搜索内容

SE_Gao 的文章

  • S5700 三台堆叠 配置问题

    https://support.huawei.com/enterprise/zh/knowledge/EKB1100123880 问题描述 display  current-configuration和display saved-configuration 配置不一致 处理过程 display saved-configuration这个是下次启动所用的配置文件 current-configuration是当前生效的配置 通过save的方式也不能更新saved-configuration 解决方案 当设备上的插卡不在位时,插卡上原来的配置会保留在交换机上; 当堆叠环境中的备/从交换机不在位时,这些交换机上的配置会保留在主交换机上。这些无效的配置均叫做非激活配置,也叫做离线配置。 用户可以执行命令display current-configuration inactive查看设备当前的非激活配置信息。 用户可以执行clear inactive-configuration all一次性清除设备上所有的非激活配置信息,增加设备的可用空间。

    SE_Gao 2024-06-04
    16 0 0

  • 出口交换机上行链路down默认路由不失效

    https://support.huawei.com/enterprise/zh/knowledge/EKB1100130789 问题描述 此场景为HCS数据中心网络出口区域,出口交换机与出口防火墙之间运行OSPF协议,出口防火墙配置云内汇总网段路由指向云核心交换机并引入至OSPF,出口交换机配置默认路由指向外部出口路由器并在OSPF域内通过命令default-route advertise下发默认路由; 正常场景下,当主出口交换机上联链路故障后,云内流量通过主防火墙到达主出口交换机,由于主出口交换机上行链路故障,默认路由下一跳不可达,路由不加表,会通过与备出口交换机互联的逃生链路学习到备出口交换机下发的OSPF默认路由,将流量转发至备出口交换机出去; 故障场景:当主出口交换机上联链路故障后,云内流量出不去,通过tracert命令进行路径追踪后发现数据包在主出口防火墙与主出口交换机间形成环路。 处理过程 故障场景下,当主出口交换机上联链路故障后,云内流量出不去,通过tracert命令进行路径追踪后发现数据包在主出口防火墙与主出口交换机间形成环路。 通过对主出口交换机路由表进行查询后发现,默认路由没有失效,下一跳任然显示可达,当通过dis ip routing-table x.x.x.x命令查询下一跳匹配路由发现下一跳地址进行了路由迭代,迭代的路由是通过主出口防火墙学习到的指向云内的汇总路由,导致出口默认路由未失效,数据包在主出口防火墙与主出口交换机间形成环路; 经过查询后发现是由于防火墙指向云内的汇总网段将设备互联网段包含,导致故障现象发生。   根因 防火墙指向云内的汇总网段将设备互联网段包含,导致出口交换机上联链路down后,默认路由下一跳进行路由迭代,未失效。

    SE_Gao 2024-06-03
    5 0 0

  • 防火墙解密导入证书失败案例

    防火墙解密导入证书失败案例 https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=272561 防火墙解密导入证书失败案例 1问题现象下图为总描述导入失败 (1)新增解密策略选择对应的名称 区域 以及服务器地址和端口 (2)选择服务器证书 添加 (3)导入证书 (4)由于格式不一致导致导入失败 so  只能把证书格式转换一下再代入就可以 2根本原因 1、只有在设备生成证书请求,证书颁发机构根据设备的证书请求文件颁发的CRT/CER的证书才能直接导入,导入时选择处理未决的证书请求 2 只是格式不对 只能pfx或p12 *.crt或者*.cer文件就是只有公钥的证书文件 *.key文件是证书私钥文件 *.csr文件是证书请求文件,申请SSL证书时需要提交给证书颁发机构的请求文件,这里我们用不到 3解决办法 打开网址 https://www.myssl.cn/tools/merge-pfx-cert.html 按照对应案例将证书导入进去(备注 使用记事本打开  再复制粘贴就行) 如下所示 输入密码 大功告成 最后导入证书就OK了 输入密码 导入证书OK了 将合成后的ssl.cer或者ssl.crt按照以上案例中的方式和key文件合成pfx证书即可 证书就这样安装好了 4建议总结 实际证书不一致导入失败,转换下格式导入就可以 正常做解密策略 记住这个网址 证书转换就OK欧克欧克 https://www.myssl.cn/tools/merge-pfx-cert.html

