baalchina

S7510E和SecBlade都是如此。问题是因为开启了

ip ttl-expires

关掉即可。

ip ttl-expires enable

解释如下：

开启ICMP 重定向报文发送功能ip redirects enable
必选
缺省情况下，ICMP 重定向报文发送功能
处于关闭状态

 

摘自手册。

防火墙抽风，于是最近开始测试H3C的防火墙，是S7510-E交换机的板卡。“H3C SecBlade FW防火墙模块”

网页在这里：http://www.h3c.com.cn/Products___Technology/Products/IP_Security/FW_VPN/SecBlade/FW/

周五花了一个晚上调试成功，和普通的独立墙区别还是比较大的，写下来备忘~如有错误，概不负责。

板卡式墙的特点

• 卡上虽然只有4个千兆电口，但是可以利用S7510E上面的板卡，也就是实际上接口的扩展性是非常强的，而一般的独立防火墙是很难达到这样的端口密度的。
• 如果S7510E上面有万兆口，那么这个墙就是一个万兆墙。这个成本可比单独的墙要低多了。加上本身的成本也要比独立墙便宜，所以价格优势还是很大的。（这一款要比Hillstone的墙便宜5W左右）。
• 据H3C工程师介绍，板卡是通过S7510E上面的万兆口互联的。这个如果两个万兆口会怎么样呢？应该会是一个瓶颈吧。不过无所谓啦，万兆至少目前还很稀有。
• 可以很容易的对内网网段进行包过滤。以前要实现包过滤必须网段接口在防火墙上，而独立墙的接口是很珍贵的，现在的话只需要进行一些配置就可以操作了。

配置

• 配置的时候是采用的将S7510的所有配置挪到了防火墙上实现的。
• 将所有的SVI地址挪到了防火墙板卡上。以前是S7510和其他设备之间跑OSPF，现在是“防火墙板卡”和其他路由器跑OSPF。
• S7510机箱上有一个XGE0/0/1口，这个口就是和防火墙的连接口。
• 我们配置的时候用的是2层方式。将这个口和防火墙上的万兆口打Trunk，然后允许所有数据包通过。SVI起在了放火墙板上，这样也就可以对任意网段进行包过滤了。

IPv6

• IPv6没有测试是否支持。但是在web界面里面没有看到。还需要去了解下。

双防火墙的热备

• 这个应该还是有点传统的交换机形式。两台墙分别起SVI地址，然后VRRP虚拟出新地址。这个地址既然是热备的，那么墙也就热备啦~

其他功能

• 支持VPN，没测试
• 支持流量监测，P2P检测。不过也没测试
• Web过滤也可以，还是没测试

配置同步

• 由于没有找到配置同步的地方，所以现在是手动导出->导入。172.16段的路由和172.17段路由不一样，所以就会发现一般情况下开端口在1号墙配就行了。但是针对172.16的必须要到2号上也配置一下。这个很麻烦！

缺点：

• Web管理中，一般最后会默认加一条拒绝策略。但是这时候再新添加策略的时候，会跑到这条拒绝的后面，还得手动把它调整到前面去，很不方便。
• 还是老问题，虽然设置了telnet的acl，被拒绝telnet的客户端还是可以打开端口，只是自动断开了。这个应该是h3c的os问题。
• 双墙跑热备的时候，无法同步配置。测试其他墙配置可以自动或者手动同步，但是H3C的这个就不行。好在可以导出配置，然后再导入。
• 配置策略的时候，Hillstone的墙在策略域那里可以直接设置为Any-Any，而这个必须要指定一个域。比如某一个服务要对全部区域开放，其他墙只要Any-Any就行了，这个却要设置Trust-Server,Untrust-Server，如果你还有DMZ1，DMZ2…不过我估计应该有更好的方法实现。这个待了解。

CF卡买的是创见的2G 133x卡，太大的怕不识别。

http://www.360buy.com/product/123621.html

20101101更新：KingMax的也可以：http://www.360buy.com/product/208724.html，同样2G。

109米，插上去直接就可以识别了，也没格式化。

[S7510E-2]display device cf-card
CF Card Information in slot 5 :
Status: Normal
Size  : 2004 MB

[S7510E-2]

 

先看一下当前的日志文件配置：

<S7510E-2>display logfile summary
  Log file is enabled.
  Channel number : 9
  Log file size quota : 1 MB
  Log file directory : cf:/logfile
  Writing frequency : 24 hour 0 min 0 sec
<S7510E-2>

 

注意要在普通模式下，不要进system-view。

在cf卡下建立一个目录logfile

<S7510E-2>mkdir cfa0:/logfile

%Created dir cfa0:/logfile.

