- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
整本手册
本章节下载 (1.20 MB)
H3C SecPath F1000-C8102[F1000-ServerBlade]
用户FAQ
资料版本:5W101-20190118
产品版本:
H3C SecPath F1000-C8102 防火墙系列:E6471
H3C SecPath F1000-ServerBlade 服务器安全智能模块系列:E6301
Copyright © 2019 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
为什么管理员用户不能通过HTTP、SSH、或者Telnet登录设备,不显示web页面?
在“系统管理>管理员”,“添加管理员”页面中的"管理IP/掩码"的作用是什么?
接口状态页面上有接收或发送速率的信息,但健康统计页面整机转发流量无数据?
设备健康统计页面,整机转发流量只能看到上行或者下行的流量信息?
同一条策略路由最多支持几个下一跳?同时配置多个下一跳的情况下,如何转发报文?
主链路选择连接方式为监控链路故障自动连接后主链路选择下拉为什么为空?
使用测试仪打单向流量,一条隧道的情况下为什么解密端cpu0核使用率很高?
IPSEC场景,DPD未开启的情况下,ipsec关联的物理接口down后,ike和ipsec sa不会跟随断开连接?
IPv6中的路由器请求报文作用(Router Solicitation)?
IPv6中的路由器通告报文作用(Router Advertisement)?
邻居请求(Neighbor Solicitation)报文作用?
邻居通告(Neighbor Advertisement)报文作用?
在Tunnel接口上配置了相关的参数后(例如隧道的起点、终点地址和隧道模式)仍未处于up状态?
从设备端执行什么配置去主动ping另一台设备的IPv6地址?
OSPF没有路由,甚至邻居都不能形成Full关系,最常见的原因是什么?
当执行no router ospf6后,其它接口有关ospfv3配置是否自动删除?
页面上动态缓存域名下的已经下载的多个app缓存文件,能否单独删除其中一个app缓存文件?
应用缓存功能在PC端连续下载两次文件,缓存计数只命中一次,一次在设备下载,一次在server下载?
Smartbits打入混合流量,设备的内存占用较高,此时导入应用缓存,WEB或者Console概率出现错误提示,WEB会处于一直上传的状态?
配置两条会话限制,引用的地址对象分别都包含了某个IP地址,但是会话限制的配置不同,那么该以哪一个为标准?
在配置会话限制之前,地址对象的会话总数已经超过了该会话限制的会话总数,那么配置该条会话限制后是否会将会话数保持在限制的数目下?
客户端A没有配置设备为DNS代理,客户端B配置设备为DNS代理,客户端A发出经过设备的DNS请求,之后客户端B也发出相同域名的DNS请求,设备在对B的请求处理过程是怎样的?
统计集统计最近1小时、最近1天、最近1周数据统计的刷新间隔是多少?
单条七元组审计策略中的应用过滤规则、URL过滤规则按照什么顺序进行匹配?
使用NAT用户通过认证后访问外网页面依然弹出认证页面,导致循环认证?
为什么认证时,可以接收推送认证页面,用户名密码输入完毕后无法认证成功?
为什么用户认证时点击一次上线,显示设备拒绝请求,点击多次后可认证成功?
登录超时后重新认证,在认证窗口填写用户名密码后点击“上线”提示“用户已在线”?
为什么认证模板设置IE10浏览器没有调色板按钮,只能通过数字设置认证按钮颜色?
用户在线时间超出所配置的超时时间,有时可下线、有时不可下线?
输入用户名及密码后,认证失败,提示“用户名或密码错误”,如何定位认证失败原因,并及时修改?
在页面认证服务器>本地Web认证页面,在用户登录唯一性检查项,配置单一账号登陆,并禁止同名用户再次登录后,为什么用户第三方Radius认证对于同一账号仍能多次登陆?
服务质量管理条目“最后一次成功率”和“最后一次延时”在建立前的时间也有数据显示?
为什么debug service-quality不显示dns类型的服务质量管理条目发送的探测报文?
在设备上配置有用户认证策略,并新建用户将PC的MAC地址绑定,为什么PC仍无法上网并重定向到认证页面?
普通模式切换到三权模式后,原来的系统管理员、审计员账号还可以登陆吗?
当新创建的广告对象与之前的广告对象重名时,新创建的广告对象中已经上传的图片被删除?
新增的IP/MAC条目设备不能及时学习到该IP的数据如何处理?
移动端弹出portal,并点击一键微信连wifi后,认证失败,如何定位认证失败原因,并及时修改?
若环境中无线路由器为cisco无线路由器,且支持2.4G和5G信号,假设ssid分别为cisco与cisco-5G,此时应该连接哪个ssid?
部分安卓手机弹出portal页面,点击一键微信连WIFI后,页面无反应或者会有提示信息“该浏览器不支持自动跳转微信请手动打开微信”,应如何解决?
微信认证有些安卓手机扫码连接wifi后出现网络连接失败现象?
微信连wifi电脑端弹出的portal微信二维码一段时间后超时,提示:服务器繁忙请一分钟后刷新重试?
用户使用浏览器A获取短信验证码,在浏览器B上输入手机号和验证码,是否能短信认证成功?
双机主备环境,主设备配置短信认证,备设备是否同步短信认证的配置?
https弹出portal以后没有认证为什么可以正常打开网页?
为什么在浏览器上通过导航网站访问https类型网站时没有弹portal?
浏览器多次访问https页面,会出现弹出认证页面很慢的情况?
访问https类型网站时有的浏览器无法弹出portal认证界面?
ldap同步与openldap对接,用户同步下来后,认证失败?
使用LDAP用户认证通过后,在服务器删除认证用户并在设备上同步该OU?
使用设备上的抓包工具是否能够抓取到监控接口镜像过来的业务报文
是否可以配置将万兆口流量镜像到千兆口或千兆口流量镜像到百兆口
设备开启https解密后,电脑必须要安装设备上导出的证书吗?
为什么安装证书以后,chrome浏览器访问12306网站显示非安全连接?
DDNS配置了更新某一特定域名,为什么此账户下的所有域名地址都进行了更新?
如果设备同时开启dns透明代理和dns-dant功能,DNS报文如何处理?
在使用ftp方式导出配置文件时为什么配置了服务器地址和文件名称后面还提示输入服务器地址?
零配置启动盘里根目录下的version和序列号文件夹里version有什么差别?
建立多条限额策略,但是同一个用户只能匹配最上面的一条策略,其余策略无法匹配?
使用40GE的1分4线缆,设备的10GE口接上后,接口识别ERROR?
反复shut/no shut某个有4094子接口的物理口,然后手动重启设备,大量IPC报错?
设备推荐使用在某个区域的网关或与外网接入处,一般来说,外部网络是最具有威胁的。当所有外网流量进入内网时都需要经过边界网关。由此来说设备放置的最佳位置应为与外网接入的地方。如果内网某一区域对安全性有高要求也可放置设备。但要注意,所有设备应放在区域与区域相接处。
设备能够工作在三种模式下:路由模式、透明模式和旁路模式。如果设备以第三层对外连接(接口具有IP 地址),则认为设备工作在路由模式下;若设备通过第二层对外连接(接口无IP地址),则设备工作在透明模式下;若设备在完全不影响原网络运行的情况下部署,则设备工作在旁路模式下。
当设备位于内部网络和外部网络之间时,需要将设备与内部网络、外部网络区域相连的接口分别配置成不同网段的IP地址,重新规划原有的网络拓扑,此时相当于一台路由器。也就是说,路由模式设备连接两个不同的子网。
在网络出口需要定义一些访问控制列表(ACL)来对内外网访问进行更严格的要求时,采用路由模式时,路由模式设备可以完成ACL包过滤、NAT转换等功能。
如出现该情况可检查路由表,执行display ip route命令查看路由表中是否存在外网路由,如路由表正常,查看设备安全策略,在设备中默认安全策略为deny,需要手工设定放行条目,执行display running-config policy命令查看设备安全策略。
透明模式设备进行工作时,可以避免改变拓扑结构造成的麻烦,此时设备对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到设备的存在。
检查物理接口是否划入到了bvi接口中,display running-config interface查看当前接口下信息。
在透明模式下,设备将流过的所有二层数据进行解封装,把数据根据用户定义的规则进行从二层到四层的过滤。但与路由模式不同的是,设备会将过滤后的数据重新用原来的二层源地址和目的地址再封装成帧进行转发,而不改变数据帧的源地址和目的地址。
透明模式设备一般使用在原网络拓扑在已经完善的情况下增添设备。配置透明模式,设备相当于二层设备。可以将设备的多个接口连接到相同子网。可以在不更改其他设备的路由网关对网络进行保护。减少工作量。
旁路模式在不更改原网络部署环境的前提下使用。旁路模式设备将通过的流量进行监听等作用。
旁路模式部署不会大范围影响原网络拓扑结构。只需在原出口设备连接上设备即可。
设备具有很好的保护网络安全的效果。入侵者必须首先穿越设备的安全防线,才能接触目标计算机。用户可以将设备配置多种策略,如控制端口、协议、应用等。
设备默认存在一条全拒绝的控制策略,使用设备时应先注意安全策略是否匹配。
确认登录的接口是否允许通过这些方式登录,可以在每个接口下进行具体配置,详细配置请参见命令行配置指导或者Web配置指导。
查看接口下是否配置了HTTPS访问控制,查看是否开启了管理员证书认证功能但并没有对应的证书。
可在"管理IP/掩码"输入框中以"IP/掩码"的形式设置用户主机的IP和掩码,用户登录时,如果用户名、密码正确,并且用户的主机地址与其设置的任意一组IP和掩码与运算的值相等,就可以成功登录。如果用户没有设置"管理IP/掩码"或任意一组"管理IP/掩码"设置为"0.0.0.0/0",则登录时不会判断用户的主机地址,只要用户名、密码正确既可成功登录。
在“系统管理>管理员”页面中,点击某管理员的<编辑>按钮,进入“修改管理员”页面,即可修改该管理员的密码。
断电或reboot重启设备,按ctrl+c进入menuboot,当出现“Please input your choice[0-8]:”时,输入’4’,执行Reset administrator passowrd并输入’0’重启设备,重启后,密码即可恢复为默认的admin/admin登录。
结合管理员登录账号和Ukey证书双重身份的认证方式。
USBKey目前仅支持epass一个厂商。
在管理员双因子认证功能已正常开启的情况下,如果设备CA证书发生变更,需要先关闭管理员双因子认证功能然后再次开启,以便重新关联新的CA根证书。
IE浏览器因对证书安全检验级别较高,不受信任的证书网站浏览器会禁止用户继续访问,导致无法通过https访问设备。
火狐浏览器需要做兼容性设置,否则无法调用Ukey中的证书。
可以使用命令display running poliy查看当前的应用控制策略。
通过配置应用过滤策略,可以实现关键字过滤。
恶意url白名单是精确匹配。例:被阻断的网站为qq.com,新建恶意URL白名单www.qq.com后还是不能访问,只能是qq.com,才能访问。
(1) 查看Server日志是否配置为发送,日志服务器是否启用,服务器IP及端口是否正确;
(2) Syslog服务器是否启动,端口是否与设备配置一致;
(3) 查看路由是否正确,ping服务器地址是否能ping通。
从线路策略绑定接口出去的流量为上行,从线路策略绑定接口进来的流量为下行。
流量控制通道的保障带宽必须小于等于其最大带宽,流量控制通道的保障带宽必须小于等于其上一级通道的保障带宽。流量控制通道的最大带宽必须小于等于其上一级通道的最大带宽。
多个匹配条件是与的关系,当同时满足所有匹配条件时才认为命中该通道。当一个流控通道的匹配条件为空时,会去匹配其子节点的匹配条件。
最大带宽只是起到一个限制的作用,限制流量不能超过其最大带宽。保障带宽的作用是在流量发生拥塞的时流量仍能够达到其保障带宽。
(1) 线路的最大带宽和保障带宽和其实际的带宽一致,若外网的带宽为20M,就需要配置线路的最大带宽和保障带宽为20M。
(2) 下一级通道的保障带宽总和(包括缺省通道)是否已经超过了其保障带宽。
多个流量控制通道是按顺序匹配的,若流量和某一条流量控制通道匹配,就不会再匹配后续的流量控制通道。
QOS排除策略也称为白名单,就是指定的用户或者地址的流量,不受QOS管制,直接转发,最大限度的保证这些用户使用网络。
流量先被每IP限速处理,然后再被流控通道处理。每IP限速的周期是一秒,流控通道是实时的。被IP限速通过的流量可能会继续被流控通道丢弃。
P2P的流量存在不对称性,可能会出现大量的下行流量。多余的流量被流控通道丢弃,但是会影响总体的带宽使用率;建议在实际部署时减小P2P的上行流量,这样可以有效抑制下行流量。
当发生带宽借用时,高级别的通道优先借用带宽。若多个通道的级别相同,则平均分配借用带宽。
当子通道的保障带宽之和大于父通道,按照各个子通道的保障带宽比例分配。
对延时要求高的一类应用可以放在单独的流控通道中,该通道的流量不要超过其保障带宽。
查看当前通道流量的命令display qos statistics。
Qos通道带宽自适应,只支持WEB页面配置,不支持命令行配置。
限速百分比支持0.01-100%,并且支持4位有效数字,所有小于0.01的都显示为0.00%。