    SE_Gao 2024-05-29
    52 0 0

  • HCI常规化部署案例

    https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=272921 一、信锐交换机配置 (1)信锐交换机官方的网站https://www.sundray.com.cn/data/32_97.html,下载AP诊断工具troubleshoot进行更改胖瘦模式。 (2)电脑配置192.168.0.X,连接登录交换机的MGMT口,使用浏览器https://192.168.0.1登录交换机web界面。默认用户名密码都是admin。   1、配置M-LANG   (1)创建管理口vlan选择“255”保证客户的网络可以管理到设备。 (2)配置业务口trunk“1-4090”保证业务可以正常访问; (3)配置存储口保证HCI主机间可以通信即可。 (4)创建上联接口ETH12保障数据可以连通 (5)配置心跳口连接2台交换机,图片显示为2条心跳链路聚合。 (6)配置带外管理地址   二、超融合配置 (1)配置接口聚合 配置vxlan的MTU值为:1600 (2)配置虚拟存储 (3)搭建虚拟组件 备注: 1、上传DAS、osm正常上传即可; 2、siplogger镜像上传后需要单独挂载一个D盘“I Tb”否则安装不成功 3、修改设备管理地址通过管理口桥接的方式,访问设备默认自带地址修改例如“10.251.251.251”   三、搭建云端大脑   (1)登录云端大脑地址:https://portal.sangforcloud.com/login (2)创建租户信息 (3)登录租户账号创建云端代理 (4)登录hci创建账号:SKyops (5)搭建云端代理服务器

    SE_Gao 2024-05-28
    36 0 0

  • 第三方IPsec对接H3C防火墙实现总部分支互访配置案例分享

    https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=279979 总部使用深信服AF或者SSL VPN设备有第三方对接授权,现在有一个分支使用H3CUSG防火墙需要与总部内网互通 大概就是这么一个拓扑 总部sangfor设备配置的第三方配 第一阶段 总部节点 野蛮模式、预共享秘钥认证,IKE 加密算法采用MD5、3DES、DH组2 IKE版本使用V1 身份ID采用:tyxz,开启DPD检测 ,其他默认配置 第二阶段 入站地址为分支内网172.16.0.1/24,出站为本地地址192.168.0.0/24 那么在这里根据需要配置H3C设备 1、H3C防火墙接口配置 2、安全域配置 3、华三防火墙还代理了内部上网在这采用了接口NAT 4、放行上网的安全策略 策略——安全策略——安全策略——新建 源安全域:Trust,源地址:本地内网IP:172.16.0.0/24,目的安全域:Untrust,目的地址:any,动作:允许。 测试内网已经可以访问外网了 5、配置IPsecVPN 网络——VPN——IPsec——策略——新建 新建IKE提议 本端ID:方式选择User-FQDB:yqxz,对端ID:选择User-FQDN:tyxz。 以上内容主站、分支没有什么区别,在ID和IP地址根据实际配置选择即可 创建主站保护的数据流(其他厂商有些叫做感兴趣数流)源IP地址:本地内网地址,目的IP地址:对端内网IP地址段,其他默认。 6、为建立IPsec需要放行防火墙安全策略 在H3C防火墙创建安全策略 策略——安全策略——安全策略——新建,创建一条ipsec放行 源区域:Untrust, Local,源地址:< 即两端公网出口地址> 目的区域:Untrust, Local,目的地址:<两端公网出口地址> 配置完成后在VPN——IPsec——监控 配置没有问题即可在这里看到建立成功的隧道 到这里,发现IPsec VPN的隧道连接已经建立成功, 在两端的安全策略中均 放行两地内网互访流量,但ping会发现 隧道中没有数据发出 在隧道——详情——隧道统计,也没有数据流量。 ……

    SE_Gao 2024-05-27
    247 0 0

  • S5735-L-V2 环路组网破环后,仍有接口discarding状态

    https://support.huawei.com/enterprise/zh/knowledge/EKB1100127917 问题描述 故障现象: 正常成环后华为所有交换机均可以ping通;如果在华三汇聚上shutdown第25口后 从x.x.x.201开始按照顺序ping,只能通到x.x.x.60这台,x.x.x.61开始后面的均不通; 组网概述: 处理过程 确认当前故障设备为:ip x.x.x..58 故障设备组网: xgig0/0/1接 59交换机  ;xgig0/0/2 接 60交换机     查看接口是被discarding掉导致无法ping通,且存在MAC地址漂移、怀疑是STP导致接口discardding         根因 由于客户是26台设备组成的环网,环太大导致,58这端的message age已经到了18,下一跳59就是20了,就会把跟58互联的端口阻塞;   解决方案 修改根桥设备的max-hops为40,系统试图stp max-hops 40 建议与总结 应用场景 在运行MSTP的二层网络中,交换设备之间靠MST BPDU进行信息的交互。在MST BPDU中,包含一个记录该BPDU剩余生存跳数的字段。 根交换设备发送的BPDU的剩余生存跳数为MST域的最大跳数。 非根交换设备发送的BPDU的剩余生存跳数为MST域的最大跳数减去本交换设备距根交换设备的跳数。 如果交换设备收到的BPDU中携带的剩余生存跳数为0,则交换设备将该BPDU丢弃。 因此,MST域内生成树的最大跳数会决定生成树的网络规模大小。通过执行命令stp max-hops可配置当前MST域的最大跳数,从而控制生成树的网络规模。 注意事项 在MST域中,CIST的根交换设备或MSTI的根交换设备上配置的最大跳数将成为该CIST或MSTI的最大跳数。

