NGFW虚拟系统

H3C UniServer R3950 G6

OS兼容性查询结果：共查询到27条符合要求的数据。 OS版本 OS认证链接 说明 Anolis OS 8.9 链接 Microsoft Windows Server 2019 链接 Microsoft Windows Server 2022 链接 NingOS V3 1.0 openEuler 22.03 LTS SP3 链接 openEuler 24.03 LTS Red Hat Enterprise Linux 8.6 (64 bit) (includes KVM) 链接 Red Hat Enterprise Linux 8.7 (64 bit) (includes KVM) 链接 Red Hat Enterprise Linux 8.8 (64 bit) (includes KVM) 链接 Red Hat Enterprise Linux 8.9 (64 bit) (includes KVM) 链接 Red Hat Enterprise Linux 9.0 (64 bit) (includes KVM) 链接 Red Hat Enterprise Linux 9.1 (64 bit) (includes KVM) 链接 Red Hat Enterprise Linux 9.2 (64 bit) (includes KVM) 链接 Red Hat Enterprise Linux 9.3 (64 bit) (includes KVM) 链接 Rocky Linux 8.6 Rocky Linux 8.8 Rocky Linux 9.0 Rocky Linux 9.2 Rocky Linux 9.3 SLES 15 (64 bit) SP4 (includes XEN & KVM) 链接 Ubuntu Server 20.04.5 (64 bit) – LTS 链接 Ubuntu Server 22.04 (64 bit) – LTS 链接 VMware ESXi 7.0 U3 (64 bit) 链接 VMware ESXi 8.0 (64 bit) 链接 VMware ESXi 8.0 U1 (64 bit) 链接 VMware ESXi 8.0 U2 (64 bit) 链接 银河麒麟高级服务器操作系统V10 SP3 (2403) 说明403 说明信息: 说明403: 表示该操作系统支持的内核版本为4.19.90-89.11.v2401.ky10.x86_64

华为USG2210和山石网科防火墙对接IPSEC VPN

华为USG2210和山石网科防火墙对接IPSEC VPN，中心端是山石防火墙SG6000-A2700，分支端使用华为USG2210防火墙。因前期用户无统一规划导致两端内网地址冲突，都是192.168.1.0/24和192.168.2.0/24两个网段ip地址。用户需求为分分支端需要访问中心端的服务器网段192.168.1.0/24的ip地址。两端都有固定公网ip地址，需要组建IPSEC VPN。 用户现有设备型号及版本如下： 山石防火墙版本：SG6000-A2700  SG6000-A-1-5.5R8 华为防火墙版本：USG2210           V300R001 服务器网段为192.168.1.0/24网段，部署在中心端山石防火墙下。 统一为用户规划中点端组建ipsec vpn的虚拟地址为10.10.0.0/24网段地址。分支端组建ipsec vpn的地址为172.17.20.0/24网段地址。分支端访问中心端的流量统一转换为172.17.20.0/24后去访问10.10.0.0/24的虚拟网段地址。然后做10.10.0.0/24对应192.168.1.0/24一对一映射。如访问10.10.0.8对应访问的真实服务器地址192.168.1.8，这样既避免了vpn两端地址冲突问题，又隐藏了真实服务器地址，同时还能保证vpn数据能正常访问。后续如果分支端有服务器业务，也可以用类似方式来配置中心端到分支端的业务。 配置介绍（省略防火墙基础配置，只列举ipsec vpn配置） 华为防火墙侧ipsec vpn配置 第一阶段配置 第二阶段配置 配置隧道路由 配置源地址转换，将访问10.10.0.0/24网段的流量转换为172.17.20.0/24网段去访问 vpn地址池为172.17.20.0/24地址 配置安全策略放行 山石防火墙配置 配置ipsec vpn 第一阶段 配置ipsec vpn 第二阶段 配置隧道路由 配置安全策略，允许对端虚拟地址172.17.20.0/24访问服务器网段10.10.0.0/24地址 配置ip映射，让分支端访问10.10.0.0/24一对一映射到服务器网段192.168.1.0/24 山石侧查看vpn连接信息 查看isakmp连接信息和ipsec sa连接信息 华为侧查看vpn连接信……

