技術知識庫

FAQ-華為交換機交換機默認的bootrom密碼是什么

root — Wed, 26 Sep 2012 11:17:46 +0000

FAQ-華為交換機交換機默認的bootrom密碼是什么 root 周三, 09/26/2012 - 19:17

故障描述

　　無

故障分析

　　無

處理過程

　　交換機系統啟動bootrom時，在2秒內按下“CTRL＋B”，此處需要輸入密碼才能進入BOOTROM菜單。默認密碼如下： 1. S9300 V100R006及其之前的版本：9300 2. S7700 V100R006及其之前的版本：huawei 3. 盒式交換機V100R006(V100R006C03除外)及其之前的版本：huawei 4. 全系列以太網交換機V200R001、V100R006C03版本：Admin@huawei.com

建議/總結

　　無

華為交換機端口批量配置的方法-適用于V200R003

root — Mon, 08 Jul 2013 08:10:13 +0000

華為交換機端口批量配置的方法-適用于V200R003 root 周一, 07/08/2013 - 16:10

故障描述

　　無

故障分析

　　無

處理過程

　　通常，設備的以太網接口數比較多，并且在很多以太網接口下有相同的配置。如果對這些以太網接口進行逐個配置會較為繁瑣，且容易輸入錯誤。因此，將需要執行相同配置命令的以太網接口加入到一個臨時端口組，在臨時端口組配置命令時，系統會自動到臨時端口組綁定的所有成員接口下執行這些命令行，完成以太網接口批量配置。

interface range命令和port-group group-member命令的功能完全相同，用戶可以根據習慣選擇其中1條命令進行配置
退出臨時端口組后，該臨時端口組被系統自動刪除。
該命令的功能與永久端口組視圖下的group-member命令功能相同，即也可以通過group-member命令將多個接口加入到永久端口組中后，完成接口批量配置的功能。
執行該命令時，使用to關鍵字需要注意以下幾點：
- to關鍵字前后的兩個接口必須在同一個接口板上。當有多個接口板的連續接口需要加入時，建議分多次執行該命令或使用多次to關鍵字。
- to關鍵字前后的兩個接口需要表示相同的接口類型，比如同是Ethernet接口。
- to關鍵字前后的兩個接口必須是具有同一屬性的接口，比如同是主接口或同是子接口。如果是子接口，to關鍵字前后的兩個子接口必須是同一個主接口的子接口。
- 如果不使用to關鍵字則沒有以上限制。

使用實例

# 配置接口GE0/0/1、0/0/2、0/0/3加入到臨時端口組中。

 system-view
[HUAWEI] interface range gigabitethernet 0/0/1 to gigabitethernet 0/0/3

建議/總結

　　無

FAQ-華為交換機配置BPDU保護后，關閉端口如何自動恢復

root — Wed, 26 Sep 2012 00:18:32 +0000

FAQ-華為交換機配置BPDU保護后，關閉端口如何自動恢復 root 周三, 09/26/2012 - 08:18

故障描述

　　在運行STP協議的網絡中，邊緣接口配置BPDU保護功能后，如果有人偽造BPDU報文惡意攻擊交換設備，交換設備會在邊緣接口接收到BPDU報文時將邊緣端口狀態變為Down，從而阻塞該接口上的所有業務。被Shutdown的端口需要手動undo shutdown 才能使用。能不能配置自動恢復

故障分析

　　無

處理過程

　　華為V100R006C01版本后（早期版本可能不支持）可以使用下面命令來實現自動恢復：全局模式下配置： error-down auto-recovery cause bpdu-protection interval 50 # 在運行STP協議的網絡中邊緣接口使能BPDU保護功能后，配置接口狀態自動恢復為Up的時間是50秒。