(1) 配置限速通道的保障带宽、最大带宽的限速百分比;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成绝对速率。
(2) 配置限速通道的保障带宽、最大带宽的限速速率;自动根据父通道的保障带宽、最大带宽、当前通道的保障带宽生成百分比。
(3) 更改父线路或者父通道的保障带宽、最大带宽、子通道的最大带宽、保障带宽自动根据百分比发生变化。
(1) 初次配置的带宽百分比是基数不会变。
(2) 用带宽/线路值=百分比A(如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(3) 调整线路后,用百分比A*调整后的线路=带宽值。如果≥8Kb显示正常的带宽;算出来的带宽<8kb,带宽置为8kb,百分比A不变(带宽最小8kb)。
(4) web页面qos通道页面编辑后提交。相当于带宽重新下发,需要以web页面当前的带宽和线路算百分比。
(1) ui先配置带宽后配置每ip的时候有检测,命令行配置perip带宽不检测。
(2) 如果上一步的基础上修改线路带宽后,页面不做检测,修改线路带宽不受影响。
(3) ui修改通道带宽或者编辑通道的时候,UI会检测perip大于通道最大带宽,弹出提示。
(4) 这种情况如果保存配置重启,配置不会丢失。
在透明部署模式下配置QoS时,线路中绑定的接口必须是bvi接口的成员物理接口,功能才能生效,若在线路中绑定bvi接口则QoS功能无法生效。
在三层部署模式下进行QoS时,线路中绑定的接口必须是三层接口,功能才能生效。另外,当使用bvi接口进行三层转发时,QoS线路需要绑定在bvi接口上才能生效。
在子接口模式下进行QoS时,线路中绑定的接口必须在子接口上做,绑定在子接口的物理口上不生效。
在聚合接口模式下进行QoS时,线路中绑定的接口必须在聚合接口上做,绑定在聚合接口的物理口上不生效。
可在命令行下执行“debug qos match”,通过debug消息可知道具体命中条目。
可在命令行下执行“debug qos drop”,通过debug消息可知道数据包是否被QoS丢弃。
设备流量统计收发包的大小实际上是去掉了4字节的CRC校验,所以会小于实际的流速。使用实际的发包大小减去4字节,再计算出来的流速将与设备统计值相等。
整机转发流量统计的为设备的流速,上行即为外网口的发包速率,下行即为内网口的发包速率。当不设置外网口时,上行流速即为0。
设备整机流量统计本地发包和转发,而用户流量统计只统计转发的流量,所以两者的值会有所出入。
设备流量统计的值每隔1小时会把数据保存一次,当设备异常掉电,未能及时保存数据,设备启动后,最多会丢失1小时的数据。
设备流量统计,每次取的时间是绝对时间。更改系统时间,设备流量统计不会随着系统时间的更改而变化。当设备时间为10:00,已经产生近一小时的流量图,把系统时间更改为11:00时,近一小时的流量图依然不变,只是显示的时间有所更改,变为10:00-11:00的流量图。同理当更改为9:00时,设备流量图依然不变,显示的时间变为8:00-9:00。
特殊情况是:当更改完系统时间后马上重启,此时会对设备流量图有所影响。
如上的例子,当设备时间为10:00,更改为11:00后,马上重启,启动后设备流量图10:00-11:00会为0,之前的数据依然保存。当更改为9:00,马上重启,启动后,9:00之前的数据会为空,因为更改时间后,把之前的数据给覆盖了,所以之前的数据都会为空。
接口状态页面显示的接口信息是物理接口的接口信息,不包括子接口、网桥接口、聚合接口、隧道接口和4G接口的状态信息。
接口统计的数据为接口接收到或转发的流量信息,而整机转发的流量是指经过设备处理的流量信息,如果接口接收到或转发的流量没有经过设备处理,则整机转发流量信息为空。
整机转发流量的上行流量和下行流量,是通过接口的内网口和外网口属性来确定的,通过内网口转发的流量为下行流量,通过外网口转发的流量为上行流量。
接口状态页面的数据,默认自动刷新的时间为30s,也可以手动刷新,刷新时向后台获取一次数据。
策略路由,也叫做基于策略的路由,是指在决定一个IP包的下一跳转发地址时,不是简单的根据目的或源IP地址来决定,而是综合考虑多种因素决定。它转发分组到特定网络需要基于预先配置的策略,这个策略可能指定从一个特定的网络发送的通信应该被转发到一个指定的接口。
目前,设备支持同一条策略路由中配置8个不同下一跳。
同一条策略路由中同时配置多个下一跳的情况下,第一个下一跳作为主用路由,其余下一跳作为备份路由,实现路由备份功能。
图1 策略路由转发流程图
通常我们都认为下一跳失效的判断条件为下一跳是否可达,但实际上设备在实现上并没有探测下一跳是否可达的机制,因此设备只能根据自身的各种因素进行判断。下面我们分两种情况进行讨论。
(1) 下一跳是直连网段地址的情况:
设备判断下一跳是否可达的条件是ARP,只要存在正确的对应下一跳地址的ARP表项,则策略路由认为下一跳可达。值得一提的是,如果配置静态ARP,则需要同时配置对应VLAN和出接口,此时策略路由才认为下一跳可达。
(2) 下一跳是非直连网段地址的情况:
对于非直连网段的下一跳地址,设备可以进行路由迭代,即针对下一跳地址查找路由表,如果能匹配到路由,则认为策略路由下一跳可达。如果没有匹配到任何路由,或者只能匹配缺省路由,则认为策略路由下一跳不可达。
ISP路由是将数据包从一个网络转发到另一个网络中的目的地址的过程。路由器是处在两个网络之间转发数据包的设备。路由器根据路由表中储存的各种传输路径传输数据包,每一个传输路径即为一个路由条目。
很多用户通常会申请多条线路进行流量负载均衡。然而,一般的均衡是不会根据流量的流向做均衡的,如果网通的服务器通过电信访问,网速就会很慢。安全网关针对该问题,提供ISP路由功能,使不同ISP流量走专有路由,从而提高网络访问速度。
用户首先需要将内网用户添加到相同的地址对象中,通过引用设置的地址对象,进行配置不同运营商为目的地的ISP路由。用户可以自定义ISP信息,也可以上传ISP或包含不同ISP信息的配置文件。
ISP路由在NAT配置、安全策略配置时可直接调用相应地址对象的流量。通过ISP路由策略(双ISP缺省路由)进行控制相应的流量走向问题,从而达到负载均衡。
(1) ISP路由下发的就是静态路由,只不过ISP路由支持以文件的形式批量下发路由,为了便于区分两种路由的下发形式,display ip route中在手工配置的静态路由前会标识S,ISP形式下发的路由前会标识为I。
(2) ISP路由下发的条目在静态路由配置页面不显示,进行了过滤,避免影响用户手工创建的静态路由的配置查看。
(3) 静态路由和ISP路由规格是共用的,是占用的同一个规格表。
(4) 如果配置一条静态路由再自定义创建一条ISP路由分别指向不同的下一跳,实现的是等价路由的效果
(5) 存在ISP路由的情况下,再创建相同的静态路由,静态路由不能下发,实际还是一条路由,反之亦然。
(6) CLI下通过no ip route xxxx可以删除相应的ISP路由,如果要恢复此条ISP路由,需要删除ISP路由重新创建以触发下发整个ISP路由表。
可以使用命令display ike sa查看当前IKE SA的信息:
HOST# display ike sa
----------------------------------------------------
Name: dut1 id: 3184
local_addr: 30.1.1.2
peer_addr: 30.1.1.3
stat: establish
life time: 86390
*********************************************************
Data: ike sa Total count: 1.
*********************************************************
可以使用命令display ipsec sa查看当前IPsec sa的信息。
HOST# display ipsec sa
----------------------------------------------------
Name: dut1 id: 4667
local_addr: 30.1.1.2 peer_addr: 30.1.1.3
esp: yes mode: tunnel
enc_algo/auth_algo: aes256/sha1
inbound_spi/outbound_spi: 237441483/134485286
ah: no
stat: establish
life time/cur_life_time: 86400/86304
inbound/outbound: 5/5 kbytes
local_net: 20.1.1.0/24
peer_net: 10.1.1.0/24
*********************************************************
Data: ipsec sa Total count: 1.
*********************************************************
IPsec VPN的默认加密方式是aes256-sha1。
一条IPsec VPN隧道,配置多个网段的感兴趣流,最多支持100条。
(1) 第一阶段协商不成功,首先可以检查IKE的配置,查看两端的配置是否一致。
(2) 其次检查路由,查看对端是否可达。
(3) 如果一端配置对端网关配置的是动态,另一端配置静态对端网关,查看配置静态对端网关的一端,是否开启了自动连接,若未配置自动连接,流量需要从静态那一端发起,触发IKE SA的协商。
(4) 一阶段是否配置了两套一样的IKE提议:对端IP,算法提议,对端ID,本地源IP,这些信息一样。如果存在两套一样的提议,设备就无法确认使用哪个IKE配置进行协商了
主模式:对端IP,算法提议,本地源IP(如果配置了就检查)
野蛮模式:对端ID、算法提议、本地源IP
无论哪种模式匹配的标准是一样的,对端IP,算法提议,本地源IP,对端ID。只不过如果没有带的话,这一项就不检查了。
调试命令:debug ipsec-VPN debug。
(1) 首先可以检查IPsec的配置,查看两端的配置是否一致。
(2) 检测感兴趣流,查看两端的感兴趣流是否一致。
(3) 检测路由,查看对端是否可达。若是基于tunnel口,检查是否配置tunnel口的路由。
调试命令:debug ipsec-vpn debug。
隧道模式时查看是否配置策略。
查看感兴趣流的方向性是否正确。
若是感兴趣流的问题,可以通过以下命令查看:
display ike dump-tunn,查看基于tunnel的IPSec VPN的sp状态是否建立成功。
(1) 有些手机的IKE协商模式是野蛮模式,有些是主模式,所以一条VPN隧道不能保证所有的手机都能接入成功。
(2) 手机发起的加密算法也各不相同,可以通过debug ipsec-vpn debug命令,查看协商不成功的原因,同时也可以查看对端发来的加密算法是否与本端一致。
搭建IPSEC的环境中间有过NAT并且配置了AH认证导致ipsec无法协商成功,AH封装的校验从IP头开始,如果NAT将IP的头部改动,AH的校验就会失败,因此我们得出结论,AH是无法与NAT共存的。此时去掉AH认证IPSEC可以协商成功。
IPSEC断开后对端设备并没有把原先建立好的Sa清除,就不再接受再次发起的协商请求,导致无法建立连接。
(1) 在对端设备手动删除SA。
(2) 双方启用DPD检测。
问题原因:对端手动清除了SA;对端同时启用了按秒计时和按流量统计,本端只配置了按秒计时,如果流量过大,可能导致在按秒计时的生存周期内流量已经超出,导致对端SA端口连接
(1) 双方把各自一阶段的SA生存期和二阶段SA生存周期改成一致;
(2) 一阶段启用DPD检测。
(1) 当有多出口时,需要指定用于建立IPsec的本端IP地址。
(2) 如果指定的是本地源接口,则使用该接口上的主IP作为本端IP地址。
(1) IPSEC认证方式选择国密认证后,需要填写本端证书、对端证书和CA证书。
(2) 协商不成功需要检查本端证书与对端证书是否导入正确。
(1) IPSEC快速配置大大简化了IPSEC VPN配置,接入一个新的站点只需要配置节点类型、本端或对端网关IP,保护网段即可实现IPSEC接入,IKE一阶段、IPSEC二阶段、tunnel接口、保护网段路由等动态生成。
(2) IPSEC快速配置支持网段映射,能很好的解决分支站点保护网段冲突的情况。
(3) IPSEC快速配置支持选路策略动态调整,调整主备链路只需要调整分支节点线路顺序,设备会根据线路顺序自动调整路由优先级,默认线路优先级为5、6、7、8,最多支持4条线路。
(1) 执行命令display ike easy-ipsec-gen可以查看一阶段默认参数如下:
set mode main
set remotegw 172.16.1.1
authentication pre-share
lifetime 86400
dpd enable
dpd interval 5
dpd retry-interval 2
set nat 10
group 2
set policy 1
encrypt 3des
hash md5
(2) 执行命令display ike easy-ipsec-gen可以查看二阶段默认参数如下:
vpn ipsec phase2
mode tunnel
auto-connect enable(分支节点开启自动连接,中心节点默认关闭自动连接)