存储SAS协议

什么是SAS协议 SAS协议是一种点对点的串行SCSI技术，采用标准的SCSI指令集并兼容SATA设备。 SAS协议通过在两个通信设备之间建立专用链路的方式实现更高效的通信和数据交互，从而避免了传统SCSI协议并行总线链路导致的通信链路状态判断过程，进而提高数据在专有通路上的传输带宽。 SAS在存储中的使用情况 SAS只作为后端网络，兼容SAS/SATA接口硬盘，基本不用于存储前端网络。 SAS具有良好的扩展能力（一个SAS域最多16K个设备），性能较好（支持宽端口），传输带宽从300MB/s、600MB/s到1.2GB/s、2.4GB/s，由于传输距离短仅用作存储后端网络，硬盘框之间用SAS线缆连接。   存储中常见的SAS组件如下图所示： SAS协议层次结构 SAS协议为6层结构，自上而下分别是SAS应用层（SAS Application Layer）、SAS传输层（SAS Transport Layer）、SAS端口层（SAS Port Layer）、SAS 链路层（SAS Link Layer）、SAS PHY层（SAS PHY Layer）和SAS物理层（SAS Physical Layer）。 应用层：描述了如何在不同类型的应用下使用SAS的细节，包括应用程序、文件系统驱动和SCSI驱动等。应用层负责向传输层发送请求，并指定了协议帧格式、具体指令类型，并接收来自传输层的应答反馈。 传输层：一方面，SAS传输层接收来自应用层的请求，并将请求封装为协议帧发送至端口层；另一方面，SAS 传输层接收和解析来自端口层的协议帧，并发送至应用层。传输层支持3种具体协议类型，分别是SSP（Serial SCSI Protocol，串行SCSI协议）、STP（SATA Tunneled Protocol，SATA隧道协议）和SMP（Serial Management Protocol，串行管理协议）。其中，SSP承载SCSI协议，STP兼容ATA指令集，SMP作为管理协议负责SAS设备间的通信管理。 端口层：负责向链路层和传输层提供传输接口，并描述了如何处理建立连接和断开连接。 链路层：负责建立和管理设备……

HiSecEngine USG系列防火墙与 eKitEngine USG系列防火墙

HiSecEngine USG系列防火墙与eKitEngine USG系列防火墙是华为公司推出的两款不同系列的防火墙产品，它们在产品定位、功能特性、应用场景等方面存在差异： 产品定位： HiSecEngine USG系列：定位为企业级防火墙，提供全面的安全防护功能，适用于大中型企业、数据中心等场景。 eKitEngine USG系列：定位可能更偏向于特定场景或特定需求的防火墙解决方案，具体定位需参考华为官方的最新产品文档。 功能特性： HiSecEngine USG系列：通常具备高级威胁防御、入侵防御、应用识别与控制、URL过滤、病毒防护、虚拟防火墙等功能，支持多种安全策略和管理方式。 eKitEngine USG系列：具体功能特性需参考华为官方的最新产品文档，但通常会根据其定位提供相应的安全功能。 应用场景： HiSecEngine USG系列：适用于大中型企业、数据中心、云环境等需要高级安全防护的场景。 eKitEngine USG系列：具体应用场景需参考华为官方的最新产品文档，但可能更偏向于特定行业或特定规模的企业。 硬件规格： HiSecEngine USG系列：提供多种硬件规格，包括盒式、机架式等，支持高可用性、冗余电源等特性。 eKitEngine USG系列：硬件规格可能更专注于特定需求。 logo：   HiSecEngine USG系列：https://e.huawei.com/cn/products/security eKitEngine USG系列：https://ekit.huawei.com/#/ekitShop/shopList?firstCatalogName=%E6%95%B0%E9%80%9A%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8&firstCatalog=9576&firstSaleCode=9576&countryCode=CN&lang=zh_CN

