02-802.1X热备典型配置举例

802.1X热备典型配置举例

Copyright ? 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目录

1 简介 (1)

2 配置前提 (1)

3 配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (1)

3.3 配置注意事项 (2)

3.4 配置步骤 (2)

3.4.1 AC 1的配置 (2)

3.4.2 AC 2的配置 (5)

3.4.3 Switch的配置 (9)

3.4.4 RADIUS server的配置 (10)

3.5 验证配置 (11)

3.6 配置文件 (12)

4 相关资料 (16)

i

1 简介

本文档介绍无线控制器802.1X热备典型配置举例。

2 配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解802.1X和双机热备的相关功能。

3 配置举例

3.1 组网需求

如图1所示，AC 1和AC 2均支持双机热备，现要求AC 1和AC 2在运行双机热备情况下支持802.1X 客户端的信息备份，主备AC切换的过程中，客户端不会重新上下线，可以继续正常通信。具体要求如下：

?采用加密类型的服务模板，加密套件采用AES-CCMP。

?AC 1正常工作的情况下，Client通过AC 1进行802.1X认证接入。AC 1发生故障的情况下，Client通过AC 2接入。

?802.1X的认证方式采用EAP中继方式。

?采用RADIUS服务器作为认证服务器，RADIUS服务器上注册的接入设备NAS-IP是133.1.1.3/16。

?防止用户通过恶意假冒其它域账号从本端口接入网络。

?配置VRRP来提高链路的可靠性，保证业务流量在切换过程中不会中断。

?将VLAN 10作为备份VLAN，用于双机热备。

图1无线控制器802.1X热备典型配置组网图

3.2 配置思路

?由于端口安全特性通过多种安全模式提供了802.1X认证的扩展和组合应用，因此为实现802.1X认证，需要在AC上全局配置端口安全；

?为实现802.1X认证状态的备份，需要配置双机热备功能；

?在无线环境中，为了保证AC在切换过程中，无线服务不中断，同时使客户端的信息在AC间同步，需要配置双AC备份及IACTP隧道。

?在双AC备份配置中，为了让AP优先连接到AC 1，需要为AC 1配置较高的优先级。

1

?在VRRP配置中，为了让AC 1成为Master，需要为AC 1配置较高的优先级。

?由于部分802.1X客户端不支持与设备进行握手报文的交互，因此需要关闭设备的在线用户握手功能，避免该类型的在线用户因没有回应握手报文而被强制下线。

?对于无线局域网来说，802.1X认证可以由客户端主动发起，或由无线模块发现用户后自动触发，不需要通过端口定期发送802.1X组播报文的方式来触发。同时，组播触发报文会占用无

线的通信带宽，因此建议无线局域网中的接入设备关闭802.1X组播触发功能。

?为了防止用户通过恶意假冒其它域账号从本端口接入网络，配置端口的强制认证域。

3.3 配置注意事项

?主备AC热备相关配置必须保持一致；

?配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

3.4 配置步骤

3.4.1 AC 1的配置

(1) 配置AC 1的接口

# 创建VLAN 10作为双机热备的VLAN。

system-view

[AC1] vlan 10

[AC1-vlan10] quit

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

[AC1] vlan 100

[AC1-vlan100] quit

[AC1] interface vlan-interface 100

[AC1-Vlan-interface100] ip address 133.4.1.1 16

[AC1-Vlan-interface100] quit

# 创建VLAN 200作为ESS接口的缺省VLAN。

[AC1] vlan 200

[AC1-vlan200] quit

# 创建VLAN 300作为Client接入的业务VLAN。

[AC1] vlan 300

[AC1-vlan300] quit

# 创建VLAN 400作为RADIUS server所在VLAN，并配置其IP地址。

[AC1] vlan 400

[AC1-vlan400] quit

[AC1] interface vlan-interface 400

[AC1-Vlan-interface400] ip address 133.1.1.1 16

[AC1-Vlan-interface400] quit

2

# 配置AC 1与Switch连接的端口为Trunk模式，允许VLAN 10、VLAN 200、VLAN 300、VLAN 400通过。

[AC1] interface gigabitethernet 1/0/1

[AC1-GigabitEthernet1/0/1] port link-type trunk

[AC1-GigabitEthernet1/0/1] port trunk permit vlan 10 200 300 400

[AC1-GigabitEthernet1/0/1] quit

(2) 配置无线接口

# 创建WLAN-ESS1接口。

[AC1] interface wlan-ess 1

# 配置WLAN-ESS1接口类型为Hybrid类型。

[AC1-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为VLAN 200，禁止VLAN 1通过并允许VLAN 200不带tag通过。[AC1-WLAN-ESS1] undo port hybrid vlan 1