建議/總結

　　自V100R006C01版本啟，我司開局版本默認開啟STP，并啟用STP 邊界保護。并開啟自動恢復。同時以前默認開啟LDT將不再默認開啟。

華為交換機TCP單向訪問的ACL配置

root — Fri, 15 Mar 2013 06:01:15 +0000

華為交換機TCP單向訪問的ACL配置 root 周五, 03/15/2013 - 14:01

故障描述

　　華為交換機如何配置TCP單向訪問。即A可以訪問B，B不可以訪問A。

故障分析

　　無

處理過程

配置如下： #允許192.168.9.1訪問192.168.9.2，不允許192.168.9.2訪問192.168.9.1 acl number 3001 rule 5 permit tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag ack rule 10 deny tcp source 192.168.9.2 0 destination 192.168.9.1 0 tcp-flag syn /先允許192.168.9.2返回帶ack標志位的報文。然后禁止所有syn報文。 # interface Ethernet0/0/2 traffic-filter inbound acl 3001

建議/總結

　　在華為上配置ACL rule時，tcp-flag ack匹配的是帶有ack標志位的tcp連接報文，而tcp syn匹配的是所有tcp連接報文。在配置ACL策略時，匹配流分類和流行為要注意順序，先匹配permit的，再匹配deny的。這樣的結果是deny了不帶有ack標志位的tcp連接報文，即建立TCP連接過程的第一個不帶ack標志位的請求報文。因此192.168.9.2發起tcp連接時第一個請求報文被deny而無法建立連接，192.168.9.1發起tcp連接時，192.168.9.2發送tcp連接報文全部帶有ack標志位，連接可以順利建立。

FAQ：AR 接口下配置NAT SERVER 映射提示地址沖突？

匿名 — Wed, 23 Jul 2014 02:48:31 +0000

FAQ：AR 接口下配置NAT SERVER 映射提示地址沖突？匿名 (未驗證) 周三, 07/23/2014 - 10:48

故障描述

AR 接口下配置NAT SERVER 映射提示地址沖突，如下：
?nat server global 192.168.108.136 inside 172.16.1.2

?Error: The address conflicts with interface or ARP IP.

故障分析

無

處理過程

當前接口配置如下：
#
interface GigabitEthernet0/0/0
ip address 192.168.108.136 255.255.255.0
#
return
AR在配置NAT映射時，公網IP不能與接口IP地址相同，否則會提示沖突，導致配置不上去。如果做全映射，至少需要申請兩個公網IP，一個配置在接口上，一個用于做全映射；如果只有一個公網IP時，可以做端口映射，公網IP使用current-interface參考代替，如下：
nat server protocol tcp global current-interface 80 inside 172.16.1.2 80?

建議/總結

　　無

關于華為/H3C部分設備存在HTTP管理漏洞的規避方法

root — Thu, 16 Aug 2012 09:26:12 +0000

關于華為/H3C部分設備存在HTTP管理漏洞的規避方法 root 周四, 08/16/2012 - 17:26

故障描述

　　AR 路由器：AR 18/28/46、AR 19/29/49（H3C型號為MSR20/30/50）為中小企業的多業務路由器。AR 18/28/46支持BIMS管理。AR18-2X、AR18-3X和AR18-3XE同時還支持Web管理。AR 19/29/49（H3C型號為MSR20/30/50）僅支持Web管理。.
受影響版本：

AR 19/29/49 R2207 earlier versions（H3C型號為MSR20/30/50）
AR 28/46 R0311 and earlier versions
AR 18-3x R0118 and earlier versions
AR 18-2x R1712 and earlier versions
AR18-1x R0130 and earlier versions

　　Huawei 交換機：S2000系列、S3000系列、S3500系列、S3900系列(H3C為S3600)、S5100系列和S5600系列交換機支持WEB網管，開啟了HTTP服務。S7800系列交換機R6305及以后的版本支持WEB網管，開啟了HTTP服務。S8500（H3C為S9500）系列交換機不支持WEB網管，但在R1631P001和R1632(注1)版本中默認打開了HTTP服務。
受影響版本：

S2000系列、S3000系列、S3500系列、S3900系列（H3C S3600）、S5100系列和S5600系列交換機所有版本
S7800系列交換機R6305和以后的版本
S8500系列交換機R1631P001版本（H3C S9500）
S8500系列交換機R1632版本（H3C 9500）