auto-connect interval 10
set lifetime seconds 86400
set proposal1 esp-aes256-sha1 ah-null
IPSEC快速配置一二阶段默认参数不支持修改,进入命令行编辑模式时会有错误提示,不允许用户修改。
预共享密钥尽量避免使用特殊字符,如 “<>”否则有可能会出现显示报错,但 不影响最终使用,尽量避免。
因为每一条ipsec链路都有设置的老化时间,链路断开后,会等待ipsec链路老化时间结束后,再根据设置的切换时间切换链路。
不能,主备链路是一对一的关系,被引用的主链路和备链路都不能再被其他链路引用。
一般情况下,需要等待ipsec链路老化时间结束后才开始切换时间,但是可以在ike配置DPD对端检测,链路断开后,根据设置的对端检测时间,ipsec链路就会断开。
主链路选择是指备链路来选择哪条链路作为主链路,主链路配置的时候不需要选择连接方式为监控链路故障自动连接。
主备链路监控的是IPSEC SA的状态。
目前对于低端设备没有完全意义上的控制核,cpu0核也会处理ipsec vpn业务,数据包通过ipsec加密端设备加密后就变成了相同的五元组:协议、源目的IP、源目的端口的报文,由于设备支持流保序功能,从而导致流量默认全部分到了cpu0,可通过switch keep-order off命令关闭。
IPSEC设置有3种:本地源接口,本地源IP,无,对于本地源IP和无的配置,接口down是无法判断要清除那个SA的,所以统一处理逻辑为接口down不自动清IKE,通过DPD机制来检测链路状态即可,DPD保活失败,会自动清除SA
IPv6具有128位的IP地址结构,提供充足的地址空间。层次化的网络结构,提高了路由效率。支持自动配置,即插即用。支持端到端的安全。支持移动特性。新增流标签功能,更利于支持QoS。
邻居发现协议(Neighbor Discovery Protocol)是IPv6协议的一个基本的组成部分,它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能,并具有邻居不可达检测机制。
邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能。
当主机没有配置单播地址(例如系统刚启动)时,就会发送路由器请求报文。路由器请求报文有助于主机迅速进行自动配置而不必等待IPv6路由器的周期性IPv6路由器通告报文。
IPv6路由请求为ICMP报文,类型为133。
IPv6路由器请求报文中的源地址通常为未指定的IPv6地址(0::0)。如果主机已经配置了一个单播地址,则此接口的单播地址可在发送路由器请求报文时作为源地址填充。
IPv6路由器请求报文中的目的地址是所有路由器组播地址(FF02::2),作用域为本地链路。如果路由器通告是针对路由器请求发出的,则其目的地址为相应路由器请求报文的源地址。
每个IPv6路由器的配置接口会周期发送路由器通告报文。在本地链路上收到IPv6节点的路由器请求报文后,路由器也会发送路由器通告报文。
IPv6路由器通告报文发送到所有节点的链路本地组播地址(FF02 ::1)或发送路由器请求报文节点的IPv6单播地址。
路由器通告为ICMP报文,类型为134,包含以下内容:
· 是否使用地址自动配置。
· 标记支持的自动配置类型(无状态或有状态自动配置)。
· 一个或多个本地链路前缀-本地链路上的节点可以使用这些前缀完成地址自动配置。
· 通告的本地链路前缀的生存期。
· 是否发送路由器通告的路由器可作为缺省路由器,如果可以还包括此路由器可作为缺省路由器的时间(用秒表示)。
· 和主机相关的其它信息,如跳数限制,主机发起的报文可以使用的最大MTU。
当一个节点需要得到同一本地链路上另外一个节点的链路本地地址时,就会发送邻居请求报文。此报文类似于IPv4中的ARP请求报文,不过使用组播地址而不使用广播,只有被请求节点的最后24比特和此组播相同的节点才会收到此报文,减少了广播风暴的可能。
源节点使用目的节点的IPv6地址的最右24比特形成相应的组播地址,然后在相应链路上发送ICMPv6类型为135的报文。目的节点在响应报文中填充其链路地址。为了发送邻居请求报文,源节点必须首先知道目的节点的IPv6地址。
邻居请求报文也用来在邻居的链路层地址已知时验证邻居的可达性。
IPv6邻居通告报文是对IPv6请求报文的响应。
收到邻居请求报文后,目的节点通过在本地链路上发送ICMPv6类型为136的邻居通告报文进行响应。收到邻居通告后,源节点和目的节点可以进行通信。
当一个节点的本地链路上的链路层地址改变时也会主动发送邻居通告报文。
· 路由器和前缀发现。
· 地址解析。
· 重定向功能。
· 邻居不可达检测。
· 重复地址检测。
配置相关接口的物理参数,配置相关接口的链路层属性、使能IPv6报文转发能力、邻节点网络层(IPv6)可达。
IPv6缺省路由是在路由器没有找到匹配的IPv6路由表项时使用的路由。
· 第一种是网络管理员手工配置。指定的目的地址为::/0(前缀长度为0)。
· 第二种是动态路由协议生成,由路由能力比较强的路由器将IPv6缺省路由发布给其它路由器,其它路由器在自己的路由表里生成指向那台路由器的缺省路由。
可以按照如下步骤进行:
(1) Tunnel接口未处于up状态的最常见原因是隧道起点的物理接口没有处于up状态。使用display interface和display ipv6 interface命令查看隧道起点的物理接口状态为up还是down。如果物理接口状态是down,请检查网络连接。
(2) Tunnel接口未处于up状态的另一个可能的原因是隧道的终点地址不可达。使用display ipv6 route和display ip route命令查看是否终点地址通过路由可达。如果路由表中没有保证隧道通讯的路由项,请配置相关路由。
6to4隧道不需要配置目的地址,因为隧道的目的地址可以通过6to4 IPv6地址中嵌入的IPv4地址自动获得。
ISATAP隧道不需要配置目的地址,因为隧道的目的地址可以通过ISATAP地址中嵌入的IPv4地址自动获得。
执行ping6 IPv6地址即可,使用ping命令仅为IPv4下使用的。
手动隧道是点到点之间的链路,一条链路就是一个单独的隧道。主要用于边缘路由器—边缘路由器或主机—边缘路由器之间定期安全通信的稳定连接,可实现与远端IPv6网络的连接。
6to4隧道是点到多点的自动隧道,主要建立在边缘路由器之间,用于将多个IPv6孤岛通过IPv4网络连接到IPv6网络。6to4隧道通过在IPv6报文的目的地址中嵌入IPv4地址,来实现自动获取隧道终点的IPv4地址。
6to4隧道采用特殊的6to4地址,其格式为:2002:abcd:efgh:子网号::接口ID/64,其中2002表示固定的IPv6地址前缀,abcd:efgh表示该6to4隧道对应的32位全球唯一的IPv4地址,用16进制表示(如1.1.1.1可以表示为0101:0101)。2002:abcd:efgh之后的部分唯一标识了一个主机在6to4网络内的位置。通过这个嵌入的IPv4地址可以自动确定隧道的终点,使隧道的建立非常方便。
由于6to4地址的64位地址前缀中的16位子网号可以由用户自定义,前缀中的前48位已由固定数值、隧道起点或终点设备的IPv4地址确定,使IPv6报文通过隧道进行转发成为可能。6to4隧道可以实现利用IPv4网络完成IPv6网络的互连,克服了IPv4兼容IPv6自动隧道使用的局限性。
现有的IPv4网络中将会出现越来越多的IPv6主机,ISATAP隧道技术为这种应用提供了一个较好的解决方案。ISATAP隧道是点到多点的自动隧道技术,通过在IPv6报文的目的地址中嵌入的IPv4地址,可以自动获取隧道的终点。
使用ISATAP隧道时,IPv6报文的目的地址和隧道接口的IPv6地址都要采用特殊的ISATAP地址。ISATAP地址格式为:Prefix(64bit):0:5EFE:abcd:efgh。其中,64位的Prefix为任何合法的IPv6单播地址前缀,abcd:efgh表示32位IPv4源地址,用16进制表示(如1.1.1.1可以表示为0101:0101),该IPv4地址不要求全球唯一。通过这个嵌入的IPv4地址就可以自动建立隧道,完成IPv6报文的传送。
ISATAP隧道主要用于在IPv4网络中IPv6路由器—IPv6路由器、IPv6主机—IPv6路由器的连接。
可以通过物理网线相连接,也可以通过虚拟接口如子接口方式相连接。
可以创建最多256个vrf,超出时提示:Error: The total number of vrf has exceeded the maximum size(Capacity reached)。
VRF功能提供了从一台物理路由器变成多台虚拟路由器的功能。设备的VRF功能提供了路由表隔离,接口切换VRF,外部能够正常支持访问已经切换VRF的接口地址,支持本机报文正确选择对应接口向外主动发送报文。
路由表隔离功能是通过在创建和删除VRF时,同时创建对应的fib表实现的,实现形式就是每个VRF一个独立的FIB表,设备在没有开启VRF功能时,是默认存在一个VRF0结构的,路由表和流表都是从属与该结构。
流表的隔离,是通过在流表结构中添加VRF_ID字段来实现的,功能主要流程为,在流里结构中添加了一个VRF_ID的字段,该VRF_ID字段赋值为报文入接口的VRF_ID,查找流表的时候,比较五元组的同时还需比较VRF_ID是否相同,如果五元组和VRF_ID均相同,则表示查找成功,否则,新建对应的流表。
VRF模块属于设备的功能模块,实现虚拟路由转发功能。
RIP支持v1和v2两个版本。
RIP开启时默认为V2版本,若需要可以手动切换到v1版本。
Ospf不支持pppoe接口。
简单的说我们采用如下策略:
· 如果有loopback接口配置了,就选IP地址数值最大的loopback地址。
· 如果没有配置loopback接口地址,就选IP地址数值最大的物理接口地址。
· 选择完成后不可抢占。
· 我们也可以在启动OSPF进程时同时指定Router ID,如:router-id 1.1.1.1。
· 需要注意的是,如果当前OSPF进程正在运行,Router ID即使是重新手工配置或计算都不会马上生效,而需要OSPF进程重新启动才会生效。这个要求是合理的,因为Router ID对OSPF协议来说太重要,不可能在OSPF保持邻居不断的情况下更新。
· OSPF网络类型是NBMA的,但你忘记在OSPF协议模式下配置邻居了。
· OSPF网络类型是NBMA的,你配置了邻居,但在诸如Frame relay的map语句中忘记加broadcast关键字了,导致协议报文不能到达对方。
· OSPF邻居的hello及dead interval值不一致。
· 在Stub或NSSA区域,有些路由器没有配置成Stub或NSSA。
· OSPF验证配置错误。
· OSPF Router ID有问题,可能和某个其它路由器一样了。
· OSPF链路两端的网络类型不一致。
· OSPF链路两端的MTU相差比较大,尤其注意和不同厂商实现互通时(需要在其接口下配置OSPF忽略MTU检查或修改MTU)。
· 该网络根本就没有启动OSPF。
· 区域号不一致;链路的网络地址不一致,注意检查两边的mask。
其实很简单,也是必须知道的。调试开关是需要打开的,其中最有效,最常用的就是debug ospf packet命令,协商完成后执行display log debug,它能让你对OSPF的大部分问题看的一目了然。当然它也不是万能的,它是在正确接收OSPF报文的基础上才能有相应的错误事件。
当链路接口没有明确配置OSPF cost的时候,Cost按配置的基值除以接口带宽来计算。这个基值缺省为100M,例如10M的链路,cost缺省是100/10=10。显然当运行OSPF的路由器存在多个速率不同的1000M以上的高速接口时候,如果接口没有明确赋予OSPF Cost,按缺省公式自动计算的Cost将都为1,不能反映链路速率。这个时候有一个Bandwidth-Reference的命令,来调节基准值的,但要注意,整个OSPF路由域都要对应调整。因此,最好的方法,还是在网络做好规划,手工对链路接口的Cost赋值。
看起来很奇怪的问题,其实比较有意思。很多人的第一感觉就是:两端的了链路网络类型都不一样,哪能形成邻居关系呢?其实不然。OSPF协议并没有规定,要去严格检查链路的网络类型,链路的网络类型最重要的描述也是在Type 1 LSA中,形成邻居的关系条件检查并没有去检查它。仔细阅读协议并做实验,你会发现不少情况下,比如两台路由器以太网连接,一端保持缺省的广播网络类型,一端配置成OSPF P2P网络类型,肯定是可以形成邻居,并交换LSDB达到Full状态的。但很奇怪的事情是:到达Full状态了,为什么学不到路由呢?其实答案很简单,OSPF路由器需要LSDB来构建SPT(Shortest Path Tree),由于LSDB的数据库是脱节有问题的(在我的Router LSA中,我认为你是个广播邻居;而在你的Router LSA中认为我应该是个P2P邻居),根本无法构建正确的SPT, SPF算法也无法计算出正确的路由。
先看一个问题,简单示意的OSPF网络拓扑,area 1——area0-area2,area1中三条路由:10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,在area1和area0之间的ABR没有配置聚合(将上述三条聚合成10.0.0.0/8),但在area0和area2之间的ABR配置聚合却不生效。这就是跨区域的聚合问题,这个表现是否正确呢?
