某客户报告客房端无法使用招商银行网银。提示IP地址错误。
无
经确认,导致问题的原因为配置了静态等价路由。配置为基于用户的源地址单播策略路由后解决此问题。
华为路由器防火墙都支持等价路由,对于部分多线同一个ISP接入环境。很多使用配置等价路由,导致网银、QQ、等多会话应用环境存在不稳定的情况。我们建议大家在多ISP接入时最好选择基于源的单播策略路由或基于目的地址的路由优化。
此类问题在Cisco、H3C、Juniper中同样存在。
客户使用华为USG2130作为酒店出口防火墙,开启DHCP Server,客户端出现部分终身无法获取IP地址
无
通过DHCP信息查看确认没有空余IP地址,确定IP地址被使用完,同时发现设备配置IP租赁时间为3天,将DHCP IP租约时间改为8小时后,问题得到解决。
当用户流动性较大时,请注意DHCP租约时间,对于WLAN热点区域,建议改为4个小时或更短,而酒店有线网建议8个小时。
内网PC与内网所在的SERVER 在同一个网段,现在内网SERVER 对公网用户提供WWW 和FTP 服务,在公网上有相应的域名。现在要求内网PC 可以同时通过公网域名、公网IP 和私网IP 来访问内网的这台SERVER。
内网主机通过公网域名来访问映射的SERVER 在AR 路由器上都是通过NATDNS-MAP 来实现的,但不能同时通过公网IP 和私网IP 来访问SERVER。如果在设备内网口配置NAT SERVER 则可以把访问公网地址转换成私网地址,然后向SERVER 发起连接,但源地址还是内网主机的地址,此时SERVER 给PC 回应报文时就不会走路由器,直接发到了内网PC 上,内网PC 认为不是自己要访问的地址,会把这个报文丢弃,因此会导致连接中断。如果让SERVER 把报文回给路由器,路由器再根据NATSESSION 就可以正确转发给PC 了。
在内网接口配置一个NAT OUTBOUND 3000 就可以了。具体配置如下:
acl number 2000 //定义要上网的流量
rule permit source 192.168.1.0 0.0.0.255
rule deny
quit
acl number 3000 //定义您内网访问服务器的流量
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0
rule deny ip
quit
interface Ethernet1/0 //您的内网接口,按照实际情况配置接口号
ip address 192.168.1.1 255.255.255.0
nat outbound 3000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
interface Ethernet2/0 //您的公网接口
ip address 200.0.0.2 255.255.255.0
nat outbound 2000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60
无
华为AR G3连接PC后长时间无法通信
无
华为ARG3路由默认LAN口侧开启STP生成树,当下行连接普通交换机和PC终端时建议将端口设置为边缘端口或关闭STP生成树协议。
无
华为 ARG3 系列做Nat Server 后,部分内网用户使用外网地址访问服务器。
无
具体查看附件。
无
华为S1728GWR-4P默认出厂设置开启RSTP和端口节能。而这两项功能特性在某些环境中会导致端口长时间无法使用的问题。例如新插网线RSTP进行生成树计算,造成几秒钟的掉包。而端口节能因为部分网卡不支持。端口休眠后重新恢复时间较长。
无
对于不需要RSTP的环境下建议开局关闭RSTP。有STP需求的情况下,建议将连接PC终端的端口设置为边界端口。对于端口节能,建议全部关闭。
无
无
无
注意事项1
V200R001C00SPC300版本中,不支持S2700SI/S2700EI/S3700SI/S3700EI系列交换机。
注意事项2
V200R001版本上的trunk 类型接口的默认PVID为1,untag的报文进来后会被打上vlan 1,在vlan 1内转发。
注意事项3
V200R001版本,swap-mac特性只作为探测使用,默认关闭,需要配置loopback swap-mac start进行探测;从V100R005版本升级到V200R001版本,如果端口下配置了swap-mac命令行,则升级后该命令行不能生效,需要执行loopback swap-mac start命令才能生效;探测时间默认60s,可以配置。
注意事项4
V100R005版本,802.1x认证和MAC认证对于动态VLAN授权和guest VLAN功能的用户接口类型没有限制,升级到V200R001版本之后,在MAC认证模式下,用户接口类型必须为hybrid接口,需要手动将端口类型修改为hybrid类型后进行升级。
注意事项5
S3700HI/S5700EI/S5710EI/S5700HI/S6700EI系列交换机V200R001版本,loopback-detect功能的缺省保护动作,由block端口修改为shutdown端口。可以通过display interface的方式查看接口down是否被loopback-detect shutdown。如果是,必须先shutdown再undo shutdown或者restart手动进行恢复。
注意事项6