故障分析

　　攻擊者利用此漏洞，可能使設備執行攻擊者注入的任意命令。

處理過程

場景一：用戶使用設備時不使用WEB網頁進行配置管理，且不使用BIMS（Branch Intelligent Management System）功能進行遠程配置。規避方案：關閉HTTP端口和BIMS服務，具體配置如下： AR 18/28/46： [Quidway] ip http shutdown [Quidway] undo bims enable AR 19/29/49： [Quidway] undo ip http enable S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機： [Quidway] ip http shutdown (注3) S7800系列交換機： [Quidway] undo ip http enable 場景二：用戶使用WEB網頁對設備進行配置管理或使用BIMS功能進行遠程配置。規避方案：通過ACL控制HTTP建立的源IP地址，具體配置如下： AR 18/28/46： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 AR 19/29/49： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 S2000系列、S3000系列、S3500系列、S3900系列、S5100系列和S5600系列交換機： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 (注3) S7800系列交換機： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source 1.1.1.1 0 [Quidway-acl-basic-2001]rule 5 deny [Quidway]ip http acl 2001 場景三：設備不支持WEB網頁進行配置管理，但HTTP服務端口是打開的。規避方案：關閉HTTP服務端口，具體配置如下： S8500系列交換機： [Quidway] ip http shutdown

建議/總結

　　版本建議如下： AR 18/28/46 通過規避方案解決，暫不發布版本或補丁修復此漏洞； AR 19/29/49 通過規避方案解決，或者升級為AR 19/29/49 R2207或之后版本； S2000系列、S3000系列、S3500系列、S3900系列、S5100系列、S5600系列和S7800系列交換機：通過規避方案解決，暫不發布版本或補丁修復此漏洞； S8500系列交換機：通過規避方案解決，或是升級到R1640及以后的版本。

附件

就Recurity_Lab_披露華為AR_18_28安全漏洞說明函

H3C MSR系列路由器內網使用外網IP訪問內部服務器的方法

root — Thu, 06 Dec 2012 12:03:08 +0000

H3C MSR系列路由器內網使用外網IP訪問內部服務器的方法 root 周四, 12/06/2012 - 20:03

故障描述

　　內網PC與內網所在的SERVER 在同一個網段,現在內網SERVER 對公網用戶提供WWW 和FTP 服務,在公網上有相應的域名?，F在要求內網PC 可以同時通過公網域名、公網IP 和私網IP 來訪問內網的這臺SERVER。

故障分析

　　內網主機通過公網域名來訪問映射的SERVER 在AR 路由器上都是通過NATDNS-MAP 來實現的，但不能同時通過公網IP 和私網IP 來訪問SERVER。如果在設備內網口配置NAT SERVER 則可以把訪問公網地址轉換成私網地址，然后向SERVER 發起連接，但源地址還是內網主機的地址，此時SERVER 給PC 回應報文時就不會走路由器，直接發到了內網PC 上，內網PC 認為不是自己要訪問的地址，會把這個報文丟棄，因此會導致連接中斷。如果讓SERVER 把報文回給路由器，路由器再根據NATSESSION 就可以正確轉發給PC 了。

處理過程

　　在內網接口配置一個NAT OUTBOUND 3000 就可以了。具體配置如下: acl number 2000 //定義要上網的流量 rule permit source 192.168.1.0 0.0.0.255 rule deny quit acl number 3000 //定義您內網訪問服務器的流量 rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0 rule deny ip quit interface Ethernet1/0 //您的內網接口，按照實際情況配置接口號 ip address 192.168.1.1 255.255.255.0 nat outbound 3000 nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp quit interface Ethernet2/0 //您的公網接口 ip address 200.0.0.2 255.255.255.0 nat outbound 2000 nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp quit ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60

建議/總結

　　無

TCP MSS設置不當導致IPSec業務緩慢

匿名 — Mon, 28 Jul 2014 03:57:26 +0000

TCP MSS設置不當導致IPSec業務緩慢匿名 (未驗證) 周一, 07/28/2014 - 11:57

故障描述

　　總部USG2000E與分支AR1220之間建立IPSec VPN?？蛻舴答伣涍^IPSec隧道的SAP和Lotus Notes業務緩慢，其他未經過隧道的業務正常。

