华为产品,包含H3C产品线。
无
配置用户过滤
(&(&(|(objectclass=person)(objectclass=organizationalPerson))(cn=*)(!(objectclass=computer)))(memberOf=CN=sslvpn,DC=corem,DC=local))
USG2100console口密码忘记如何处理
无
方法一:
进入BootROM菜单清空Console口密码,然后登录Console口设置新的密码。
1. 执行命令reboot,重新启动设备。
注意: 重启设备将中断业务,注意做好准备。
在配置终端屏幕上可以看到设备启动过程的信息。
2. 出现“Press Ctrl+B to Enter Boot Menu...”打印信息时,请在5秒钟内按下“Ctrl+B”,输入BootROM密码“O&m15213”进入BootROM主系统菜单。
若连续三次输入错误密码,系统将重新启动。按下Ctrl+Z进入隐藏菜单,输入“Recover Console Password”对应的序号清空密码。
说明: 如果遇到特使情况没有“Recover Console Password”,请转到方法2进行操作。
3. 输入“Exit”对应的序号,回到BootROM主系统菜单。
4. 输入“Reboot”对应的序号,重启系统。
注意:
重新进入系统后,请马上设置Console口密码,否则登录超时或重启后仍然需要通过用户验证才能进入系统。
5. 进入系统后执行如下命令,配置用户名admin的密码为Admin@123。
<sysname> system-view
[sysname] user-interface console 0
[sysname-ui-console0] authentication-mode local user admin password cipher Admin@123
[sysname-ui-console0] return
执行命令save,保存配置,后续使用新的用户名和密码通过Console口登录系统。
方法二:
如果执行到方法一,也就是进入隐藏菜单后发现没有“Recover Console Password”,可以采用重命名当前使用的配置文件,使设备以出厂缺省配置启动的方式恢复密码。
1. 在隐藏菜单中输入“Rename File”对应的序号,重命名设备正在使用的配置文件。如下:
Please input the file name you want to rename:vrpcfg.zip
Please input the target file name:vrpcfg1.zip
Rename <vrpcfg.zip> to <vrpcfg1.zip> ...Done
说明:
可以选择“Display Flash Files ”对应的序号,查看当前系统中存在的文件以确认配置文件的名称。
2. 输入“Exit”对应的序号,回到BootROM主系统菜单。
3. 输入“Reboot”对应的序号,重启系统。因为找不到启动需要使用的配置文件,系统将以出厂缺省配置启动。
4. 以系统默认用户名和密码(admin/Admin@123)登录系统。
5. 查看设备当前配置中关于Console密码配置的部分,记录这段信息到本地记事本。
6. <sysname> display current-configuration | include admin password
local-user admin password cipher “]MQ;4\]B+4Z,YWX*NZ55OA!!”
其中“]MQ;4\]B+4Z,YWX*NZ55OA!!”是缺省密码Admin@123对应的密文形式。
7. 通过修改配置文件的方式修改Console口密码,然后再重新使用原来的配置文件启动设备:
a.使用FTP将在隐藏菜单中重命名过的配置文件下载到本地,用记事本打开,找到设置Console密码的位置(*.zip需要解压后再打开)。
b.如果设置的是密文形式(cipher),将密码修改为“]MQ;4\]B+4Z,YWX*NZ55OA!!”也就是Admin@123。然后保存配置文件。如果设置的是明文形式(simple),直接即可看到原来的密码。
c. 将配置文件重命名为进行密码恢复操作之前的文件名称“vrpcfg.zip”(*.zip是压缩后的名字)。
d. 使用FTP上传修改后的配置文件到设备。
e. 在用户视图下执行命令delete,删除设备上被重命名过的配置文件:
Delete flash:/vrpcfg1.zip?[Y/N]:y
%Deleting file flash:/vrpcfg1.zip.......Done!
