baalchina

S7510E和SecBlade都是如此。问题是因为开启了

ip ttl-expires

关掉即可。

ip ttl-expires enable

解释如下：

开启ICMP 重定向报文发送功能ip redirects enable
必选
缺省情况下，ICMP 重定向报文发送功能
处于关闭状态

 

摘自手册。

防火墙抽风，于是最近开始测试H3C的防火墙，是S7510-E交换机的板卡。“H3C SecBlade FW防火墙模块”

网页在这里：http://www.h3c.com.cn/Products___Technology/Products/IP_Security/FW_VPN/SecBlade/FW/

周五花了一个晚上调试成功，和普通的独立墙区别还是比较大的，写下来备忘~如有错误，概不负责。

板卡式墙的特点

• 卡上虽然只有4个千兆电口，但是可以利用S7510E上面的板卡，也就是实际上接口的扩展性是非常强的，而一般的独立防火墙是很难达到这样的端口密度的。
• 如果S7510E上面有万兆口，那么这个墙就是一个万兆墙。这个成本可比单独的墙要低多了。加上本身的成本也要比独立墙便宜，所以价格优势还是很大的。（这一款要比Hillstone的墙便宜5W左右）。
• 据H3C工程师介绍，板卡是通过S7510E上面的万兆口互联的。这个如果两个万兆口会怎么样呢？应该会是一个瓶颈吧。不过无所谓啦，万兆至少目前还很稀有。
• 可以很容易的对内网网段进行包过滤。以前要实现包过滤必须网段接口在防火墙上，而独立墙的接口是很珍贵的，现在的话只需要进行一些配置就可以操作了。

配置

• 配置的时候是采用的将S7510的所有配置挪到了防火墙上实现的。
• 将所有的SVI地址挪到了防火墙板卡上。以前是S7510和其他设备之间跑OSPF，现在是“防火墙板卡”和其他路由器跑OSPF。
• S7510机箱上有一个XGE0/0/1口，这个口就是和防火墙的连接口。
• 我们配置的时候用的是2层方式。将这个口和防火墙上的万兆口打Trunk，然后允许所有数据包通过。SVI起在了放火墙板上，这样也就可以对任意网段进行包过滤了。

IPv6

• IPv6没有测试是否支持。但是在web界面里面没有看到。还需要去了解下。

双防火墙的热备

• 这个应该还是有点传统的交换机形式。两台墙分别起SVI地址，然后VRRP虚拟出新地址。这个地址既然是热备的，那么墙也就热备啦~

其他功能

• 支持VPN，没测试
• 支持流量监测，P2P检测。不过也没测试
• Web过滤也可以，还是没测试

配置同步

• 由于没有找到配置同步的地方，所以现在是手动导出->导入。172.16段的路由和172.17段路由不一样，所以就会发现一般情况下开端口在1号墙配就行了。但是针对172.16的必须要到2号上也配置一下。这个很麻烦！

缺点：

• Web管理中，一般最后会默认加一条拒绝策略。但是这时候再新添加策略的时候，会跑到这条拒绝的后面，还得手动把它调整到前面去，很不方便。
• 还是老问题，虽然设置了telnet的acl，被拒绝telnet的客户端还是可以打开端口，只是自动断开了。这个应该是h3c的os问题。
• 双墙跑热备的时候，无法同步配置。测试其他墙配置可以自动或者手动同步，但是H3C的这个就不行。好在可以导出配置，然后再导入。
• 配置策略的时候，Hillstone的墙在策略域那里可以直接设置为Any-Any，而这个必须要指定一个域。比如某一个服务要对全部区域开放，其他墙只要Any-Any就行了，这个却要设置Trust-Server,Untrust-Server，如果你还有DMZ1，DMZ2…不过我估计应该有更好的方法实现。这个待了解。

转自ruijie.com.cn，http://support.ruijie.com.cn/showtopic-11353.aspx

CF卡买的是创见的2G 133x卡，太大的怕不识别。

http://www.360buy.com/product/123621.html

20101101更新：KingMax的也可以：http://www.360buy.com/product/208724.html，同样2G。

109米，插上去直接就可以识别了，也没格式化。

[S7510E-2]display device cf-card
CF Card Information in slot 5 :
Status: Normal
Size  : 2004 MB

[S7510E-2]

 

先看一下当前的日志文件配置：

<S7510E-2>display logfile summary
  Log file is enabled.
  Channel number : 9
  Log file size quota : 1 MB
  Log file directory : cf:/logfile
  Writing frequency : 24 hour 0 min 0 sec
<S7510E-2>

 

注意要在普通模式下，不要进system-view。

在cf卡下建立一个目录logfile

<S7510E-2>mkdir cfa0:/logfile

%Created dir cfa0:/logfile.