<S7510E-2>

将日志保存到cfa0下：

[S7510E-2]info-center logfile switch-directory cfa0:/

注意是system-view的命令。

然后打logfile save就可以把日志保存到cf卡了。

看日志的话，用more命令，和linux一样。

硬件

1. S7510E的引擎有LSQ1SRP1CB (Salience VI-Turbo)以及LSQ1MPUB (Salience VI-Lite)等。后者的区别在于取消代理功能，不支持MPLS。

交换机管理，只启用SSH

首先要生成key，并启用SSH Server

[S7510E-1]public-key local create rsa 
[S7510E-1]ssh server enable

接下来允许SSH登录

[S7510E-1-ui-vty0-4]display this
#
user-interface aux 0
authentication-mode password
set authentication password simple h3c
user-interface vty 0 4
authentication-mode scheme
#
return
[S7510E-1-ui-vty0-4]

这里必须要启用AAA scheme。这样SSH才可以登录。

当然，还要建用户：

[S7510E-1-luser-baalchina]display this
#
local-user baalchina
password cipher (@*(@*#(*#(@#(*&@#&
service-type ssh telnet terminal
#
return
[S7510E-1-luser-baalchina]

允许baalchina用户使用ssh/telnet/terminal登录。

然后最后再把telnet-server禁掉就行了。打完收工。

ps，做的时候小心，不然就连不上了。

只允许特定客户端telnet/ssh到特定的设备地址

如果只允许特定地址，telnet/ssh交换机的特定svi地址，那么就需要通过在user-interface中加入ACL来实现。

先写一个ACL：

[S7510E-1]display acl 3100
Advanced ACL  3100, named Remote_Access, 2 rules,
for_remote_access_to_switch
ACL's step is 5
rule 0 permit ip source 172.17.0.0 0.0.0.255 destination 172.16.1.1 0
rule 5 deny ip (2 times matched)

[S7510E-1]

172.16.1.1是设备的地址。

再到vty里面加上ACL就ok了。

user-interface vty 0 4
acl 3100 inbound
authentication-mode scheme
#

 

ps，加上这个，其实22端口还是开着的…只是拒绝连接。telnet提示

%connection refused by remote host.

凯创的就比这个好一点，一条命令，端口都关闭了。

Products
Matrix N-Series
DFE
Goals
Reset password to factory default
Password recovery

Symptoms
Lost password
Forgot password

Cause
If the admin password is lost or forgotten, then the only way to create, edit or delete user accounts on the DFE products is to reset it back to its default value.

Solution
To reset the admin password:

Pull all of the blades from the backplane.
Using anti-static precautions, select one of the blades and toggle switch 8 on its dip switch bank. If you cannot locate the dip switch bank, consult the Installation Guide for your specific blade model.
Reinsert it into the chassis, and allow it to fully boot. This blade will become the Management Master switch for the system, with the passwords initialized to their defaults.
At any time thereafter, reinsert the other blades into the chassis.
It is not possible to reset the rw or ro passwords by external means. Recover the admin password and then administer the other passwords as desired.

命令：

set port lacp port ge.2.2 aadminkey 3
set port lacp port ge.3.2 aadminkey 3
set port lacp port ge.2.2 padminkey 3
set port lacp port ge.3.2 padminkey 3

这个adminkey就是类似于Cisco etherchannel里面的channel号。

注意这个时候打vlan的时候就需要针对lag.0.3打，否则是不会生效的。

Enterasys的spanguard类似于Cisco的bpduguard。当在edge(即user端口)收到bpdu的时候，将该端口置为block状态，时间由spanguardtimeout指定。

设置如下：

首先设定edge端口：

set spantree adminedge ge.2.46 true

接下来设定允许spanguard，以及block时间。

set spantree adminedge ge.2.1-46 true
set spantree spanguardtimeout 300
set spantree spanguardtrapenable enable

注意仅仅是对于安全管理的设置。

对于锐捷设备

ip ssh version 2
enable services ssh-server
no enable services telnet-server
services telnet host 172.17.13.0 255.255.255.0
no snmp-server community public

作用：
打开SSH，关闭telnet。如果打开telnet那么只允许在特定的网段进行telnet。

对于凯创设备

set router telnet disable

禁止通过SVI接口telnet。

同时还有命令

set router ssh enable

这个命令大开了设备的ssh。切记要打开这个，否则你再也连接不上设备了...