内网主机的ip地址，并将其发给内网主机。这就是网关的第二个工作–数据包的路由转发。内网的主机只要查看数据包的目的ip与发送请求的源主机ip地址相同，就会回应，这就完成了一次请求。 net.ipv4.ip_forward = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 开启execshield，execshield 主要用于随机化堆栈地址，避免被exploit 程序修改恶意地址，而导致执行攻击程序。
kernel.exec-shield = 1
kernel.randomize_va_space = 1

# IPv6设置
net.ipv6.conf.default.router_solicitations = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 0
net.ipv6.conf.default.accept_ra_pinfo = 0
net.ipv6.conf.default.accept_ra_defrtr = 0
net.ipv6.conf.default.autoconf = 0
net.ipv6.conf.default.dad_transmits = 0
net.ipv6.conf.default.max_addresses = 1

# 增加系统文件描述符限制
fs.file-max = 65535

# 允许更多的PIDs (减少滚动翻转问题);
may break some programs 32768
kernel.pid_max = 65536

# 增加系统IP端口限制 n
et.ipv4.ip_local_port_range = 2000 65000

# 增加TCP最大缓冲区大小
net.ipv4.tcp_rmem = 4096 87380 8388608
net.ipv4.tcp_wmem = 4096 87380 8388608

# 增加Linux自动调整TCP缓冲区限制

# 最小，默认和最大可使用的字节数

# 最大值不低于4MB，如果你使用非常高的BDP路径可以设置得更高

# Tcp窗口等
net.core.rmem_max = 8388608
net.core.wmem_max = 8388608
net.core.netdev_max_backlog = 5000
net.ipv4.tcp_window_scaling = 1