仔细看下RFC 2328 12.4.3 Summary-LSAs中的描述,我们可以知道ABR产生type 3 LSA时,如果是inter-area,就直接处理,产生相应的type 3 LSA,而不需要考虑配置的range,而在考虑intra-area路由的时候,才要去考虑配置的聚合。
所以,上述描述的结果是正常的现象。区域间路由的聚合是在连接产生该路由的区域的ABR上处理的,而不能跨区域聚合。
从协议的角度上来看,OSPF的虚连接Virtual Link非常有用,一是可以将不与骨干区域直接物理连接的区域连接起来,让它能正常路由,这在一些网络的合并中比较有用;二是可以提高网络的可靠性,让骨干区不至于轻易断开而不能正常路由(RFC 2328中的例子)。
OSPFv3仅提供命令行下配置,可以在界面上查看学习到的路由条目。
如果物理连接和下层协议正常,则检查接口上配置的OSPFv3参数,必须保证与相邻路由器的参数一致,区域号相同。
相邻的两台路由器接口的网络类型必须一致。若网络类型为广播网,则至少有一个接口的DR优先级应大于零。
应保证骨干区域与所有的区域相连接。若一台路由器配置了两个以上的区域,则至少有一个区域应与骨干区域相连。骨干区域不能配置成Stub区域。
在Stub区域内的路由器不能接收外部AS的路由。如果一个区域配置成Stub区域,则与这个区域相连的所有路由器都应将此区域配置成Stub区域。
各项口下进行的功能特性配置,在删除router ospf6主进程后,该接口上的所有配置也将被删除。
HA是High Availability缩写,即高可用性,可防止网络中由于单个网关产品的设备故障或链路故障导致网络中断,保证网络服务的连续性和安全强度。
随着网络的快速普及和应用的日益深入,各种增值业务(如 IPTV、视频会议等)得到了广泛部署,
网络中断可能影响大量业务、造成重大损失。因此,作为业务承载主体的基础网络,其可靠性日益
成为受关注的焦点。
在实际网络中,总避免不了各种非技术因素造成的网络故障和服务中断。因此,提高系统容错能力、
提高故障恢复速度、降低故障对业务的影响,是提高系统可靠性的有效途径。
目前产品支持两台网关设备以主-备模式运行。
主备模式是指实现HA的两台设备中, 一台作为主设备, 另外一台作为备设备。主设备在进行业务的同时, 将相关的配置和数据信息实时同步到备设备。当主设备出现故障或主设备的链路中断时,备用设备成为主设备,接管原主设备的工作,实现网络业务的无缝切换。
在主备模式下,主设备响应各类报文请求,并且转发网络流量;备用设备不响应报文请求,也不转发网络流量。主备设备之间通过HA心跳线同步状态信息,配置信息以及特征库文件。
主备模式支持路由模式和透明模式。
主主模式是指实现HA的两台设备中, 两台均为主设备。主设备在进行业务的同时, 将流表信息和认证用户信息同步到对端。当其中一台设备出现故障或链路中断时,另外一台设备作为故障设备的备份,接管原主设备的工作,实现网络业务的无缝切换。
在主主模式下,两台设备均工作,转发流量。主主设备之间通过HA心跳线同步状态信息。
主主模式支持路由模式和透明模式。
HA主备的工作状态主要有两种,主模式和备模式:
· 主模式是指在设备HA主备模式中,实际参与工作。
· 备模式是指设备在HA主备模式中,作为主设备备份,不参与实际工作。只有当主设备失效,才转换为主设备,接替其工作。
HA主主的工作状态为主模式:
· 主模式是指在设备HA主主模式中,两台设备均参与工作。其中一台设备出现故障,另外一台承接出现故障的业务。
HA中,主要有两种接口概念:
· HA接口:连接两台HA设备的接口,不参与报文的转发,只用于HA设备接收心跳报文和同步报文使用。
· 监控接口:HA必须重点关注的设备接口,如果此接口状态为down,表明网络状态发生故障,需要切换主备设备来修复故障。
· 非抢占方式:如果备份组中的路由器工作在非抢占方式下,则只要主路由器没有出现故障,备设备不会主动成为主设备。
· 抢占模式:抢占模式时指用户可以根据需要,制定某一台设备优选为主设备或者为备设备。如果配置优选为主设备的设备工作正常,即使当前设备为备状态,也要“抢占”成主设备。
· HA的两台设备抢占模式必须匹配。或者全部配置成非抢占模式,或者一个配置成抢占为主,一个配置成抢占为备。否则HA无法正确协商。
为了避免HA设备频繁进行主备状态转换,备设备在网络状态恢复为正常状态后,也不会马上抢占为主,而是在流表等信息同步完成后,等待一定时间。只有在这段时间内,设备依然正常,才会通知主设备,抢占成主。
HA设备之间用来相互通告设备的HA配置和HA状态的报文。如果一个设备在规定时间没有收到邻居心跳报文,可以认定HA邻居已经失效。
处于备状态的HA设备不会参与网络转发,因此无法通过其接口配置的IP地址访问。为了解决这一问题,可以在设备上配置管理地址,用作备设备的网络管理。用户可以从外部访问备设备的telnet服务和web管理界面。
HA作为热备份,为了在状态切换的过程中,尽量减小对网络的影响。HA会将主设备上的一些实时的状态同步给备设备。同步的内容主要包括三种:session信息,设备配置,特征库。
· session信息:包括设备连接表、fdb、用户信息、PKI。
· 设备配置:同步的设备配置中不包含HA配置信息,以及一些特殊的配置。
· 特征库:特征库包括IPS特征库,AV特征库,APP特征库以及URL特征库。
· 当设备启用HA主备模式后,设备进入init(初始化状态)。在这个状态,设备不参与报文转发,只接受对端HA设备的keepalive报文。如果收到了主设备发出的keepalive报文,设备会进入备状态。如果没有收到keepalive报文,设备会进入主状态。
· 如果设备成为主状态后,会向外发送免费arp报文,用来更新上下游设备的arp表(工作在路由模式),或者向外发送特殊的报文刷新上下游交换机的fdb信息(工作在透明模式)。
· 如果设备成为备设备,设备会清除自己的fdb表(如果工作在透明模式),并且向主设备请求状态信息。
当设备启用HA主主模式后,设备进入init(初始化状态),然后状态置为master。设备收到对端发来的keepalive报文,两端设备协商参数。建立master邻居后,靠心跳报文保持邻居关系,并启动定时器。若在定时器(定时器时间为interval *retry次数)时间内,未收到心跳报文,则状态置为master(A)。出现故障的设备状态置为master(N)。master(N)状态的设备,监控接口不参与报文转发。
· 两台设备必须型号一致,板卡一致。
· 两台设备的序列号要求不一致。序列号一致建不起来邻居。
· 查看心跳线接口状态是否正常。
两台设备均配置监控接口,当其中一台设备的接口down掉后,另外一台设备的接口将对端地址代理,代理地址置为active,此接口参与出现故障设备的业务转发。
Ha主主环境下,流表信息同步,某种业务的控制报文走的其中一台主主设备,数据报文可以从另外一台设备收上来。
可缓存exe文件,如缓存txt、PDF类文件将在页面直接显示无法下载。
APP模糊匹配的URL设置需要去掉host字段,如精确匹配时设置为http://www.test.com/test/sys.apk,那么模糊匹配时URL设置成/test/sys.apk即可,因为模糊匹配时是不会检查host字段的,如果设置了host字段会导致匹配不上。
本地文件不存在时,会去源站点下载。
如果有硬盘则存储在硬盘上,如没有则存储在CF卡上。
App缓存命中统计为每小时向文件同步一次,如果出现系统异常或重启,则最近一小时的命中统计数据会丢失。
APP动态缓存最多可以写8个域名。
下载URL必须为真实的下载地址,即符合URL三要素(资源类型、存放资源的主机域名、资源文件名)。
此为软件限制,cli上传文件,使用的是tftp方式。tftp在上传完成前无法获知上传文件大小。
当磁盘占用率大于80,无法正常下载。
H3C SecPath F1000-ServerBlade 服务器安全智能模块不支持此功能。
无法单独删除其中一个app缓存文件,只能删除域名同时删除该域名下的所有缓存app文件。
动态缓存的文件包含(安卓的*.apk)和(苹果的*.ipa)两种类型。
使用公网真实的服务器测试不会出现缓存失败现象,测试环境中出现过缓存失败的情况,且只有文件资源名包含中文时才会出现,真实场景是不存在文件名为中文的情况的,目前发现HFS1.5g版本搭建的webserver服务器当文件名包含中文时其对中文进行编码时使用的中文对照的16进制符号不是标准的,会导致设备下载资源后解码出的文件名与实际下载的文件名对应不上,这样即使下载成功了也不能正确显示,测试环境使用的HFS2.3版本无问题,推荐使用该版本进行测试,或者直接使用公网环境测试。
应用缓存实现机制:将用户get报文截获做302重定向到设备本地下载,因为操作过快,导致两次下载的GET实际是在同一条流上,因为302重定向是针对单条流只会重定向一次,后续的GET是直接放通的,所以会出现此现象,是302重定向的机制实现。在实际应用场景中,客户端为手机,不存在连续下载多次相同文件的情况,所以在实际应用场景中也就不存在这个问题。
软件限制,出现概率非常小,不影响使用。
基于会话的源和目的IP来进行限制,当会话没有匹配到源IP地址,就会继续匹配目的IP地址。如果匹配到了源IP地址,那么不会继续匹配目的IP地址。限制的方式包括并发会话数和每秒新建会话数两种控制方式。
一条新建的流量能够同时匹配多条会话限制时,将以会话限制配置的从上到下顺序进行匹配,以配置在上面的条目为准。
比如对公司内部各IP进行会话数限制,地址对象为any,总会话数限制为200,每秒新建限制为10,对技术支持组的各IP进行会话限制,地址对象为192.168.2.0/24,总会话数限制为100,每秒新建限制为10。
配置了两条会话限制,技术支持组的地址对象包含于地址对象any。
查看限制阻断,匹配到192.168.2.0/24的地址的会话限制都采用的是技术支持组的会话限制配置,符合预期效果。
可以,会话总数和每秒新建的速度,如果只希望限制一个,可以将另一个的数值设置为0,表示对该项不进行限制。
不可以,如果已经配置了某个地址对象的会话限制,那么下一次新建该地址对象的会话限制后,将覆盖之前配置的会话限制。
不会,由于会话已经建立,且数量大于当前配置的会话限制中的总数,下一次该地址对象的流量到来后,将不会受到会话限制的影响,除非该会话老化。如果一直有该地址对象的流量通过,那么该会话将无法老化,可以通过手动清除当前的会话,来使得会话限制对该地址对象立即生效。
query current count: 48977 当前dns并发请求数
query total count: 677413 发送的dns累计请求次数
cache count: 0 缓存数量
local count: 0 设备ping一个域名,成功会+1
dns并发数可以达到1W,设备最多允许接收5W;dns缓存动态5万条,静态和特定域名各128。
dns session 主要影响特定域名。
dns session enable特定域名优先走session。
dns session diable特定域名使用特定DNS服务器进行动态解析。
dns代理缓存达到5w以后,新来的dns请求继续处理并回应请求端;此时不再对新来的dns请求产生的应答进行缓存。
DNS报文数据段>512,dns响应报文不能大于512,对于大于512的响应报文,设备进一步回复给客户,但不进行动态缓存。
接口类型改变后必须去手动修改DNS链路的配置,否则会造成业务不通。
A记录设备最多显示8条,如果超过8,剩下的使用...省略号。
display dns cache和页面支持显示4个具体ip地址,后面()显示总的ip地址个数;命令行下display dns cache + 域名可支持最多显示出8个具体IP地址。
例:
开启DNS透明代理的功能,但是没有配置透明代理的策略,仍会命中透明代理的流程,导致用户无法上网,需要配置dns透明代理策略。
如果域名比较长,在页面的DNS缓存中无法完全显示(无法显示部分...代替),如果想在页面查询这样的域名是无法查询的。
本机报文不走dns代理流程,只需要在全局dns配置一个有效的DNS地址(DNS全局代理可关闭),在设备上就可以ping域名。
开启DNS透明代理或者DNS全局代理其中一个,DNS流量就会正常的进入DNS静态域名,DNS动态域名流程。
debug显示出接口为NULL时表示匹配的特定域名解析,否则显示出匹配的DNS链路出接口,例:
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.6, out interface = ge4.4021, domain = www.spirentcom.com, retry = 0
<2016-12-14 15:07:54> DNSP src ip = 20.1.1.3, dst ip = 200.111.111.1, send target ip = 111.1.1.3, out interface = NULL, domain = 3.33334.www.spirentcom.com.cn, retry = 0
多条链路,配置基于负载,当某个dns链路出接口没有路由时,还是会负载DNS报文,选到有路由的就发出去,选到没有路由的就发不出去,就会造成部分网络不通。
多条链路,配置基于优先级,当优先级高的没有到dns服务器端路由的时候不会切换到优先级低的dns链路发送,会造成网络不通。