[AC1-WLAN-ESS1] port hybrid vlan 200 untagged

[AC1-WLAN-ESS1] port hybrid pvid vlan 200

# 开启MAC-VLAN功能。

[AC1-WLAN-ESS1] mac-vlan enable

[AC1-WLAN-ESS1] quit

(3) 配置无线服务

# 创建crypto类型的服务模板1。

[AC1] wlan service-template 1 crypto

# 将WLAN-ESS1接口绑定到服务模板1。

[AC1-wlan-st-1] bind wlan-ess 1

# 设置当前服务模板的SSID为service。

[AC1-wlan-st-1] ssid service

# 配置加密套件为CCMP。

[AC1-wlan-st-1] cipher-suite ccmp

# 配置安全信息元素为RSN。

[AC1-wlan-st-1] security-ie rsn

# 启用无线服务。

[AC1-wlan-st-1] service-template enable

[AC1-wlan-st-1] quit

(4) 配置射频接口并绑定服务模板

# 创建AP的管理模板，名称为officeap，型号名称选择WA2620E-AGN，并配置其序列号。

[AC1] wlan ap officeap model WA2620E-AGN

[AC1-wlan-ap-officeap] serial-id 21023529G007C000020

# 指定该AP在AC 1上优先级为7。

[AC1-wlan-ap-officeap] priority level 7

# 进入AP的radio 2视图。

[AC1-wlan-ap-officeap] radio 2

# 将服务模板1绑定到radio 2口并使能radio 2。

3

[AC1-wlan-ap-officeap-radio-2] service-template 1 vlan-id 300

[AC1-wlan-ap-officeap-radio-2] radio enable

[AC1-wlan-ap-officeap-radio-2] return

(5) 配置802.1X

# 全局开启端口安全。

[AC1] port-security enable

# 选择802.1X认证方式为EAP中继方式。

[AC1] dot1x authentication-method eap

# 进入WLAN-ESS1接口视图。

[AC1] interface wlan-ess 1

# 配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。

[AC1-WLAN-ESS1] port-security port-mode userlogin-secure-ext

# 使能WLAN-ESS1上端口安全的双机热备功能。

[AC1-WLAN-ESS1] port-security synchronization enable

# 使能11key类型的密钥协商功能。

[AC1-WLAN-ESS1] port-security tx-key-type 11key

# 指定802.1X用户使用的强制认证域office，以防止恶意用户通过假冒其它域账号从本端口接入网络。

[AC1-WLAN-ESS1] dot1x mandatory-domain office

# 关闭802.1X的组播触发功能，以节省无线的通信带宽。

[AC1-WLAN-ESS1] undo dot1x multicast-trigger

# 关闭在线用户握手功能，以避免不支持在线握手功能的客户端被强制下线。

[AC1-WLAN-ESS1] undo dot1x handshake

[AC1-WLAN-ESS1] quit

(6) 配置RADIUS认证策略和认证域

# 创建名字为office的RADIUS方案并进入该方案视图。

[AC1] radius scheme office

# 配置RADIUS方案的主认证服务器及其通信密钥。

[AC1-radius-office] primary authentication 133.1.0.50

[AC1-radius-office] key authentication key

# 配置AC 1发送RADIUS报文使用的nas-ip地址为133.1.1.3。

[AC1-radius-office] nas-ip 133.1.1.3

[AC1-radius-office] quit

# 创建ISP域office，并进入其视图。

[AC1] domain office

# 为lan-access用户配置计费为none，不计费。

[AC1-isp-office] accounting lan-access none

# 为lan-access用户配置认证方案为RADIUS方案，方案名为office。

[AC1-isp-office] authentication lan-access radius-scheme office