f. 执行命令reboot,重新启动设备,启动后以新设置的密码登录。
此时启动配置文件已经恢复为进行密码恢复操作之前的配置文件,只是对密码进行了修改。
方法三:
如果执行到方法3,也就是进入菜单后发现没有“Rename File”菜单,请选择Reset Default Config(USG2100系列) 或者Reset Factory Configuration (其它系列)采用以出厂缺省配置启动的方式恢复密码。
说明:
1.进入bootrom主菜单,选择Reset Default Config (选择此项,设备将恢复出厂配置,原始的配置文件依然保存在设备的CF卡上。)
2.输入“Reboot”对应的序号,重启系统。
因为找不到启动需要使用的配置文件,系统将以出厂缺省配置启动。
3.以系统默认用户名和密码(admin/Admin@123)登录系统。
4.如果需要之前的配置,可以导出设备之前配置文件到本地,用记事本打开,修改密码后,再重新上传到USG上,并指定下次启动配置文件,设置完成后重启设备即可。
导出方法如下:在系统----维护-----配置管理---选择下次启动配置文件---选择
无
客户原来使用1条电信ADSL上网,由于带宽不够,另外增加一条电信的ADSL。客户使用一条ADSL链路时, 上网、IPSecVPN都正常。但是同时使用两条线路时,IPSecVPN隧道建立不起来,用户上网相当的慢,丢包现象严重。
无
1使用一条ADSL链路,测试上网、IPSec均正常,表明每一条链路的网络基础配置正确,IPSec配置正确。
2、查看默认路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1
ip route-static 0.0.0.0 0.0.0.0 Dialer2
考虑到由于属于同一运营商,两条等价默认路由会造成数据来回路径不一致的问题,修改为
ip route-static 0.0.0.0 0.0.0.0 Dialer1
ip route-static 0.0.0.0 0.0.0.0 Dialer2 preference 65
连接两条ADSL链路,网络稳定情况好转。
原NAT策略:
acl number 3001
description nat_dia1
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //拒绝IPSec流量
rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 3 permit ip source 192.168.1.0 0.0.0.255
acl number 3002
description nat_dia2
rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 //拒绝IPSec流量
rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
rule 3 permit ip source 192.168.2.0 0.0.0.255
firewall interzone trust untrust
nat outbound 3001 interface Dialer1
firewall interzone trust untrust10
nat outbound 3002 interface Dialer2
该NAT策略使192.168.1.0网段通过Dialer1做地址转换上网,使192.168.2.0网段通过Dialer2做地址转换上网。但是如果一根线断了,就会有一个网段的用户上不了网。为了实现链路冗余互为备份,修改用于NAT的ACL为:
acl number 3001
description nat_dia1
rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //对ipsec流量不做地址转换
rule 3 permit ip source 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.2.0 0.0.0.255 //允许两个网段通过,实现链路冗余
acl number 3002
description nat_dia2
rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //对ipsec流量不做地址转换
rule 3 permit ip source 192.168.1.0 0.0.0.255
rule 4 permit ip source 192.168.2.0 0.0.0.255 //允许两个网段通过,实现链路冗余
4、查看策略路由和配置,修改策略路由,并强制IPSec流量仅走Dialer2。
原配置:
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255
route-policy 123 permit node 5
if-match acl 3003
apply output-interface Dialer2
该策略路由强行1网段走Dilar 2,但不排除2网段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255
route-policy 123 permit node 5
if-match acl 3003
apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
apply output-interface Dialer1