策略中的地址对象会去DNS模块查询匹配,当查询到DNS模块中的IP和域名的对应关系后,再将原策略中调用的域名对象与IP关联来实现策略控制,所以会有短时间的时间差。
(1) 在透明代理模式下,当A经过设备的DNS请求收到响应后,在设备上会产生该域名的动态缓存;如果B再向设备发出请求,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
(2) 在全局代理模式下,当A经过设备的DNS请求收到响应后,在设备上不会产生该域名的动态缓存;如果在B向设备发出请求时,当设备存有该域名的缓存,并且该缓存的TTL时间没有减到0,那么设备将该缓存直接转发给B,作为DNS响应;如果该动态缓存已经老化,即TTL时间减到0,则向DNS代理的服务器发出请求。
在扫描攻击防御中启用加入黑名单功能后,当一个IP地址被识别为攻击源后,会被自动加入黑名单,并在设定的时间丢弃所有该IP发送的报文。
新建已存在黑名单,会进行替换,下发成功后会替换之前的名单,并且不会增加黑名单条数,如果已经满规格,进行新的配置,才会给出已超过规格的提示。
统计集中最近1小时的刷新间隔是1分钟刷新一次,统计最近1天的刷新监控是10分钟刷新一次、统计最近1周的刷新间隔是60分钟刷新一次。
近1小时流量趋势图中,将鼠标移动到每分钟上,会显示当时的流速即1分钟内流量的平均值;近1天流量趋势图中,将鼠标移动到每整10分钟时,会显示当时的流速即10分钟内流量的平均值;近1周流量趋势图中,将鼠标移动到每整小时时,会显示当时的流速即1小时内流量的平均值。
统计集中用户的类型包括匿名用户(IPv4用户及IPv6用户)、静态绑定用户、本地认证用户及第三方认证用户。
对于不同的系统平台,统计集所显示及统计的用户及应用的规格是不同的,可以通过命令display flow-account specification查看规格。
统计集每个应用的总流量为上行数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集右上角有一个刷新按钮,页面不会自动更新,当用户设置统计集按最近一小时、最近一天、最近一周时,后台分别以1分钟、10分钟、60分钟进行更新,此时前台页面需要手动点击<更新>按钮进行刷新页面。
统计集每个应用的总流量为上行数据加下行数据统计出来的总流量,其中总量值后边小数点两位进行四舍五入,所以会造成上行+下行大于或小于总流量现象,误差小于1%。
统计集暂时不支持HA,即主墙数据不会同步到备墙,当HA主备切换后,备墙开始记录数据。
统计集数据目前不能保存,也不能随配置导出再导入。
饼图默认显示流量最高的10种应用以及其它应用,即Top10+1,其它应用是指应用总流量小于0.8%时,记录到其它应用中。
只统计转发流量,不统计到本地流量。
当页面放大或缩小时,饼图的应用注释会与饼图分享,不建议将页面放大或缩小查看。
统计集支持设备旁路模式,能够将Span镜像出来的数据进行数据统计。
应用统计可以在应用中进行点击,页面跳转到使用该应用的用户页面,用户统计即当前发起流量的IP或实名认证用户,点击该用户,可以具体查看该用户所发起的应用流量。
进入WEB页面内的“资源管理>地址>地址探测”点击新建地址探测。
进入WEB页面内的“资源管理>地址>地址探测”查看探测track的间隔时间和重试次数是否时间太短。建议探测间隔时间和重试次数使用默认值10*4。
进入WEB页面内的“资源管理>地址>地址探测”查看探测track状态失败,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
(1) 设备备墙上查看HA配置。
(2) 设备备墙上查看HA所关联track状态是否为Failed。
(3) 设备备墙查看引用的track对象的探测目标是从哪个接口出去的。
(4) 设备备墙在探测目标的接口下配置管理ip地址。
(1) Track联动HA时,因为HA备设备只允许源地址为管理地址的报文发送,所以需要将探测报文的源地址指定为接口的管理地址。
(2) Track联动HA时不支持跨网段的探测,因为跨网段的话,你要把往其它网段的报文发到HA管理IP的网关上,备设备看来,HA管理IP的网关就是它自己,但是它自己是备状态,报文发不出。
WEB页面导入csv格式用户和用户组后,备墙无法实时同步,需要在主墙同步一次配置后,HA状态才会一致。
当设备中配置了多条七元组策略时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条策略便结束匹配过程。策略的显示顺序与匹配顺序一致,即按照WEB界面(或者通过display run policy命令)显示的顺序,从上到下一次匹配。同时,七元组策略支持通过命令移动策略位置来调整策略的匹配顺序。
单条七元组中可以配置多条应用过滤规则和URL过滤规则。此版本针对应用规则的匹配顺序包括:全匹配、顺序匹配。默认为全匹配,即当报文可以匹配到该七元组策略的多条应用规则(同时包含拒绝、允许两种动作)时,执行拒绝动作。顺序匹配则按照匹配到的第一条应用规则执行。
添加或修改七元组策略后,所有的流量都会重新进行策略匹配,以使新的策略生效。
进入WEB页面内的“防火墙>安全策略>IPv4安全策略”查看设备中是否有策略将流量拒绝或进入“网络管理>路由>路由表”查看是否存在IMC服务器地址路由条目。
进入WEB页面“用户管理>认证服务器>Portal Server”中查看“认证URL”是否正确。配置URL时,根据“例如”信息,将Server ip地址更改为服务器的IP地址。
在NAT环境中,用户访问服务器时MAC地址会发生更改。导致服务器接收的MAC地址与接入用户的MAC不符,产生循环认证的问题。命令行中使用user-portal-server mac-sensitive enable可解决。
(1) 首先在接收的认证页面中输入正确的用户名密码“上线”后,错误信息“向设备发送请求失败。可以检查设备中RADIUS服务器端口号是否与IMC服务器端端口号相同;
(2) 查看输入的用户名、密码与IMC服务器中配置的接入用户信息不一致。可查看IMC服务器中接入的用户名、密码是否与输入的相符;
(3) 查看IMC服务器内的“用户>接入策略管理>Portal服务管理>IP地址组配置”查看认证用户的IP地址范围是否在IP地址组范围内。
设备内将RADIUS组调用在Portal Server中,该组内有多个RADIUS服务器存在,配置与IMC服务器相同的RADIUS服务器不是该RADIUS组中第一个RADIUS服务器。所以需要进行多次RADIUS服务器匹配,当匹配到与IMC服务器相同RADIUS服务器时即可认证成功。
用户的PC上原认证页面未关闭,将原认证页面关闭或在认证页面填写已认证用户名、密码、服务后,点击下线后,可正常重新认证认证。
在浏览器调用调色板时需要浏览器支持color类型。只有支持color类型的浏览器才可看到颜色按钮,如不支持的浏览器则会出现此问题现象。
这个问题并非设备选用调色板插件问题,主要在于浏览器的支持color情况。目前已知的浏览器限制有IE和Safari两款浏览器,因与浏览器相关,设备不可控,故将此问题定位为软件限制,在发布说明书中体现。
(1) 配置超时时间分为两项,一项是IMC服务器上配置的用户在线时长,另一项是设备的Portal Server页面配置的超时时间,当IMC服务器和设备同时配置超时时间,这样会在两者内选择一个最小值作为最终的超时时间。当用户在线时长触及了最小超时时间,用户立即下线;
(2) 当IMC服务器未配置用户在线时长,仅在设备的Portal Server内配置超时时间,在这样的情况下,用户的超时会以在超时时间范围内是否有流量来衡量用户是否超时下线。当在超时时间范围无流量产生,则该用户被下线。有流量产生,则按流量停止时间开始计算,闲置时间超出配置的超时时间,用户被强制下线。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看设备路由是否正确;
(3) 查看用户策略的目的IP是否将服务器的IP地址排除在外。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看设备路由是否正确;
(3) 查看用户策略是否正确,PC上网时是否匹配到此用户策略。
根据debug aaa event或系统日志信息查看,认证失败原因:
(1) 服务器无响应:查看路由及IPV4策略是否错误;服务器端口是否匹配;
(2) 服务器密码错误(指Radius);
(3) 用户名或密码错误:查看所输入的用户名是否与第三方服务器上的用户名一致;确定密码是否正确,与服务器上对应用户名的密码一致。特别需要指出的是对于Radius第三方用户存储认证,所使用的服务器为IMC服务器中的Radius部分,所以输入的用户名还要包括服务类型标识部分,账号与服务类型之间用@连接,如htest@kkk,其中htest表示账号名称,kkk为服务类型标识,这两者用@连接后整体作为认证用户的用户名。
对于这种第三方的用户,是否允许用户重复登录,应该由认证服务器去做限制,本地认证的配置只能对本地用户做限制;用户第三方Radius认证使用的服务器为IMC服务器,服务器中对于每个账号都有上线人数限制,但对于接入设备类型为H3C(General)设备,此上线人数限制暂时不起作用。
属于断点续传的有服务器不可达/服务器down/vtysh超时退出(这种情况下,属于断点下载范围。当设备版本下载过程中断掉后,再次开始后从上一次的进度处开始下载)。下载过程中,用户主动断掉(ctrl+c,这种情况不属于断点下载,需要重头开始下载)。
会话统计的排名是按照会话连接数的多少进行的排名,默认只显示前50个会话的排名。
原因是当一条流老化后,又重新产生了一条这样的流,此时存在时间就为0秒。这种情况大多出现在清流过后,立即在web监控页面查看会话监控,容易出现此情况。
当用户抓包达到20M或者300s时自动停止抓包或者也可以手动停止抓包。
抓取新建会话:新的五元组信息产生的新的流。当高级选项抓取新建会话为2时,指的是一条新建流的前两个包。
对于服务质量管理条目建立之前的“最后一次成功率”和“最后一次延时”数据进行补零显示;
进入WEB页面内的“网络优化>服务质量管理”查看探测结果,先确定配置的探测条目tcp端口是否打开。
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
当设备上未配置DNS服务器时会出现以上情况:
(1) 探测内网的dns服务器时,首先确定设备dns服务器是否指向了内网dns服务器;
(2) 探测外网的知名dns时,首先确定设备是否配置了dns服务器,并且配置有到达外网的路由。
PC能够重定向到认证页面,说明设备的路由及IPV4策略是没有问题的。
(1) 首先查看绑定的MAC地址是否与PC的MAC地址一致;
(2) 再查看下组网方式,若是设备通过三层交换机与内网PC相连,目前设备没有跨三层MAC地址学习功能,则无法直接获取到内网PC的MAC地址,这样即使绑定了MAC地址,任然需要通过认证才能上网。
(1) 多出口场景下使用。
(2) 接口最少2个最多4个。
(3) 目前不支持ISP就近探测。
(4) 如果在出口使用的话路由需要配置为默认等价路由。且在同一负载均衡组下。
(5) 如果一个路由的多下一跳出口分属不同的负载均衡组,对于这种存在冲突的情况,按照之前的路由选路方式进行,不再进行负载均衡。
(6) 只有物理口能加入负载均衡组。
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持带宽比负载和优先级负载两种方式。
根据每条链路的带宽,通过分配新建链接,采用轮询负载均衡接口的方式选择出口,达到负载均衡的目的。
(1) 必须有两个出口。
(2) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(3) 采用带宽比负载均衡时,接口组里的所有接口都需要配置带宽,否则该接口组不生效,阈值可不配置。
(4) 不配置阈值的情况下,按照带宽比例进行负载。配置阈值的情况下,根据接口带宽和阈值的值进行转发。
(5) 如果没有配置过载保护接口的话,当链路阈值到达后,该链路不再承载新连接的流量,转由其他链路进行负载。当所有链路都达到阈值后,则会对新连接丢包。
(6) 如果有多个过载保护口,只选择当前负载最小的接口。
基于优先级的是 谁的优先级高先走谁 接口达到阀值后在找第二优先级的接口走,相同优先级,接口流量满了后才从其它接口转发。
(1) 必须有两个出口。
(2) 只有加入到负载均衡的接口,且路由可达的接口才对流量做负载均衡。
(3) 接口必须配置优先级。默认优先级为4,数字越小,优先级越高。带宽阈值可不配置。
(4) 负载方式为优先级并且配置有接口带宽和阈值,当优先级高的链路达到阈值后,走优先级低的链路。
(1) 负载方式为带宽比的情况下,会话保持优于带宽比。
(2) 会话保持保证同一源IP出接口一样。如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
(1) 负载方式为优先级,同时开启了会话保持,先走优先级。
(2) 会话保持对优先级无效,因为优先级强调的本来就是优先走哪个接口,这俩互斥。
(1) 负载均衡组指定过载保护接口,该接口在负载均衡组中。当负载均衡的各个出口都达到阈值后,再有新建会话则从指定的过载保护口出,并且该口不受阈值限制。
(2) 如果有多个过载保护口,只选择当前负载最小的接口。