锐捷S2910E 多台设备反复异常重启

一、故障现象描述 某客户使用我司2910C设备作为接入交换机，多台设备反复出现多次异常重启的情况。 设备型号：RG-S2910C-24GT2XS-HP-E 设备版本：S29_RGOS 11.4(1)B70P1 二、故障排查分析 接到客户方报障多台2910C出现重启行为，分析设备日志以及软件记录信息，核查均为冷重启，且软件上无任何异常记录。 核查对应软件内部BUG库，并未找到会导致设备异常重启的软件BUG，结合客户方多台设备异常重启，初步怀疑异常时间设备供电异常导致。 针对客户方8台2910C设备重启行为和重启时间进行梳理，寻找对应规律和行为特征。 对应设备行为和重启时间上没有明显的特征，与客户方明确对应环境接线以及环境供电方面差异。明确对应供电S2910C=>UPS=>PDU=>市电。 派遣对应省区一线前往现场进行环境供电核实以及排查，发现对应客户方市电确实存在不稳情况，电脑直连PDU情况下，出现了掉电的情况; 基于市电不稳的固有背景条件下，核查对应同一UPS下，为什么仅有我司设备存在重启行为。现场通过多次拔插对应UPS供电，模拟市电不稳环境因素，成功复现S2910C重启，友商设备未重启情况。 了解对应UPS切换间断时间为4-8ms，内部拉通核实2910C当前使用电源模块切换间断为6ms，与UPS参数存在差异，当UPS间断时间超6ms，就会导致电源模块下电设备重启行为。 三、故障根因说明 我司当前型号适配电源模块实测切换时间在6ms，客户方当前UPS的切换间断为4-8ms，当UPS间断时间大于6ms，就会导致设备掉电重启，考虑电源模块单体和UPS单体之间的差异（叠加客户方市电不稳的固有环境因素），概率性会出现部分电源模块出现在UPS切换时掉电导致设备重启的行为。 四、故障解决方案 1、针对当前电源模块线路进行整改，整改后对应切换间断时间可达到12ms，满足客户方UPS切换间断要求。 五、经验总结 1、按照……

为什么要部署下一代防火墙？有哪些可靠的方案吗？

01 传统防火墙是什么？ 传统防火墙是一种基于规则集的安全设备，主要用于监控和控制进出网络的数据流。它通过检查数据包的源地址、目的地址、端口号等信息来决定是否允许该数据包通过。 01 主要功能包括： 包过滤：根据预设的规则集，检查每个数据包的头部信息（如 IP 地址、端口号），并决定是否放行。 状态检测：不仅检查单个数据包，还跟踪连接的状态（如新建、建立、终止），以确保合法连接的连续性。 应用层网关（ALG）：对特定的应用层协议进行更深入的检查，但通常只限于少数几种常见协议。 网络地址转换（NAT）：隐藏内部网络的真实 IP 地址，增强安全性并简化 IP 地址管理。 02 局限性 缺乏应用程序识别能力：传统防火墙主要依赖于端口号来区分应用程序，无法识别和控制现代应用程序，特别是那些使用动态端口或加密通信的应用。 有限的威胁检测能力：传统防火墙难以应对复杂的攻击手段，如零日漏洞攻击、高级持续性威胁（APT）等，因为它们缺乏深度包检测（DPI）和实时威胁分析功能。 无法处理加密流量：随着越来越多的流量采用 SSL/TLS 加密，传统防火墙无法解密和检查这些流量，导致潜在的安全盲区。 用户身份验证不足：传统防火墙通常不支持基于用户的身份验证和访问控制，难以实现精细化的安全策略。 02 下一代防火墙是什么？ 下一代防火墙（Next-Generation Firewall, NGFW）是一种集成了多种安全功能的综合防护平台，旨在应对现代网络环境中日益复杂的安全威胁。 NGFW 不仅继承了传统防火墙的基本功能，如包过滤和状态检测，还引入了深度包检测（DPI）、应用程序控制、入侵防御系统（IPS）、SSL/TLS 检测等先进技术。这些特性使得 NGFW 能够更精准地识别和阻止恶意流量，提供全面的网络安全保护。 01 核心特性 1.深度包检测 (DPI) DPI 是一种高级流量分析技术，可以深入检查数据包……