5、修改security ACL 3000,并使两端成镜像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
6、测试两网段用户上网,正常;测试两网段用户访问VPN,正常。
interface Dialer1
ipsec policy map1
interface Dialer2
ipsec policy map1
设备因故重新启动后,原本安装的补丁出现丢失导致设备补丁失效。经过查看补丁安装过程,操作人员仅仅Install安装完补丁文件,没有使用Install commit 命令确保下一次启动时激活补丁导致。
采用Install Commit确保下一次启动时激活补丁包的主要原因有两个。
第一,Comware V7软件平台的文件包管理与Comware V5不同,在Linux下补丁是类似于WINDOWS的系统包,不再使用Comware的函数替换管理方式,因此文件包的安装后,需要Commit进行包配置刷新,这种方式比较类似我们修改配置后Save配置文件。
第二,如果直接自动Commit,假如补丁文件有错导致系统就崩溃,补丁安装后系统会进入安装补丁--异常重启--补丁自动安装--自动重启这样死循环,这样本地只能通过Bootrom菜单删除补丁包,远程则无手段卸载这个错误补丁。
基于以上的两个原因,Comware V7平台打补丁需要执行Install Commit命令进行整机包信息的同步确认,确保下一次启动时补丁包能自动激活。因此正常的补丁安装流程为:
第一步,安装补丁文件,激活补丁文件,此步完成后补丁在当前设备生效
<H3C>install activate patch flash:/补丁文件 slot 主用引擎槽位号
<H3C>install activate patch flash:/补丁文件 slot 备用引擎槽位号
第二步,刷新补丁文件包信息,确保补丁在设备下次重启后继续生效
<H3C>install commit
具体补丁安装过程,请参考对应的补丁版本说明书中升级指导章节,补丁安装前务必阅读随补丁发布的补丁说明书。
Comware V5及之前的平台产品上,补丁程序是直接对原始程序的修订,并非应用软件的包,因此无“install commit”命令。
补丁安装完毕后,使用display install committed 命令查看设备补丁的commited信息:
<H3C>display install committed
Committed packages on slot 16:
flash:/S12500F-cmw710-boot-e1002p05.bin
flash:/S12500F-cmw710-system-e1002p05.bin
flash:/S12500F-CMW710-SYSTEM-E1002P05H02.bin---下一次启动时该补丁软件包动运行。
Committed packages on slot 17:
flash:/S12500F-cmw710-boot-e1002p05.bin
flash:/S12500F-cmw710-system-e1002p05.bin
flash:/S12500F-CMW710-SYSTEM-E1002P05H02.bin---下一次启动时该补丁软件自动运行。
如果没有上述红色对应补丁部分的信息,则说明补丁没有进行install commit配置,下次重启设备后,补丁将不自动运行。
无
更改SSH端口的方法举例如下:
华为设备(USG系列为例):
|
firewall blacklist enable |
思科设备(Cisco3900系列为例);
|
ip ssh port 9022 rotary 1 |
Juniper(SSG系列为例):
|
set admin ssh port 10022 |
Linux(Centos为例);
|
vi /etc/ssh/sshd_config |
更多介绍详细查看产品手册!
根据华为原厂采购SFP模块的型号,我们列出推荐的SFP模块型号分别如下:
| 类型 | 品牌 | 型号 | 传输距离 | 中心波长 | 发送光功率 | 接收灵敏度 | 光接头类型 |
| 多模 | Finisar | FTLF8519P2BNL-HW | 0.5Km | 850nm | -9.5dBm~-2.5dBm | -17.0dBm | LC |
| 单模 | 新飞通 | PT7320-51-1W-KHW | 10Km | 1310nm | -9.0dBm~-3.0dBm | -20.0dBm | LC |
| 华工正源 | MXPD-243S | 10Km | 1310nm | -9.0dBm~-3.0dBm | -20.0dBm | LC | |
| WTD | RTXM191-400 | 10Km | 1310nm | -9.0dBm~-3.0dBm | -20.0dBm | LC | |
| WTD | RTXM191-450 | 40km | 1310nm | -5.0dBm~0dBm | -23.0dBm | LC | |
| 新飞通 | PT7420-51-EW | 40km | 1310nm | -5.0dBm~0dBm | -23.0dBm | LC | |
| WTD | RTXM191-502 | 80km | 1550nm | -2.0dBm~5.0dBm | -23.0dBm | LC | |
| 新飞通 | PT7620-51-3W | 80km | 1550nm | -2.0dBm~5.0dBm | -23.0dBm | LC | |
| Finisar | FTLF1619P1BCL | 100km | 1550nm | 0dBm~5.0dBm | -30.0dBm | LC |