# 为lan-access用户配置授权方案为RADIUS方案，方案名为office。

[AC1-isp-office] authorization lan-access radius-scheme office

4

[AC1-isp-office] quit

(7) 配置VRRP

# 在VLAN 400接口下创建VRRP备份组1，并配置备份组1的虚拟IP地址为133.1.1.3。

[AC1] interface vlan-interface 400

[AC1-Vlan-interface400] vrrp vrid 1 virtual-ip 133.1.1.3

# 配置AC 1在备份组1中的优先级为200。

[AC1-Vlan-interface400] vrrp vrid 1 priority 200

[AC1-Vlan-interface400] quit

(8) 配置双机热备

# 配置备份VLAN为VLAN 10。

[AC1] dhbk vlan 10

# 使能双机热备功能，且支持对称路径。

[AC1] dhbk enable backup-type symmetric-path

# 配置双机热备模式下的设备ID为1。

[AC1] nas device-id 1

(9) 配置双AC备份

# 配置备份AC（AC 2）的IP地址为133.4.1.2。

[AC1] wlan backup-ac ip 133.4.1.2

# 开启AC间热备份功能。

[AC1] hot-backup enable

# 配置热备AC间连接心跳周期为2000毫秒（缺省情况下，心跳周期为2000毫秒）。

[AC1] hot-backup hellointerval 2000

# 配置热备AC间数据端口的VLAN ID为100。

[AC1] hot-backup vlan 100

# 配置客户端信息备份功能。

[AC1] wlan backup-client enable

(10) 配置IACTP隧道

# 配置漫游隧道，漫游组名称为roam。

[AC1] wlan mobility-group roam

# 配置IACTP隧道的源地址为133.4.1.1，成员地址为133.4.1.2。

[AC1-wlan-mg-roam] source ip 133.4.1.1

[AC1-wlan-mg-roam] member ip 133.4.1.2

# 开启IACTP隧道。

[AC1-wlan-mg-roam] mobility-group enable

[AC1-wlan-mg-roam] quit

3.4.2 AC 2的配置

(1) 配置AC 2的接口

# 创建VLAN 10作为双机热备的VLAN。

system-view

5

[AC2] vlan 10

[AC2-vlan10] quit

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

[AC2] vlan 100

[AC2-vlan100] quit

[AC2] interface vlan-interface 100

[AC2-Vlan-interface100] ip address 133.4.1.2 16

[AC2-Vlan-interface100] quit

# 创建VLAN 200作为ESS接口的缺省VLAN。

[AC2] vlan 200

[AC2-vlan200] quit

# 创建VLAN 300作为Client接入的业务VLAN。

[AC2] vlan 300

[AC2-vlan300] quit

# 创建VLAN 400作为RADIUS server所在VLAN，并配置其IP地址。

[AC2] vlan 400

[AC2-vlan400] quit

[AC2] interface vlan-interface 400

[AC2-Vlan-interface400] ip address 133.1.1.2 16

[AC2-Vlan-interface400] quit

# 配置AC 2与Switch连接的端口为Trunk模式，允许VLAN 10、VLAN 200、VLAN 300、VLAN 400通过。

[AC2] interface gigabitethernet 1/0/1

[AC2-GigabitEthernet1/0/1] port link-type trunk

[AC2-GigabitEthernet1/0/1] port trunk permit vlan 10 200 300 400

[AC2-GigabitEthernet1/0/1] quit

(2) 配置无线接口

# 创建WLAN-ESS1接口。

[AC2] interface wlan-ess 1

# 配置WLAN-ESS1接口类型为Hybrid类型。

[AC2-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为VLAN 200，禁止VLAN 1通过并允许VLAN 200不带tag通过。[AC2-WLAN-ESS1] undo port hybrid vlan 1