IPV6—-IPv6编址和数据包结构–IPV6包头

概    述 简要介绍了IPv6编址和数据包结构。这两方面凡是介绍IPv6的书籍都会介绍，这里仅做一个摘要汇总。目前IPv6还处于一个发展阶段，随着各种应用逐步探索，各种编址都陆续出现了不少变化，IPv6相关的RFC也不停的废除和更新，因此在学习IPv6内容时候需要格外关注其时效性。 IPv6包头结构 I P v 6 地 址 长 度 从 I P v 4 的 3 2 b i t s 变 为 了128bits，最明显的特征就是地址空间得到的极大的扩充；同时根据IPv4多年使用的实际经验，在地址长度增加的同时，对于原IPv4头部字段进行了简化，去掉了一些不必要字段，保证了IPv6 头部长度固定在40字节；同时将IPv4的Option移植到了IPv6的扩展包头中。 128bits地址方案，提供了足够的IP地址 多等级层次有利于路由的聚合 重新编址机制使得网络的重新布置和ISP切换变得简单 去掉了ARP和广播 IPv6包头比IPv4包头规整而高效 流标记字段提供流量区分，为QoS提供了方便 扩展包头代替了IPv4包头的选项字段，提供了更多的灵活性 IPv6和IPv4包头格式对比 图1 IPv4包头格式 图2 IPv6包头格式

S6720业务口堆叠，无法选择10GE端口

问题描述 版本信息：V200R010C00SPC600 故障现象：2台S6720S-26Q-EI-24S做堆叠时，往堆叠端口里面加成员端口时，无法选择10GE端口，只能选择40GE端口。 告警信息 无 处理过程 查看堆叠端口状态，看到堆叠端口里面已经有2个40GE端口。   根因 支持S6720EI和S6720S-EI所有款型之间进行混堆，但是混堆时，要求使用的堆叠端口类型一致，要么全是10GE口，要么全是40GE口 解决方案 将40GE端口从堆叠端口中移除，仅使用10GE端口。 建议与总结 无

H3C UniServer R4970 G7

OS兼容性查询结果：共查询到12条符合要求的数据。 OS版本 OS认证链接 说明 Anolis OS 8.9 (Kernel-5.10) 说明20 NingOS V3 1.0 openEuler 20.03 LTS SP4 链接 openEuler 22.03 LTS SP3 链接 openEuler 24.03 LTS 凝思安全操作系统V6.0.99 说明406 红旗Asianux服务器操作系统V8.8 (Kernel-5.10) 说明19 统信UOS服务器版V20 (1060u1e) (Kernel-4.19) 说明16 统信UOS服务器版V20 (1070a) (Kernel-4.19) 说明17 统信UOS服务器版V20 (1070e) (Kernel-4.19) 说明18 银河麒麟高级服务器操作系统V10 SP3 (2309b-Release-S5000C) 银河麒麟高级服务器操作系统V10 SP3 (2403) 说明403 说明信息: 说明16: "Kernel-4.19"指的具体内核版本是4.19.90-2305.1.0.0199.75.uel20.aarch64 说明17: "Kernel-4.19"指的具体内核版本是4.19.0-91.82.179.uelc20.aarch64 说明18: "Kernel-4.19"指的具体内核版本是4.19.90-2403.3.0.0270.84.uel20.aarch64 说明19: "Kernel-5.10"指的具体内核版本是5.10.134-16.2.axs8.aarch64 说明20: "Kernel-5.10"指的具体内核版本是5.10.134-16.2.an8.aarch64 说明403: 表示该操作系统支持的内核版本为4.19.90-89.11.v2401.ky10.x86_64 说明406: 表示该操作系统支持的内核版本为4.19.90-2206.2.0.0154.linx2.x86_64