通常情况下,设备在收到兴趣流后进行IPSEC协商。这样导致很多需要从主端主动连接从端的应用无法实现。如何配置让USG设备启动后自动完成IPSEC协商
无
在接口应用IPSEC时配置 Auto-NEG参数即可,例如:
interface GigabitEthernet0/0/1
description To_internet
ip address 202.96.1.1 255.255.255.252
ipsec policy ike2 auto-neg
无
有时候需要删除重新配置HACMP,除了直接删除cluster软件包重新安装之外,还可以通过如下方法可以删除集群配置。
无
smitty hacmp
->Extended Configuration
-> Extended Topology Configuration
-> Configure an HACMP Cluster
-> Remove an HACMP Cluster
或者直接执行 /usr/es/sbin/cluster/utilities/clrmclstr命令即可删除当前HACMP配置。
无
客户使用Oracle VM VirtualBox做为虚拟机。在安装Centos6时无图形界面?
无
Oracle VM VirtualBox默认分配512M内存。安装64bit Centos需要652M以上的内存。如果低于652M,高于392M,将默认进行最小化安装。无法手动分区及包选择。
在Oracle VM VirtualBox中将内存改为1G后默认有图形界面。
无
华为三层交换机S5700-24TP-SI,创建VLAN99:192.168.99.1/24,VLAN101:192.168.101.1/24,VLAN102:192.168.102.1/24.VLAN1:10.10.0.1/24,Tp-LINK路由器LAN口IP设置为10.10.0.254,WAN口IP地址为192.168.127.22/24,网关为192.168.127.7。现在TP-LINK路由器上配置静态路由后。三层交换机下用户无法访问Ping通192.168.127.22,但能Ping通10.10.0.254
无
1、能Ping通10.10.0.254按理说静态路由正确。但是为什么Ping不通192.168.127.22呢。
2、仔细查看TP-LINK配置发现。配置回程静态路由时配置的是192.168.0.0/16的聚合子网路由。怀疑与此有关系,将此路由改为192.168.99.0/24,192.168.101.0/24。。。后可以Ping通。问题解决。
TP-LINK等类似低端设备设计不按规范处理。当我们配置静态路由时,他将静态路由视为最高优先级别。而并非按规范处理直连路由最高优先级。以后处理类似低端产品请注意!
北方冬季户外温度较低,当服务器由户外搬入机房时会出现结霜现象,此时上电易导致短路损坏问题。
无
机器在搬入室温环境后续静置24小时,检查无水珠后方可上电。
在实际使用中,Ping华为交换机的网关延时比较大,但是交换机其它端口下挂的设备延时就比较小的现象。
1.ping 交换机其它端口下挂的设备时,S9300进行的是硬件数据转发,速度非常快,所以延时也就小。
2.ping 交换机网关时,ICMP报文需要S9300的CPU进行处理,导致延时比较大。原因说明如下:
为了防止网络中常见的ping攻击对设备的影响,S9300将ICMP报文的处理优先级降到最低。
交换机系统是分布式处理系统,ARP、ICMP和路由等信息送到主控板进行处理,这样Ping操作的ICMP报文首先由业务板上送主控板,主控板处理完成后再送回业务板。而且由于ICMP报文优先级很低,在报文传送和处理中都排在最后,所以延时就会比较大。
尽管存在ping 交换机网关延时大的问题,但是由于业务数据报文不需要CPU处理,而是直接由底层芯片处理,所以不会影响到数据包的转发速度。
为解决ping交换机网关延时大的问题,交换机业务板的CPU收到ICMP报文时,会直接进行ICMP响应,增加CPU对ICMP报文的处理速度。该功能可以通过命令icmp-reply fast启用。
缺省情况下,icmp-reply fast功能去使能。
在用户比较在乎Ping值时,请修改此参数。次方法针对V100R005(低端盒式)以上版本及V100R003(机框式)以上版本有效。
客户使用USG2110-F连接专网和Internet。客户专网使用定制开发的远程控制软件无法使用。但换其它品牌路由器可以正常使用。
无
1、从故障现像来看可以确定为USG2110-F设备软件版本或配置问题,查看设备版本,确认已经是最新版本。仔细查看配置文件发现配置有DPI,对P2P进行了过滤,试着关闭DPI后测试远程控制软件,可以正常使用。确定问题为DPI导致。
2、修改DPI对应的ACL配置文件。允许专网数据,仅对去往Internet报文进行DPI过滤即可。
配置如下:
acl number 3000
rule 5 permit ip source 10.10.0.0 0.0.255.255
rule 10 permit ip destination 10.10.0.0 0.0.255.255
rule 15 deny ip
#
#
dpi
whole-packet-search enable application gnutella
whole-packet-search enable application msn_audio
whole-packet-search enable application msn_im
whole-packet-search enable application http
whole-packet-search enable application https
whole-packet-search enable application mms_stream_signal
whole-packet-search enable application rtsp
whole-packet-search enable application pop3_ssl
whole-packet-search enable application wap_connless
whole-packet-search enable application wap_conn
whole-packet-search enable application ssl