    SE_Gao 2024-05-24
    9 0 0

  • 核心交换机全局引流到旁挂防火墙上引起路由环路的故障

    https://support.huawei.com/enterprise/zh/knowledge/EKB1100129458 问题描述 客户现场S12700E-8两台做集群用于做内网核心交换机。旁挂USG6625F两台(主备HA),用于对内网之间的互访流量做访问控制。由于核心交换机上网络段较多,在每个接口下调用流策略较为麻烦。客户要求在交换机全局下做内网流量的引流。 简化后拓扑如下。 先行使用自己的电脑匹配流量进行测试。 1. 配置ACL,匹配PC访问SERVER的流量。 acl number 3035 description TEST_redirect_to_firewall rule 30 permit ip source 10.7.0.85 0 destination 10.5.55.50 0 rule 35 permit icmp source 10.7.0.85 0 destination 10.5.55.50 0 2. 配置流分类。 traffic classifier tofirewall operator or if-match acl 3035 3. 配置流行为 traffic behavior tofirewall redirect ip-nexthop 10.0.10.44 4. 配置流策略 traffic policy tofirewall match-order config classifier tofirewall behavior tofirewall 5. 在全局下调用流策略 traffic-policy tofirewall global inbound ------------------------------------------------ 经过以上测试后,在电脑上tracert 测试发现。路由环路。流量的路径为:PC-->SW-->FW-->SW-->FW-->........ 处理过程 在用户网络段的VLANIF接口内的inbound方向上调用,此时路由不环路。但无法达到用户要求。此方法不可用。   在核心交换机与防火墙连接的第二个接口(即,防火墙回流到核心交换机的接口:10.0.10.49所在接口)的inbound方向上,调用traffic-filter命令,匹配流策略所引用的ACL,此时流量正常。 interface Vlanif778 ip address 10.0.10.49 255.255.255.248 traffic-filter inbound acl 3035 根因 出现该情况的原因为,PC的流量到达核心交换机后,由于全局调用流策略,将该……

    SE_Gao 2024-05-23
    117 0 0

  • 配置二层远程镜像后业务中断问题

    https://support.huawei.com/enterprise/zh/knowledge/EKB1100130353 问题描述 现网12708交换机配置二层远程镜像,将eth-trunk1接口的流量镜像至eth-trunk2后业务中断。 告警信息 S12700E-8 %%01TRUNK/5/MEMBER DOWN(1)[7703]:The status of the trunk member went Down. (TrunkName=Eth-Trunk2, PortName=40GE2/8/1/3, Reason=LACP down) S12700E-8 %%01TRUNK/5/MEMBER DOWN(1)[7704]:The status of the trunk member went Down. (TrunkName=Eth-Trunk2, PortName=40GE1/8/1/3, Reason=LACP down) S12700E-8 %%01TRUNK/5/MEMBER UP(1)[7705]:The status of the trunk member went Up. (TrunkName=Eth-Trunk2, PortName=40GE2/8/1/3) S12700E-8 %%01TRUNK/5/MEMBER UP(1)[7706]:The status of the trunk member went Up. (TrunkName=Eth-Trunk2, PortName=40GE1/8/1/3) 处理过程 步骤 1 查看业务异常设备日志,故障时间点配置了端口镜像,20秒后Eth-Trunk2出现LACP down告警。 步骤 2 查看对端设备日志,确认LACP down告警的原因为LACP报文中的源mac变动。可见eth-trunk2链路上出现了异常的LACP报文,结合客户的组网及配置,发现镜像端口eth-trunk1也使能了lacp,端口镜像功能将该接口上的lacp报文也镜像到了eth-trunk2口。由于lacp协议处理时不关注报文中的vlan,导致镜像过来的lacp报文影响了eth-trunk2之间正常的lacp协议报文交互,从而导致eth-trunk2 LACP协议状态异常。 12700E LACP/2/PDUC:OID 1.3.6.1.4.1.2011.5.25.41.3.35 The LACP member interface's status changed from selecte 步骤 3 继续往后看日志可以看到 eth-trunk2 LACP协议状态异常 后导致两设备之间的vrrp协议震荡。 ----结束 根因 因为镜像口是eth-trunk口观察口也是eth-trunk口,且都使能了lacp。端口镜像将镜像口的lacp……