支持在负载均衡接口上配置健康检查,引用已有的tack机制。当track状态发生变化时,对应接口的路由状态发生变化。基于track,已实现ICMP、TCP(HTTP、FTP、DNS等)。对于需要多种检测方式的,引用track组。
账号管理员:创建/删除/编辑系统管理员账号以及查看自己的操作日志。
权限分配管理员:为系统管理员分配权限以及查看自己的操作日志。
审核员:可以查看所有管理员的操作日志。
系统管理员:对自己已有权限的模块行进操作。
设备由普通模式切换到三权模式后,不能再切换到普通模式。
账号管理员、权限分配管理员、审核员这三个默认管理员的名称不可以修改、但密码可以修改。
设备由普通模式切换到三权模式后,原来的系统管理员和审计员都成为系统管理员,但权限为空。
切换到三权模式后,CLI的控制权限就被回收了,只有如下命令的权限是放开的"exit",
"end","en","enable","ping","configure terminal","interface","no shutdown","ip address","save","display running-config","display version","show running-config","allow access"
"no admin-switch three-power-mode""debug","log",。
广告对象配置支持16条。
广告策略配置支持16条。
一条广告策略可引用1-3个广告服务对象。
本地广告服务对象最多支持4张图片,图片格式目前支持jpg、png,不支持动态图片上传gif,不支持bmp格式图片。
策略中引用的广告对象必须种类相同,不可第三方及本地同时引用。且被引用的广告对象不可修改类型。
命令行不支持新建广告对象。只能修改一些参数,图片不支持修改,命令行主要做配置恢复。
命令行不支持图片导入,不支持图片ha。
一条策略里三组图片,如果图片位置一样的话,pc访问页面广告覆盖显示。
广告对象里的设备ip不通的情况下广告图片无法加载;策略里地址对象不通导致web页面打不开。
域名白名单模糊匹配(使用简单的字符串匹配)。配xw.qq.com访问www.xw.qq.com这才是包含关系。
手机广告对象弹出只有置中与广告对象上下左右不一致。广告对象位置信息只针对PC端生效,移动端全屏显示。支持配置多张图片,以轮播的形式展示,最多支持4张,且每张图片支持广告URL及描述配置。
广告推送如果跨网段推送广告。需要在下联用户的入接口开启http服务(推送模板需要基于设备的一些js库,需走设备入接口http服务)。
手机端UC浏览器需要关闭广告过滤推送的广告才能显示。
腾讯微博和新浪微博内置了域名白名单不会弹送广告。
某些网站安全检查走的是云加速,存在302跳转导致无法打开。开启云加速功能后无法抓到第一个GET包,目前手机qq浏览器需关闭“云加速”后才能够弹出广告。
163和126邮箱页面和广告模板存在兼容问题,不推送广告。
由于某些网站类型限制,导致插入广告后会存在网页打不开现象。网页刷新三次后可以打开(为了提高推送广告的成功率,广告间隔60秒里推送2次)。
由于图片不支持HA主备,存在一个问题。在主墙配置好广告推送后,当主备发生切换后由于广告图片不支持同步,导致备变主后,图片为空,只有图片名称。此时需要手动删除广告对象里图片并且重新上传图片,广告功能才可使用。
每张图片默认展示3秒再加上1秒缓冲就是4秒,最多展示4张图片也就是4*3+1一共13秒。
广告推送白名单(只有命令行)。支持域名白名单(针对目的域名规格256条);支持基于源地址对象的广告白名单(规格256条)。
策略匹配顺序从上向下,如果上面策略匹配到的话,下面策略就不会在匹配。
广告策略里启用禁用是跳过当前这条配置;动作不推送,相当于命中这一条策略截止不继续往下匹配。不启用还得往下匹配。
每张图片上传大小最大是2M。
广告策略配置多个广告对象时。Pc端广告展示全部生效,移动端只生效一个,广告图片随机展示。
由于edge浏览器框架跨域不支持广告推送。
目前只支持HTTP网站弹送广告,不支持HTTPS网站弹送广告。
广告对象里图片需要删除替换时,当只有一张图片时不能删除,需要先添加新的图片上传后,才能删除需要删除的图片。
华为手机今日头条app的链接打开后广告会一直轮播无法关闭,原因是app与广告模板不兼容,不支持推送广告。
https网站类型使用http方式访问网页打不开,http页面访问被301重定向到https页面,导致无法显示。需要以https方式打开https类型的网站。
开启广告推送后访问部分网站广告可以弹出来网页也正常显示了但是过了几秒网页变成黑色,需要将该网站加入域名白名单,不推送广告。
广告推送只对域名方式的URL访问生效,对IP方式访问的URL不推送广告。
软件限制,策略重名时图片无法恢复,文字可以保留。
(1) 新建交换机条目的mac地址是与设备相连的交换机的地址。
(2) 设备配置的团体名需要跟交换机上的团体名一致。
(3) 团体名不能包含中文。
开启跨三层扫描及MAC-IP绑定后,交换机下的新用户IPMAC如果不能及时学习到,数据直接放通,在线用户列表中的MAC会显示成三层交换机的MAC。
如果交换机的MAC不在跨三层学习交换机列表中,直接拿数据MAC与IP-MAC绑定表比对。
如果交换机的MAC在跨三层学习列表中,先遍历IPMAC学习表获取真实MAC,然后再与IP-MAC绑定表比对。
配置更新时间为30s,扫描开始后串行逐个扫描,待所有交换机扫描完毕后等待30s再开始下一轮扫描。
如果旧表中有对应mac,则更新老化时间,如果没有,则新增。对于旧表中有但没有新学习到的mac,等老化后删除。
学习是分两步:
(1) snmp协议跟交换机交互报文,来学习IP/mac条目,并将IP/mac条目存到文件中(网络好时报文交互快,学的也快)。
(2) 从文件中读IP/mac,进行新旧对比并更新老化时间。
(1) IPMAC表达到59000条时触发快速老化,将已经老化的IP/mac全清掉,规格满直接丢新的条目。
(2) 两次快速老化的时间间隔是10分钟。
正常情况下,全局开启跨三层扫描后启动老化定时器,30分钟执行一次老化,然后更新定时器的时间进行下一次老化,如果条目达到59000条,触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟;当再次达到59000条时,if判断当前时间-上次快速老化时间〈10分钟,什么都不做;否则触发定时器快速老化(记录本次快速老化的时间),然后刷新定时器为30分钟。
64,最多可以添加64个交换机。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,终端类型会显示成先识别的终端标识,这样就可能会把MI2识别成MI2S。
同一个小米手机会带多个终端型号:如MI2会同时带MI2、MI2S的终端标识,为防止误识别,小米手机型号不能做为用户唯一的标识。
目前暂不支持防共享监控用户列表HA主备同步,主备切换后需要重新检测共享终端。
阻断提示中<frozen-time>的单位是动态显示的,大于1分钟时会自动以分钟为单位,小于1分钟时会自动以秒为单位。
支持本地认证、短信认证、微信认证、免认证、Portal server认证、AD域单点登录、混合认证。
支持本地认证、短信认证、微信认证、免认证中一种或多种认证方式组合。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看设备路由是否正确;
(3) 查看用户策略是否正确,移动端或PC上网时是否匹配到此用户策略。
(1) 首先查看ipv4策略是否将此数据包拒绝;
(2) 查看设备路由是否正确;
(3) 查看用户策略是否正确,IPhone是否匹配到此用户策略。
(1) 查看微信认证配置中应用ID是否与微信公众平台开发者中心的开发者ID中的AppId一致;
(2) 查看微信认证配置中门店ID是否与微信公众平台开发者中心的设备所在门店ID一致;
(3) 查看微信认证配置中Secretkey是否与微信公众平台开发者中心的Secretkey项一致;
(4) 由于微信公众平台一个门店下所有SSID的Secretkey都一样,所以设备侧SSID一定要与公众平台上的SSID保持一致,否则需要保证微信公众平台上所需连接的ssid排列在最后;
(5) 查看微信认证配置中其他参数是否正确。
(1) 若微信配置与微信公众平台注册时设置WIFI名称均为2.4G信号的ssid即cisco,那么微信认证时应该连接ssid为cisco;
(2) 若微信配置与微信公众平台注册时设置WIFI名称均为5G信号的ssid即cisco-5G,那么微信认证时应该连接ssid为cisco-5G;
(3) 两者不能同时使用。
此时可以更换浏览器尝试。
不支持。
不支持。
可以将用户认证策略具体化,比如AP1的用户需要进行微信认证,则将源地址设置为AP1的DHCP地址池;这样避免的连接AP2的用户走微信认证策略。
微信连wifi不能区分双频AP两个信号共用DHCP同时接入,设备无法区分SSID,只能通过IP区分,若两个SSID使用不同的DHCP地址段可通过IP来区分。
单台设备下只能支持一个SSID。
支持HTTPS弹portal 。
安卓手机扫码后手机上会显示商户对应的SSID,点击立即连接,完成手机自动连接商户对应的SSID,之后“出现网络连接失败现象”,即使重新连接也不能成功,因为微信扫码只是实现了自动连接SSID的功能,连上SSID后,手机会通过微信触发https流量,但此时由于用户通过认证,所以流量会被设备阻断,设备上放通微信流量的报文时机是在portal页面上点击一键唤醒微信的按钮之后才会放通一分钟。再加上设备无法对微信的https流量进行重定向,所以无法自动弹portal。此时需要手动打开浏览器触发弹portal完成接下来的认证流程,实现上网。
PC端进行微信认证时的浏览器支持IE9及以上,火狐、谷歌浏览器,对于火狐浏览器网银模式不支持,请勿使用网银模式。
移动终端浏览器推荐:
|
手机品牌 |
推荐浏览器 |
|
iPhone |
QQ浏览器、百度浏览器 |
|
ipad |
QQ浏览器、百度浏览器 |
|
三星 |
QQ浏览器、百度浏览器 |
|
华为 |
QQ浏览器、百度浏览器 |
|
oppo |
QQ浏览器、百度浏览器 |
|
小米 |
QQ浏览器、百度浏览器 |
|
魅族 |
QQ浏览器、百度浏览器 |
设备上的wifi名称(SSID)建议不要使用中文、如果使用中文可能会存在兼容性问题出现乱码或无法连接的问题。具体请参考微信公众平台说明:https://mp.weixin.qq.com/wiki,附截图说明如下。
为了实现微信内置浏览器弹Portal,默认放通了dns.weixin.qq.com(DNS报文会封装到这个域名的报文中)、short.weixin.qq.com(获取用户OpenId)的流量,不认证的情况下微信能正常收发消息,因为微信收发消息被封装在short.weixin.qq.com的报文中了。
微信内置浏览器中大部分应用都部署在微信服务器上,访问时报文已被微信私有协议mmtls加密,导致不能弹portal,此类url host一般是http://mp.weixin.qq.com。
例如:http://mp.weixin.qq.com/s/YOkQ0zn7fYi35KK8m3Gw8w,经测试统计这类应用的比例高达40%左右,另外还包含以下情况不能弹Portal:
(1) 微信内置浏览器中的https页面不支持弹portal。
(2) 部分http页面不能弹portal,原因是终端建立tcp3次握手后,不发送GET请求了,与终端行为有关。
(3) 订阅号中的应用不支持弹portal,都是内置在微信服务器上的应用,微信不会响应302重定向报文。
苹果手机不支持扫码认证,在微信扫码认证时,因为微信需要获取root权限打开手机无线,苹果手机没有开放root权限,安卓手机默认都开放了root权限。
强制关注支持订阅号和服务号,但强制关注所用的订阅号和服务号必须是已通过微信官方认证的,否则没有权限获取access_token。
在开启强制关注后,若有两个及以上门店使用同一个微信公众号,则需要搭建第三方token服务器,并将token-url设置为token服务器的地址,否则会导致强制关注功能异常,因为门店设备网关每105分钟会去微信公众号更新access-token,一旦access-token更新就会失效,这样就会导致同一时间总有一个门店获取关注用户列表失败的情况,设置一个token-url间接获取token就能避免这样的情况出现。
原因:微信客户端一次请求的等待时间为10s,请确保后台认证服务器在微信客户端向authUrl发送请求10s之内返回AC认证结果,即http返回码。超过10s未返回认证结果将视为认证失败。
用户源MAC获取方式因组网环境不同会有差异:
二层组网:直接获取报文中的用户源MAC,显示到日志中。
三层组网:不开启SNMP跨三层MAC学习功能的话,也是直接获取报文中的用户源MAC,显示到日志中。如果开启SNMP跨三层MAC学习功能,先取报文中的源MAC同交换机列表中的MAC进行比对,如果匹配到,则到该交换机列表中获取真实的源MAC显示到日志中,如果没匹配到则显示报文中的源MAC。
免认证方式是一种支持用户自定义认证portal进行广告宣传,同时不需要输入账号即可实现快速上线的认证方式,可提升用户体验。用户访问网页时被重定向到已定义好的portal页面,点击登录按钮即可完成认证流程。