whole-packet-search enable application quicktime_streaming
whole-packet-search enable application cotp_data
whole-packet-search enable application stun
whole-packet-search enable application icy
whole-packet-search enable application tcp_other
relation-detection enable
update rule-base server domain sec.huawei.com
rule 1 if-match category p2p packet-filter acl-number 3000
rule 2 if-match category peer_casting packet-filter acl-number 3000
#
无
很多公司都拥有两个ISP的出口,比如电信和网通。公司内部署了内部服务器供外网用户访问。要求内部服务器私网地址10.1.1.1分别针对电信用户和网通用户在防火墙上配置两个NAT Server,供不同用户访问,即NAT Server双出口功能。
配置完成后发现,电信用户可以通过公网地址2.2.2.2访问内部服务器,网通用户也可以通过公网地址3.3.3.3访问内部服务器,但网通用户无法访问电信公网服务器地址2.2.2.2,电信用户也无法访问网通公网服务器地址3.3.3.3。
通常内部服务器以公网地址对外提供访问时,我们是通过配置全局的NAT Server来实现的。每配置一条NAT Server后会生成两张全局映射表,一张是正向映射表,用于外网用户访问内部服务器时的地址转换映射;一张是反向映射表,用于内部服务器主动访问外网时的地址映射。
当内部服务器一个私网IP地址映射成两个公网IP地址时,会建立两个反向映射表,这种情况下当内部服务器主动访问外网时,会有两个映射关系,这是不允许的。
在配置NAT Server双出口过程中,通常采用以下两种方式:
1、基于不同安全区域进行配置,将电信用户和网通用户分别划入不同安全区域,分别提供不同的公网IP地址。
此方式下,内部服务器主动访问外网时基于不同的安全区域来选择相应的反向表做地址映射。
[sysname] nat server zone zone1 global 2.2.2.2 inside 10.1.1.1
[sysname] nat server zone zone2 global 3.3.3.3 inside 10.1.1.1
zone1对应电信用户所在安全区域;zone2对应网通用户所在安全区域。
2、配置no-reverse参数,取消反向表的建立。
此方式下,通常不允许内部服务器主动访问外网,如果内部服务器需要主动访问外网,则要针对此服务器在上另外配置基于源IP地址的NAT功能。
[sysname] nat server global 2.2.2.2 inside 10.1.1.1 no-reverse
[sysname] nat server global 3.3.3.3 inside 10.1.1.1 no-reverse
完成上述配置后,电信用户可以通过2.2.2.2地址访问内部服务器,网通用户可以通过3.3.3.3地址访问内部服务器。
当电信用户访问网通服务器的地址3.3.3.3时,报文到达,根据正向映射表将3.3.3.3转换为10.1.1.1,并将报文送到内部服务器;内部服务器回应报文到达后,命中会话表,通过查找路由,发现是送往电信用户的报文,则就近将报文从电信用户直连接口送出,即报文从网通用户接口到达,但从电信用户接口送出。
此时,如果电信用户与之间还部署了其他防火墙设备,并且这个防火墙设备配置了链路状态检测功能,对于来回路径不一致的报文,不允许通过,最后导致报文被丢弃。
配置NAT Server双出口功能主要是为了实现外网用户就近访问,建议网通用户通过网通的公网IP地址访问内部服务器,电信用户通过电信公网IP地址访问内部服务器,从而实现快速访问,尽量避免交叉访问,以免影响正常业务。
Redmine 1.2.1版本安装在Centos 6.1中。设置好邮件通知功能后,测试发送成功。但是Exchange用户无法收到邮件。
无
1、修改configuration.yml文件如下:
production:
delivery_method: :smtp
smtp_settings:
address: your_exchange_server_address
port: 25
#domain: example.net
#authentication: :login
#user_name: redmine@example.net
#password: redmine
2、修改Exchange集线器传输,允许匿名连接即可。
无
客户现场出现上不了网或上网很慢。查看路由器,CPU使用率达90%,通过端口观察确认确认由下接S3700交换机导致,断开S3700后路由器CPU使用率正常。
无
1、 进入S3700交换机,查看端口统计确认21号端口不正常。怀疑有单端口环路。通过命令Shutdown后CPU使用率正常。
2、 通过命令loop-detection enable开启LDT,并重新开启21号端口,问题依旧。怀疑设备LDT功能无效。
3、 联系公司高级工程师确认,LDT功能有效。但如果下接环路设备为路由器可能会过滤掉S3700的报文。于是让用户确认端口下接设备,反馈结果为S3700交换机下接TP-LINK 四端口家用路由器LAN口,同时LAN口上有环路存在。处理掉环路后问题解决。
4、 为了确认LDT功能的有效性,我们在S3700下接华为S2700交换机。并在S2700交换机上形成环路。通过查看loop-detection信息,发现端口已经被Block掉。确认LDT功能有效。将S2700交换机换成D-LINK 24口普通交换机测试 。同样端口会被Block。
1、 不能仅凭LDT技术来确认端口是否存在环路。当下接环路设备为过滤掉报文时。LDT技术将失效。
2、 华为交换机默认出厂STP为关闭状态。为了防止本交换机形成环路,建议将STP功能开启。
3、 环路排除建议先通过dis int br查看端口流量统计来确认发现