    SE_Gao 2024-05-22
    13 0 0

  • Linux禁止ping以及开启ping的方法

    https://zhuanlan.zhihu.com/p/323291321 今天浏览一个网站,本着好奇的心态ping一下,发现不管是ping域名和IP都是不通的。这就比较郁闷了,后来百度后知道原来服务器是可以设置禁止ping的,看来是我孤陋寡闻了,接下来给大家分享一下服务器如何禁止ping。 Linux默认是允许Ping响应的,系统是否允许Ping由2个因素决定的 : A、内核参数,B、防火墙,需要2个因素同时允许才能允许Ping,2个因素有任意一个禁Ping就无法Ping。 具体的配置方法如下: A、内核参数设置 1、禁止ping设置 1.1、临时禁止ping命令如下所示(如果想要临时允许的话只需要把下面的1换成0即可) echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all 1.2、永久禁止ping命令如下所示(如果想要永久允许的话只需要把下面的1换成0即可) 在/etc/sysctl.conf文件中增加一行: net.ipv4.icmp_echo_ignore_all=1(修改完成后执行sysctl -p使新的配置生效)、 2、下图是我使用本地服务器做的测试,可以看到当我配置了禁止ping之后,就无法ping通了。 B、防火墙设置(注意:此处的方法的前提使内核配置是默认值,也就是没有禁止ping) 这里以iptables防火墙为例,其他防火墙操作方法自行百度。 1、允许ping设置 iptables -A INPUT -p icmp –icmp-type echo-request -j ACCEPT iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT 或者可以临时停止防火墙操作。 service iptables stop 2、禁止ping设置 iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP

    SE_Gao 2024-05-17
    158 0 0

  • Linux 系统查看网卡配置信息

    https://blog.csdn.net/piaoranyuji/article/details/113735345#:~:text=1%20ifconfig%20-a%EF%BC%9A%E6%9F%A5%E7%9C%8B%E6%89%80%E6%9C%89%E7%BD%91%E5%8D%A1%E4%BF%A1%E6%81%AF%EF%BC%8C%E7%BB%93%E6%9E%9C%E5%A6%82%E4%B8%8A%E6%89%80%E7%A4%BA%E3%80%82%202,ifconfig%20eth0%EF%BC%9A%E6%9F%A5%E7%9C%8B%E5%85%B7%E4%BD%93%E7%BD%91%E5%8D%A1%20eth0%20%E7%9A%84%E4%BF%A1%E6%81%AF   Linux 系统查看网卡配置,有几种方式,分述如下。 方法一:ifconfig 命令查看设置网卡 ifconfig:查看所有活动网卡信息,能查看 IP 地址和子网掩码,但是不能查看网关和 DNS 地址,还可以临时设置某一网卡的 IP 地址和子网掩码。 [root@cloudgw ~]# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 172.19.243.202 netmask 255.255.240.0 broadcast 172.19.255.255 ether 00:16:3e:04:2c:c4 txqueuelen 1000 (Ethernet) RX packets 387660324 bytes 226790748853 (211.2 GiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 328446865 bytes 259013344959 (241.2 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 inet 127.0.0.1 netmask 255.0.0.0 loop txqueuelen 1 (Local Loopback) RX packets 249981451 bytes 195165066686 (181.7 GiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 249981451 bytes 195165066686 (181.7 GiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 e……

    SE_Gao 2024-05-16
    26 0 0
首页上一页 89101112 下一页尾页10/16
IT技术栈
360°管家式服务,优质的技术服务商。

时钟

当前浏览器不支持时钟模块,请更换浏览器再试

热门文章

2024-03-11
2024-05-06
2024-06-28
2024-04-10
2024-03-06

标签云

句子

归档

时光机

开往-友链接力

最新评论

  • SE_Meng
    12月24日

    升级版本

    评论于 华为2288h v5 对iBMC上报Nand Flash预留块不足10%告警的说明

  • SE_You
    12月24日

    感谢分享

    评论于 dell服务器使用DHCPSER软件配置管理iDRAC

  • 76455115
    12月18日

    这个DHCP工具更好用一些 NetbootM-Dhcp.exe 链接:https...

    评论于 dell服务器使用DHCPSER软件配置管理iDRAC

  • daoguo525
    12月14日

    如何处理?

    评论于 华为2288h v5 对iBMC上报Nand Flash预留块不足10%告警的说明

  • 青奥村谷歌
    12月12日

    回复恢复

    评论于 华为2288h v5 对iBMC上报Nand Flash预留块不足10%告警的说明

    • 友情链接
    申请友链
    Lovestu
    免费图床
    锐捷网络