用户第一次接入网络时会弹portal认证页面,用户按照要求输入正确的用户名及密码后完成认证并成功上线,此时设备会将该用户的MAC加入到无感知列表,当用户下次上线时先查无感知列表,如果用户MAC在无感知列表中,设备自动完成认证,将用户无感知上线,简化了认证流程,提升了用户体验。
用户认证上线后,设备将该用户的MAC加入到无感知列表,当用户下线后,设备启动超时定时器,在超时时间范围内用户再次上网可以无感知上线,若大于超时时间,设备会将该用户MAC从无感知列表中删除,此后用户下次上线时需要重新输入账号密码进行认证。
无感知认证支持跨三层组网,但需要在设备上开启SNMP跨三层MAC学习功能,以获取用户的真实MAC。如果未开启SNMP跨三层MAC学习功能,会把报文中的三层设备的MAC加入到无感知列表,从而导致三层设备下的用户都可以无感知上线了。
本地认证、短信认证、微信认证都支持无感知。
(1) 用户超时下线,并非用户自己主观行为,所以应该支持无感知,让用户没有重新认证的感觉。
(2) 用户被管理员踢下线,证明用户存在一定的异常,针对异常用户肯定不能无感知。
(3) 用户主动注销,证明下线是用户主观的行为,不想在不知情的情况下再次上线,所以也不能支持无感知。
通过如下命令检查用户上线后MAC是否被加入到无感知记录表中:
· display user-waa local-waa查看本地认证无感记录表。
· display user-waa sms-waa查看短信认证无感知记录表。
· display user-waa wechat-waa查看微信认证无感知记录表。
混合认证就是在用户认证时提供多种认证方式供用户选择,用户可根据需要灵活切换认证方式,混合认证目前支持微信认证、短信认证、本地认证、免认证四种认证方式。
在混合认证里既可以选择单一的认证方式,同时也选择1种至4种的认证方式。
不一样,混合认证的模板是轮播模板,支持广告轮播。然而其他认证模板是默认模板。
无法认证成功,短信认证与浏览器是绑定的。
不包含短信认证的配置,由于短信认证没有命令行,所以导出的设备配置不包含短信认证配置。
不同步。
微信白名单就是认证方式选择为微信认证,配置微信白名单以后,可以免认证上网。
全局白名单针对的是所有的认证方式,而微信白名单针对的是微信认证这一认证方式。
微信白名单在混合认证方式中不生效,因为混合认证方式会弹混合认证风格的认证界面,支持认证方式手动切换,如果混合认证中包含微信认证方式,弹portal之前无法确认用户是否会选择微信认证,即使用户选择了微信认证,也无法匹配白名单了,因为白名单的流程是在认证弹portal之前,弹portal后再命中白名单违背了白名单的设计初衷,即配置白名单的用户是不会弹portal的。
https弹portal是指终端访问https的网站认证上网,https网站能弹出认证页面portal。
由于https是加密的,访问https页面就需要ssl证书,所以手机访问部分https网页的时候,会弹出一个警告信息,部分https网站提示完可以继续访问,但是也有部分网站直接禁止继续访问该页面。这时候可以换一个浏览器或者换一个https网页重新访问。
因为微信认证中,由于用户与微信服务器的交互都是https加密的,对于PC端而言,打开https网页弹出portal以后,流量会自动放通一分钟,以便用户能与微信服务器通信完成交互生成二维码信息,对于移动终端而言,弹portal后点击“一键唤醒微信连wifi”的按钮后流量会自动放通一分钟以便正常唤醒微信,完成接下来的认证流程。
由于不同的浏览器对一些流行的购物网站(如京东、淘宝)或门户网站(百度)证书安全级别有强制保护检查,浏览器检测到https弹portal的行为证书不合法,则不会继续访问portal页面,导致无法弹portal,此外对于银行https网站都无法实现弹portal。
IE11浏览器有合法证书强制检查,不信任的证书网站不允许用户继续浏览,进行强制保护,导致设备无法对https网站弹portal。
通过门户网站间接访问的其它网站,由于有些网站本身点击跳转时不是访问的目的网站的真实网址,而是还会通过门户网站提供的一个特殊的地址访问后再重定向到最终想要访问的网站的真实地址。对于这种https加密的方式进行访问的网址不支持https弹portal认证。
配置本地web认证或者其它认证方式,保证认证地址能进行正确认证,就能在访问https类型网站时弹出portal。
这个现象是由于浏览器针对不安全页面进行的一个安全提示,属于浏览器的一个易用性功能,因为显示等待一段时间,目的就是提示用户,这个是不安全的。用户不选的话,等待一会浏览器还会自动前往。这个属于浏览器的易用性考虑。
是由于浏览器本身的拦截造成的,由于浏览器本身的拦截,请求并没有发起,而是直接被浏览器处理掉了。
https弹Portal功能非常耗性能,在用户量较大时会导致Portal页面弹不出来,影响用户认证,所以默认情况下不使能,并且不建议在大流量场景下开启此功能,使能命令user-policy https-portal enable。
伪portal抑制使用的是refresh脚本方式进行重定向,客户端收到重定向报文后需要解析脚本成功后才能访问Portal页面,与302重定向不一样,因为一般的软件不会解析脚本,所以就不会发起访问Portal的请求,在一定程度上就减轻了无效的访问对设备造成的压力。
不能排除部分软件可以识别refresh。这个功能是能在趋势上减少请求量,不能保证所有软件都会起作用。
refresh重定向不一定能有效抑制所有的软件,只是说会减少一部分不会识别的refresh脚本的软件。
微信认证强制关注就是用户需要关注客户公众号才能在认证成功后持续稳定上网,否则会在5分钟内被设备踢下线。
不需要,强制关注实现原理是:用户无论是否关注过公众号,均可以正常弹portal完成微信认证,当用户通过微信认证上线后,设备会定期(5分钟一次)与微信公众平台交互获取对应公众号关注列表,如果用户上线后不关注公众号,关注列表中没有此用户,那么设备会把此用户踢下线,防止用户蹭网。所以如果在微信认证成功后要想持续稳定上网,建议在完成认证流程后点击关注公众号。
认证模板设置包含本地认证、微信认证、短信认证、免认证的弹出portal页面的风格自定义,同时增加了轮播模板,可用于以上四种认证方式,即每一种认证方式都包含两套模板:默认模板以及轮播模板,轮播模板支持3张背景图片循环播放。
认证模板预览支持认证方式切换效果的展示,但目前尚不支持此功能。
策略查找界面提供基于以下维度的搜索功能:
· 策略ID:精确匹配
· 源地址:地址对象精确匹配,IP地址模糊匹配
· 入接口(源区域):精确匹配,且该选项是唯一性的
· 用户:精确匹配,该选项是多选项
· 目的地址:地址对象精确匹配,IP地址模糊匹配
· 出接口(目的区域):精确匹配,且该选项是唯一性的
· 应用:精确匹配,该选项是多选项
· 服务:精确匹配,该选项是多选项
以上搜索中多选条件项,每项最多可以同时选择8个对象。
同一个条件内部是或的关系,只要包含其中一个对象即可。条件与条件之间是与的关系,必须全部满足才可以搜索成功。
地址本域名是指在地址对象中支持添加域名方式的对象,并支持在其他策略中引用。
地址本域名支持添加域名形式的地址对象,设备会将域名解析成对应的IP地址,在策略匹配过程中实际还是直接匹配的IP,如果发现策略命中不生效,检查设备是否配置了DNS,以及查看域名是否成功解析成了IP地址。
NAT44支持端口复用,只要一条流的DIP、Dport、portocol有一个参数不一样就可以转化成相同的源端口。
NAT44端口分配是随机的,从尚未使用的端口号中随机选择一个进行转化。
H3C SecPath F1000-ServerBlade 服务器安全智能模块不支持此功能。
目前仅支持华为E3372联通版本的4G网卡。
设备在CPU100%的情况下会出现大量丢包,拨号报文发不出去,在连续发10个包后,没有响应,会导致lcp down,然后报close事件,根据PPP状态机,PPP切换到closing状态。
然后超时,收到To-事件,状态切换到closed状态,此时收到server端的Configure-Request packets时,会发送一个Terminate-Ack。收到server端的Terminate-Acks被静静的丢弃,以防止造成循环。
不再主动发包,等待up事件触发,所以需要接口shutdown、no shutdown。
(1) 负载均衡出接口配置规格32。
(2) 单独一个出接口允许添加健康检查的个数规格8。
(3) 负载均衡策略配置规格32。
(4) 单独一条负载均衡策略可以添加的出接口(包括出接口组)规格8。
(5) 出接口组中可以添加的出接口的规格4。
(6) 免负载地址可以添加的地址对象(包括地址对象组)规格8。
(7) 加入到负载均衡组中的接口不能再加入到桥口或聚合口和HA心跳口。
目前支持基于权重负载和优先级负载两种方式。
选路的规则是按照链接哈希,结合权重完成选路,同一链接的所有转发要求使用同一个接口完成。
关于父子链接的应用:sip,h323,pptp,ftp,tftp等要求主从链接必须使用同一个接口完成转发,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发。
(1) 权重的范围1-100。
(2) 出接口状态为up的接口能够参与权重比计算。
负载均衡策略添加的出接口,按照由上到下的匹配顺序,进行转发。
这里的优先级需要明确,最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
(1) 优先级的匹配顺序是由上到下。
(2) 最优链路出现故障,则使用第二优先级的链路转发,一旦最优链路恢复,则新的链接使用最优链路完成转发,旧得连接在原有的接口上维护。
(3) 优先级可以通过上下箭头进行调整,按照调整后优先级完成转发。
新版本的会话保持功能,使用源地址hash,这样就可以保证同一源地址的所有请求使用唯一接口完成转发,如FTP控制流和数据流走同一链路,同一用户的请求能持续在同一个链路进行负载,避免网银等业务不可用。
新版本暂时不支持过载保护功能。
(1) 链路负载出接口,添加健康检查(健康检查地址需要配置可达地址)。
(2) 健康检查支持协议:暂时仅支持ICMP检测。
(3) 链路负载均衡出接口,最多添加8个健康检查条目,8个检查条目,只要有任何一个检测失败,认为该出接口健康检测失败,该接口状态为不可用。
(1) 出接口为三层口静态ip的接口,必须配置下一跳地址。
(2) 出接口为pppoe,dhcp,tunnel接口,不需要手动配置下一跳地址。
(1) 默认配置排除设备的直连网段,也就是说直连网段的地址访问外网,不需要进入负载均衡流程。
(2) 选中的免负载均衡地址访问外网,不需要进入负载均衡流程。
新版本暂时不支持匹配应用的负载均衡。
首先匹配策略路由,未匹配上策略路由匹配负载均衡策略,均为匹配上,匹配静态路由。
(1) 链路负载均衡本身的匹配顺序,先匹配免负载均衡地址,负载均衡策略由上到下匹配。
(2) 负载均衡能够匹配正向发送的流量,无法匹配反向进入设备的流量(配置负载均衡策略,同样要配置相应的默认路由,保证目的nat功能可用)。
(1) ISP地址的导入命令:copy ftp 服务器ip 导入的isp地址库名称 isp-address
(2) isp地址导出命令行:export isp-address by ftp 服务器地址
(3) ISP地址导入后需要执行isp address update,导入的isp地址生效
(4) ISP地址导入后需要执行isp address creat,isp地址生效
(5) ISP地址删除命令,isp address delete
(1) 用户的规格是根据不同设备型号(不同的内存来决定的,范围是4096-32768)。
(2) 用户组的规格所有设备相同,均为1024。
用户页面能够完整显示前3个用户组,剩余的用户组通过省略号代替,但是会显示具体的所属用户组个数。
用户组中引用用户的规格为2048,当所选用户超过2048个,无法全选移动到指定用户组。
用户支持批量移动,用户组不支持批量移动,仅支持单独移动。
(1) 用户导入支持追加导入,不支持覆盖导入,如导入文件中的用户与系统中已存在用户名称相同,则导入失败。回退导入操作。
(2) 导出:导出所有用户和用户组。
(3) 导入/导出的文件后缀格式(.csv)。
LDAP服务器用户名长度大于63字符后同步到设备用户名会截断成63字符。
LDAP服务器同步目前支持389明文传输,不支持636密文传输(加密跟服务器交互不了 身份验证不了)。
在用户管理>全局配置>第三方LDAP认证处,选择ldap组统一认证。
Windows AD域不支持匿名同步用户。
AD服务器上用户名超长(大于63字符);(汉字数字字母以及@._-()[]|以外的特殊字符);单OU下大于2048个用户的。
设备不支持与openldap对接,只支持与Windows AD域服务器认证对接。
LDAP BaseDN如果写根OU的话,同步LDAP服务器的时候会把根OU下的所有子OU以及用户全部同步下来。
远端用户删除后重新同步ldap组后,远端被删除的用户移除用户组,本地用户没被删除,不会影响到策略。
(1) 由于远端用户认证未下线所以本地即使没有该认证用户也不影响下联pc上网。
(2) 当远端pc认证用户下线后重新使用被删除的用户进行认证是提示用户不存在。