故障分析

　　IPSec隧道對IP報文進行再次封裝導致IP報文長度變長，如果（MSS+TCP報文頭+IP報文頭）> 鏈路MTU，報文將被分片發送，接收端需重組后再解析，分片和重組都需要消耗CPU資源。同時分片報文的加密、解密過程也需要消耗更多的CPU資源。當分片報文比例過大時，CPU資源告急可能會導致訪問速度下降、報文丟包。

處理過程

? ? ? 通過抓包分析大量業務報文被分片發送，符合上述原因分析。在USG2000E和AR1220上修改TCP MSS值后，使（MSS+TCP報文頭+IP報文頭）< 鏈路MTU，經過IPSec隧道的SAP和Lotus Notes業務恢復正常。
TCP MSS在USG2000E上全局配置：
firewall tcp-mss 1200
AR1220的TCP MSS?需在內網口和外網口同時配置：
tcp adjust-mss 1200
tcp adjust-mss 1200

建議/總結

　　無

華為USG防火墻如何將操作記錄到日志

root — Wed, 12 Oct 2011 13:14:07 +0000

華為USG防火墻如何將操作記錄到日志 root 周三, 10/12/2011 - 21:14

故障描述

　　華為USG防火墻命令操作記錄日志顯示為索引序號。不顯示具體操作的命令

故障分析

　　無

處理過程

　　配置如下：將Shell的常規日志輸出到logb 　　 info-center source SHELL channel 4 log level informational

建議/總結

　　無

封裝windows鏡像時sysprep可用重置次數超過系統限制的解決辦法

editors — Mon, 31 Oct 2016 02:20:58 +0000

封裝windows鏡像時sysprep可用重置次數超過系統限制的解決辦法

分類

Windows

editors 周一, 10/31/2016 - 10:20

故障描述

在進行Windows系統封裝時，由于 sysprep的剩余次數超過操作系統限制而引發報錯。

故障分析

Windows? 7/2008/2012操作系統重置激活開始時間的次數最多支持執行3-5次，使用模制作板優化工具制作完整復制模板時會對模板虛擬機執行sysprep，而執行sysprep過程中默認會重置激活開始時間，如果執行sysprep時系統剩余的可重置次數超過系統的限制次數，則模板制作就會失敗。

處理過程

MSDN官方的說明中可以看出在做Sysprep的過程中3次的重置限制是可以跳過的，在超出3次后sysprep過程中會跳出系統發生嚴重錯誤的對話框，導致sysprep的過程終止。

解決方法如下：

運行regedit進入注冊表編輯器更改以下兩項鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SoftwareProtectionPlatform\SkipRearm鍵值更改為1

HKEY_LOCAL_MACHINE\System\Setup\Status\SysprepStatus\右方的 GeneralizationState鍵值更改為7

然后再進行Sysprep即可。

建議/總結

請各位在封裝windows鏡像時, 在操作系統進行Sysprep前最好運行slmgr /dlv 查看該系統還能進行sysprep的剩余次數以免操作系統超出sysprep的次數而引發報錯導致做無功。

在cmd命令窗口中執行如下命令，請看下圖：

技術知識庫

FAQ-華為交換機交換機默認的bootrom密碼是什么

華為交換機端口批量配置的方法-適用于V200R003

FAQ-華為交換機配置BPDU保護后，關閉端口如何自動恢復

華為交換機TCP單向訪問的ACL配置

FAQ：AR 接口下配置NAT SERVER 映射提示地址沖突？

關于華為/H3C部分設備存在HTTP管理漏洞的規避方法

H3C MSR系列路由器內網使用外網IP訪問內部服務器的方法

TCP MSS設置不當導致IPSec業務緩慢

華為USG防火墻如何將操作記錄到日志

封裝windows鏡像時sysprep可用重置次數超過系統限制的解決辦法

FAQ-華為交換機配置BPDU保護后，關閉端口如何自動恢復

FAQ：AR 接口下配置NAT SERVER 映射提示地址沖突？