S5710EI系列交换机V200R001版本,启用LACP协议时,不需要在接口下配置BPDU使能。因此接口下不再支持bpdu enable命令。
注意事项7
随着通信网络的迅速发展,系统组成越来越复杂,系统规模越来越庞大,任何隐含的缺陷、失误操作都可能造成巨大损失。为了保护用户使用设备的安全需要,主要进行了以下优化:
改为默认password方式(不能为空),用户登录后要求必须设置密码。
注意事项8
V200R001版本,以太类型端口下流量统计缺省包含帧间隙;如果需要取消包含帧间隙,请在端口下配置undo set flow-statistics include-interframe。
无
在我们ar2200上配置了nat和路由,但是在本设备上带内网源地址无法ping通外网,由于是远程到设备上调试,内网也没办法测试配置的nat是否生效,内网是否能正常上网
[RT-AR1220S]ping -a 192.168.11.1 202.96.134.134
PING 202.96.134.134: 56 data bytes, press CTRL_C to break
Request time out
Request time out
--- 202.96.134.134 ping statistics ---
2 packet(s) transmitted
0 packet(s) received
100.00% packet loss
经确认,这个版本默认是对本地产生的报文不会匹配nat转换策略,直接转发。
只有升级到V200R002之后能支持开启本地报文也和非本地报文匹配方式一样转发,即可实现在本设备上带内网源地址nat转换后在转发。
开启这个功能的命令是:
[RT-AR1220S]ip soft-forward enhance enable
[RT-AR1220S]ping -a 192.168.11.1 202.96.134.134
PING 202.96.134.134: 56 data bytes, press CTRL_C to break
Reply from 202.96.134.134: bytes=56 Sequence=1 ttl=249 time=30 ms
Reply from 202.96.134.134: bytes=56 Sequence=2 ttl=249 time=30 ms
Reply from 202.96.134.134: bytes=56 Sequence=3 ttl=249 time=30 ms
Reply from 202.96.134.134: bytes=56 Sequence=4 ttl=249 time=30 ms
Reply from 202.96.134.134: bytes=56 Sequence=5 ttl=249 time=30 ms
--- 202.96.134.134 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
缺省情况下,AR G3本机产生的IP单播协议报文不受流量监管、流策略等QoS功能的影响,在出接口按高优先级进行转发。当需要本机产生的某些IP单播协议报文与本机转发的报文使用同一转发策略时,用户可以执行本命令
无
USG V300R001版本如何针对单IP地址限速
无
#定义Car-Class
car-class class1 type per-ip
car max 4096
#开启流策略
traffic-policy enable
#配置流策略
traffic-policy interzone trust untrust inbound per-ip
policy 0
action car
policy destination 192.168.6.0 mask 24
policy car-type destination-ip
policy car-class class1
traffic-policy interzone trust untrust outbound per-ip
policy 0
action car
policy source 192.168.6.0 mask 24
policy car-type source-ip
policy car-class class1
#
return
详细查看产品版本手册
无
在vlanif接口下配置 dhcp select relay
dhcp relay server-ip X.X.X.X和全局模式下配置dhcp enable 几秒钟以后上述配置全部消失,没有任何告警信息和提示信息,反复测试,设备重启,问题依然存在
首先复现问题,在接口使能client功能后,申请地址成功。等待几分钟后,发现接口配置丢失,重新使能client后,获取不到地址。此时,使用端口镜像抓包,发现接口发送了discover报文,server也回应了offer报文,但是设备没有再发送request报文进行下一步交互。打开dhcp的调试开关,终于发现问题的原因了,罪魁祸首是“auto-config”
当在设备上配置完dhcp的配置后,几分钟后,“auto-config”检测到dhcp使能,默认会把dhcp去使能,这就出现了一段时间后,设备上dhcp配置丢失的现象
重启设备,设备注册成功后,停止“auto-config”,继续配置dhcp功能,观察一段时间后,配置不丢失,问题解决
autoconfig enable和dhcp存在特性冲突,配置dhcp功能前必须undo autoconfig enable