HA主备环境配置不会比较ldap同步下来的用户。
IPSes条件下使用LDAP认证时,IPSes认证使用用户名密码认证后,会从本地查找该用户名用户,若该用户不存在,则不会添加该用户到认证用户组。所以若使用该方式认证,需保证本地存在该用户。
LDAP定时同步设定的时间范围为0-23,例如:23,所代表的含义是时间整点为23点的一个小时时间段内均为自动同步的有效时间,即23:00-23:59为自动同步有效时间。
(1) 接口已经作为镜像规则源接口时不可再配置为其它规则的监控接口;
(2) 接口已经作为镜像规则监控接口时不可再配置为其它规则的源接口;
(3) 源接口和监控接口不能是同一个物理接口,要么配置为源接口,要么配置为监控接口,不能同时配置;
(4) 管理口以及旁路接口不可配置为监控接口;
(5) 在线业务口不可配置为监控接口(在线业务口即为现网在跑正常业务的物理接口)。
(1) 查看接口是否up,只有镜像接口up时才进行端口流量镜像,否则不进行流量镜像;
(2) 设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率超过3/4则镜像功能失效,不再镜像业务流量。
设备packet buffer数量使用率超过3/4,可通过display statistics fpa命令中PKI_POOL一行查看当前的使用情况,如果正常业务流量的packet buffer数量使用率未超过3/4,但匹配镜像功能后超过3/4,则会出现只镜像出部分业务流量的现象。
需要配置多条端口镜像规则,每条规则配置不同的源端口镜像到同一个监控接口, 目前端口镜像规则的源接口、监控接口只允许配置一个物理接口,无法配置多个物理接口。
不支持,由于设备仅仅支持单台模式,因此仅仅支持本地镜像,而不支持远端镜像。
不能。
使用display statistics phy-interface命令或在web页面查看监控接口的发送的流量大小是否等于端口镜像规则源接口所配置镜像方向的流量的大小。
可以,但是镜像前要保证被镜像的源接口的流量小于监控接口真实的物理带宽,否则监控接口发送报文出现拥塞,造成系统大量丢包,影响报文正常转发,造成业务中断,因此建议使用时配置低带宽向高带宽接口镜像,尽量不要高带宽往低带宽接口镜像。
电脑必须要安装,如不安装会出现浏览器提示证书不合法无法访问的情况。
电脑端需要安正证书在浏览器的受信任根目录下,具体导入过程见【证书导入文档】。
证书有始发日期和结束日期,当导入证书以后,用户电脑当前时间小于证书的始发日期会导致证书无法使用。用户电脑当前时间大于证书的结束日期也会导致证书无法使用。
当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
Chrome浏览器原本打开的12306就是报非安全连接,并且Chrome和Firefox浏览器把全部http视为非安全连接。
如果两台设备串联(PC-设备1-设备2),设备1证书为mm.cer,设备2证书为https.cer,用户电脑应该导入设备1的证书mm.cer。
设备的证书必须和用户导入的证书一致,否则浏览器依然显示证书非安全。
手机端(Android/ios)都需要导入证书,如果不导入,手机端访问网址、发送邮件、升级系统都会报非安全连接或者验证错误。
不是,有些邮箱客户端(网易邮箱大师/闪电邮)的smtp是使用的TLS加密,TLS加密不支持解密。
广告对于使用了HSTS技术的网站,配置https解密后会出现大家概率打不开的情况,请将该域名排除。
支持对安卓、IOS移动终端的https审计,但必须导入证书,证书导入方法参考解密策略典配文档,部分移动终端自带浏览器访问页面时会报证书不安全的提示。
由于部分APP对证书有高安全级别的检验,移动终端导入的证书就会检验不通过,导致无法访问,如果出现此情况,则在解密策略中排除APP应用服务器的IP或者关闭解密策略。
DDNS功能的规格限制是以配置的账户名的数量做限制的,目前支持配置10个不同的账户名,由于每个ddns条目只能配置一个账户,且不同的ddns条目不允许配置相同的账户名,因此ddns功能支持配置的条目也是10条。
当外网口地址存在多个IP地址时,DDNS更新时使用主地址进行更新,不会使用从地址,不支持指定某个特定的IP地址进行更新。
由于花生壳厂商不支持对指定的特定域名进行更新,而是会更新此账户下的所有域名导致,后续会进行优化,嵌入支持其它服务商。
这是两个完全独立的功能,分别针对不同的场景,并没有直接关系;但是在DDNS功能使用时需要先解析DDNS服务商的域名地址进行注册和认证授权,因此需要设备配置有DNS服务器,DDNS才能够正常使用,DNS服务器可以手工配置,也可以通过在DHCP或PPPoe接口动态获取。
由于设备支持配置32个链路负载出接口,每条链路负载出接口均支持配置dns-dnat功能,因此dns-dnat规格与链路负载出接口一致。
DNS透明代理功能优先处理DNS报文,DNS报文不会在进DNS-DNAT流程处理。
DNS-DNAT的探测功能在配置DNS-DNA后就会默认开启,设备主动往主、备DNS服务器发送域名www.baidu.com的dns请求报文,每10s发送一次,重试次数为3次,即如果连续三次未收到DNS服务器的dns恢复报文则认为此DNS服务器故障。
在web管理页面,网络管理>负载聚合>负载均衡出接口配置页面查看,如果DNS服务器探测失效时,DNS服务器的显示将变为红色字体,将鼠标放在dns服务器显示IP处,会有弹出框显示“此dns服务器探测失败,为故障不可用状态”;在cli下可通过命令行display lb-policy wans interface state进行查看;在dns server后面会显示当前dns服务器成功还是失败,并且后面会有相应的标识,各状态标识含义如下:
· 0x00表示均不健康
· 0x01表示主是健康的
· 0x02表示备是健康的
· 0x03表示均健康
支持保存、导出、导入配置文件的格式为.cfg格式(导入时支持web页面导出的.data加密格式的配置文件),只支持保存配置文件的数量为6个,所有配置文件占总存储大小空间为200M。
· F1000-C8102防火墙
配置文件保存在CF卡中,当CF卡空间不足以保存配置文件时会进行提示;使用erase startup-config命令清除所有配置重启后不会清除掉保存的配置文件。
· F1000-ServerBlade 服务器安全智能模块
配置文件保存在Flash卡中,当Flash卡空间不足以保存配置文件时会进行提示;使用erase startup-config命令清除所有配置重启后不会清除掉保存的配置文件。
可使用display config-list命令查看当前设备保存的配置文件,并且会显示配置文件保存的时间点,顺序按照时间点从最新到最老进行显示排列。
在命令行下使用copy config test.cfg ftp 192.168.2.120 test.cfg导出配置文件时,输入“?”时后面仍会提示输入FTP服务器的地址。如下所示:
这是由于FTP导出配置文件的注册命令是这样2条命令:“copy config LocalFile ftp USERNAME PASSWD A.B.C.D RemoteFile”,“copy config LocalFile ftp A.B.C.D RemoteFile”,
“copy config test.cfg ftp 192.168.2.120 test.cfg”执行的命令给识别为第一条命令了,把IP地址作为USERNAME来使用,所以导致输入?仍会提示输入FTP服务器地址。FTP导出命令是分为2个命令注册的,一个是匿名用户,一个需要输入用户名/密码;在输入IP地址和文件名称时无法区分是否是用户名、密码还是服务器、文件名称。
1G内存设备存储规格为1000;
2G内存设备存储规格为5000;
4G内存设备(含小于8G设备)存储规格为1W;
8G及超8G内存设备规格为2W。
要求在逃生时所有用户均可上网、逃生结束后未认证用户均需认证。也就意味着,在逃生期间在线用户不发生变动。
要求在逃生时在线用户和mac地址在已认证用户列表里的用户可以上网,其它用户不能上网。
认证用户有保存用户数的规格限制,当存储用户数达到规格时,优先删除最久没有流量的用户。
地址探测模块负责向指定的Portal服务器或着内容平台发送探测报文。当Track状态变更时,向Portal逃生模块通知Track的状态,当trach状态为不可达,portal逃生功能开始生效(探测次数和间隔时间是根据地址探测的配置来决定)。
H3C SecPath F1000-ServerBlade 服务器安全智能模块不支持此功能。
可以,启动成功后执行命令即可。
根目录下的version是文件里,里面放置需要更换的版本文件,序列号文件里的version只是一个放置版本号和版本名称的文件。
没有影响,只有在重启的过程中生效。
零配置启动盘启动成功后会在序列号文件夹下生成一个finish的文件。把文件删除后,还能继续生效。
零配置启动盘启动后,不论失败或者成功,show log debug即可看见日志。
不是,启动盘里可支持1024序列号。
启动配置是一个,备份文件是三个。
告警事件的全局开关就是“启用事件告警”,取消勾选后整个功能处于关闭状态。
会话警告阈值规格是按照设备的会话规格统计的,例如设备会话限制30W,会话警告阈值就最大值就是30W条。
一般情况下,用户密码是指发送地址的邮箱登录密码,但是因为部分邮箱设置了第三方授权登陆码的,密码这块就需要填写授权码。
首先检查是否配置DNS,确认与邮箱服务器正常连接后,可以点击测试邮箱有效性,如果收到邮件证明配置填写无误,如果未收到邮件,则是配置填写有错误。
重置会回到前一次的配置,并不是清空配置。
不会,只有在设备主页系统状态页面会弹窗告警。
记录到1W条日志时,会删除最初的1000条。
最大规格是500条自定义应用,如果导出超过500条的文件,则只有导进500条成功。
尽量不要选择已经被使用的端口。
不是,只需要在目标端口、IP、域名或URL任选一个填写即可。
首先用户没有识别,那就是用户地址不在识别范围内,更改用户全局配置里识别范围后,清一下会话,再匹配自定义应用流量过设备。
切换成英文版后系统日志和操作日志显示的中文日志是在中文版本操作的,对应的,如果是在英文版的操作后,切换成中文版本,日志也会有英文显示。
设备控件显示中文和操作系统语言有关,操作系统为英文版,浏览器显示设备控件即是英文。
不会,保存的配置不受切换版本影响。
目前不支持多域及子域的情况,在线用户信息未带域名信息。
单点登录启动脚本,存在被安全类软件提醒的风险。需手动添加至白名单即可。
用户上报信息已加密,包含用户名、密码。
登录数据此版本不支持防回放。
HA主备单点登录配置支持HA同步,但在线用户不支持HA同步,如果发生HA切换,存在以下两种情形:
(1) 单点登录失败的用户,不需要认证,自动上线。
新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则以IP做为用户名直接上线。
(2) 单点登录失败的用户,继续匹配后续策略。
新的主设备收到用户心跳报文后(默认30s发一次心跳报文),用户会重新上线,但是如果上网流量产生在心跳报文之前,则会继续匹配设备上的后续认证策略,如果没有后续认证策略,则会丢弃在收到下个心跳报文之前的30s内的所有报文,后续收到心跳报文后则会重新上线。
在线用户只识别第一次登录的账号,避免频繁出现账号切换,目前设备是基于IP来识别用户的,无法实现两个IP一样账号不一样的用户同时在线。
基于源地址散列+权重。
为了保持一致性,同一个源的报文被送到同一个服务器处理,这里需要采取基于源地址hash的算法,同时还具有加权随机的算法,最终选择实服务器,即DNAT规则。
基于权重。
源ip每次都会进行匹配后进行转发。
范围为1-100。
权值越小,优先级越高。
支持icmp。
通过发送icmp数据,检查服务器是否存活。
支持tcp。
通过发送指定端口的tcp数据,检查服务器是否存活。
支持日流量限额。
支持月流量限额。
支持流量提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持日时长限额。
支持月时长限额。
支持时长提醒功能,达到阈值后,访问http后会弹出提醒页面。
支持惩罚方式为禁止上网。
支持惩罚方式为添加到流控通道。
仅支持流控子通道。
需配置一个非常用的服务来作为惩罚的低速通道。
限额提醒页面对http生效,https页面由于是加密的所以不生效。
限额策略根据五元组从上到下顺序匹配策略,同一个用户只会匹配到一条策略,对于限额实际应用场景来说,时长限额和流量限额是二选一的。
硬件只支持5米以下的线缆,如果测试发现接口不UP,请更换小于5米的线缆进行测试。
接口从地址能配置为相同网段的不同IP,不会发生冲突,这是业内的标准实现。
UTF-8编码格式,是变长的编码格式,具体如下:
占2个字节的:带有附加符号的拉丁文、希腊文、西里尔字母、亚美尼亚语、希伯来文、阿拉伯文、叙利亚文及它拿字母则需要二个字节编码
占3个字节的:基本等同于GBK,含21000多个汉字
占4个字节的:中日韩超大字符集里面的汉字,有5万多个
一个UTF-8数字占1个字节
一个UTF-8英文字母占1个字节
即少数是汉字每个占用3个字节,多数占用4个字节。
软件限制,打印不影响功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