<S7510E-2>

将日志保存到cfa0下：

[S7510E-2]info-center logfile switch-directory cfa0:/

注意是system-view的命令。

然后打logfile save就可以把日志保存到cf卡了。

看日志的话，用more命令，和linux一样。

拓扑如下：

Huawei3300--->Enterasys N7A--->Enterasys N7B--->Ruijie S3550--->Ruijie S2126。

其中Huawei3300是专网，往后都是用的vlan形式。

本来配的时候配错了，一路下来，N7B中到S3550的下联口打了tag，但是上联口没有打。很奇怪的是，他居然通了。

后来N7A换成了H3C S7510，结果就是不通了。但是更奇怪的是，可以在末端的S2126上看到vlan的MAC地址。

奇怪。

硬件

1. S7510E的引擎有LSQ1SRP1CB (Salience VI-Turbo)以及LSQ1MPUB (Salience VI-Lite)等。后者的区别在于取消代理功能，不支持MPLS。

交换机管理，只启用SSH

首先要生成key，并启用SSH Server

[S7510E-1]public-key local create rsa 
[S7510E-1]ssh server enable

接下来允许SSH登录

[S7510E-1-ui-vty0-4]display this
#
user-interface aux 0
authentication-mode password
set authentication password simple h3c
user-interface vty 0 4
authentication-mode scheme
#
return
[S7510E-1-ui-vty0-4]

这里必须要启用AAA scheme。这样SSH才可以登录。

当然，还要建用户：

[S7510E-1-luser-baalchina]display this
#
local-user baalchina
password cipher (@*(@*#(*#(@#(*&@#&
service-type ssh telnet terminal
#
return
[S7510E-1-luser-baalchina]

允许baalchina用户使用ssh/telnet/terminal登录。

然后最后再把telnet-server禁掉就行了。打完收工。

ps，做的时候小心，不然就连不上了。

只允许特定客户端telnet/ssh到特定的设备地址

如果只允许特定地址，telnet/ssh交换机的特定svi地址，那么就需要通过在user-interface中加入ACL来实现。

先写一个ACL：

[S7510E-1]display acl 3100
Advanced ACL  3100, named Remote_Access, 2 rules,
for_remote_access_to_switch
ACL's step is 5
rule 0 permit ip source 172.17.0.0 0.0.0.255 destination 172.16.1.1 0
rule 5 deny ip (2 times matched)

[S7510E-1]

172.16.1.1是设备的地址。

再到vty里面加上ACL就ok了。

user-interface vty 0 4
acl 3100 inbound
authentication-mode scheme
#

 

ps，加上这个，其实22端口还是开着的…只是拒绝连接。telnet提示

%connection refused by remote host.

凯创的就比这个好一点，一条命令，端口都关闭了。

某台交换机密码忘记了，但是要vlan号。找了半天，最后找到一个readonly账号..monitor/monitor。

参见3com的Getting Started Guide。

另外这个网页可以参考一下：

http://www.tek-tips.com/viewthread.cfm?qid=555357

Products
Matrix N-Series
DFE
Goals
Reset password to factory default
Password recovery

Symptoms
Lost password
Forgot password

Cause
If the admin password is lost or forgotten, then the only way to create, edit or delete user accounts on the DFE products is to reset it back to its default value.

Solution
To reset the admin password:

Pull all of the blades from the backplane.
Using anti-static precautions, select one of the blades and toggle switch 8 on its dip switch bank. If you cannot locate the dip switch bank, consult the Installation Guide for your specific blade model.
Reinsert it into the chassis, and allow it to fully boot. This blade will become the Management Master switch for the system, with the passwords initialized to their defaults.
At any time thereafter, reinsert the other blades into the chassis.
It is not possible to reset the rw or ro passwords by external means. Recover the admin password and then administer the other passwords as desired.

命令：

set port lacp port ge.2.2 aadminkey 3
set port lacp port ge.3.2 aadminkey 3
set port lacp port ge.2.2 padminkey 3
set port lacp port ge.3.2 padminkey 3

这个adminkey就是类似于Cisco etherchannel里面的channel号。

注意这个时候打vlan的时候就需要针对lag.0.3打，否则是不会生效的。

以下在s2150G交换机上测试通过。软件版本1.69，以下可能不支持，困扰了我很久。

首先需要有用户管理程序。我使用的是Windows 2003自带的IAS-Internet访问控制。在添加删除程序中可以找到。它支持标准的Radius协议。

另外需要在Windows下新建一个用户，属于特定的组，比如Raidus组，用户nic。

安装好IAS之后，右键点击Radius客户端，新建一个客户端--注意一个交换机对应一个客户端。密钥我指定为switch。不要勾选“请求必须包括消息验证程序属性”，客户端-供应商选择RADIUS Standard。如下图所示

接下来右键点击“远程访问策略”，“新建访问策略”－－“设置自定义策略”－－“添加策略状况”。

选择Windows-Groups，然后在新窗口中选中前面新建的Radius组。

下面选择“授予远程访问权限”。

下一个窗口选择“编辑拨入配置文件”。

身份验证部分取消所有框，只保留“未加密的身份验证（PAP,SPAP）”。

高级-ServiceType-设置为Login。

确定，至此IAS部分的设置即完成。

下面是交换机部分的设置，把配置贴在下面：

Switch#show run

System software version : 1.69 Build Aug  2 2007 Release

Building configuration...
Current configuration : 288 bytes

!
version 1.0
!
hostname Switch
vlan 1
!
radius-server host 10.1.1.3
enable secret level 15 5 #wNq&#Z1^IOrJ%(8YMp]K*.tSxB^"[/7
!
interface vlan 1
no shutdown 
ip address 10.1.1.1 255.255.255.0
!
radius-server key switch
line vty
login authentication radius
!
end

Switch#

需要注意几个关键点：

一、这里的Radius是level 0的用户，也就是默认telnet上去的用户。你仍然需要设置level15的密码。通过enable secret level 15 0 password。

二、看Radius是否成功，可以通过Windows的系统日志。

三、存在一个问题，就是当Raidus服务器失效，你就再也无法telnet了。Cisco设备支持先Radius再local，当Raidus失效默认local。但是锐捷设备貌似不支持。

四、配置login authentication的地方，一般设置line vty即可。line console是串口线。最好别设置。