[AC2-WLAN-ESS1] port hybrid vlan 200 untagged

[AC2-WLAN-ESS1] port hybrid pvid vlan 200

# 开启MAC-VLAN功能。

[AC2-WLAN-ESS1] mac-vlan enable

[AC2-WLAN-ESS1] quit

(3) 配置无线服务

# 创建crypto类型的服务模板1。

[AC2] wlan service-template 1 crypto

# 将WLAN-ESS1接口绑定到服务模板1。

6

[AC2-wlan-st-1] bind wlan-ess 1

# 设置当前服务模板的SSID为service。

[AC2-wlan-st-1] ssid service

# 配置加密套件为AES-CCMP。

[AC2-wlan-st-1] cipher-suite ccmp

# 配置安全信息元素为RSN。

[AC2-wlan-st-1] security-ie rsn

# 启用无线服务。

[AC2-wlan-st-1] service-template enable

[AC2-wlan-st-1] quit

(4) 配置射频接口并绑定服务模板

# 创建AP的管理模板，名称为officeap，型号名称选择WA2620E-AGN，并配置其序列号。[AC2] wlan ap officeap model WA2620E-AGN

[AC2-wlan-ap-officeap] serial-id 21023529G007C000020

# 进入AP的radio 2视图。

[AC2-wlan-ap-officeap] radio 2

# 将在AC 2上配置的服务模板1与射频2进行关联，Client通过服务模板1接入VLAN 300。[AC2-wlan-ap-officeap-radio-2] service-template 1 vlan-id 300

# 使能AP的radio 2。

[AC2-wlan-ap-officeap-radio-2] radio enable

[AC2-wlan-ap-officeap-radio-2] return

(5) 配置802.1X

# 全局开启端口安全。

[AC2] port-security enable

# 选择802.1X认证方式为EAP中继方式。

[AC2] dot1x authentication-method eap

# 配置WLAN-ESS1接口的端口安全模式为userlogin-secure-ext。

[AC2-WLAN-ESS1] port-security port-mode userlogin-secure-ext

# 使能WLAN-ESS1端口安全的双机热备功能。

[AC2-WLAN-ESS1] port-security synchronization enable

# 使能11key类型的密钥协商功能。

[AC2-WLAN-ESS1] port-security tx-key-type 11key

# 指定802.1X用户使用的强制认证域，以防止恶意用户通过假冒其它域账号从本端口接入网络。[AC2-WLAN-ESS1] dot1x mandatory-domain office

# 关闭802.1X组播触发功能，以节省无线的通信带宽。

[AC2-WLAN-ESS1] undo dot1x multicast-trigger

# 关闭在线用户握手功能，以避免不支持在线握手功能的客户端被强制下线。

[AC2-WLAN-ESS1] undo dot1x handshake

[AC2-WLAN-ESS1] quit

(6) 配置RADIUS认证策略和认证域

# 创建名字为office的RADIUS方案并进入该方案视图。

7

[AC2] radius scheme office

# 配置RADIUS方案的主认证服务器及其通信密钥。

[AC2-radius-office] primary authentication 133.1.0.50

[AC2-radius-office] key authentication key

# 配置AC 2发送RADIUS报文使用的nas-ip地址为133.1.1.3。

[AC2-radius-office] nas-ip 133.1.1.3

[AC2-radius-office] quit

# 创建ISP域office，并进入其视图。

[AC2] domain office

# 为lan-access用户配置计费为none，不计费。

[AC2-isp-office] accounting lan-access none

# 为lan-access用户配置认证方案为RADIUS方案，方案名为office。

[AC2-isp-office] authentication lan-access radius-scheme office

# 为lan-access用户配置授权方案为RADIUS方案，方案名为office。

[AC2-isp-office] authorization lan-access radius-scheme office

[AC2-isp-office] quit

(7) 配置VRRP

# 在VLAN 400中配置VRRP备份组1，并配置VRRP备份组1的虚拟IP地址为133.1.1.3。[AC2] interface vlan-interface 400

[AC2-Vlan-interface400] vrrp vrid 1 virtual-ip 133.1.1.3

[AC2-Vlan-interface400] quit

(8) 配置双机热备

# 配置备份VLAN为VLAN 10。

[AC2] dhbk vlan 10

# 使能双机热备功能，且支持对称路径。

[AC2] dhbk enable backup-type symmetric-path

# 配置双机热备模式下的设备ID为2。

[AC2] nas device-id 2

(9) 配置双AC备份

# 配置备份AC（AC 1）的IP地址为133.4.1.1。

[AC2] wlan backup-ac ip 133.4.1.1

# 开启AC间热备份功能。

[AC2] hot-backup enable

# 配置热备AC间连接心跳周期为2000毫秒（缺省情况下，心跳周期为2000毫秒）。

[AC2] hot-backup hellointerval 2000

# 配置热备AC间数据端口的VLAN ID为100。

[AC2] hot-backup vlan 100

# 配置客户端信息备份功能。

[AC2] wlan backup-client enable

(10) 配置IACTP隧道

# 配置漫游隧道，漫游组名称为roam。

8

[AC2] wlan mobility-group roam

# 配置IACTP隧道的源地址为133.4.1.2，成员地址为133.4.1.1。

[AC2-wlan-mg-roam] source ip 133.4.1.2

[AC2-wlan-mg-roam] member ip 133.4.1.1

# 开启IACTP隧道。

[AC2-wlan-mg-roam] mobility-group enable

[AC2-wlan-mg-roam] quit

3.4.3 Switch的配置

# 创建VLAN 100、VLAN 300和VLAN 400，其中VLAN 100用于转发AC和AP间LWAPP隧道内的流量，VLAN 300为无线用户接入的VLAN，VLAN 400作为RADIUS server所在VLAN。

system-view

[Switch] vlan 100

[Switch-vlan100] quit

[Switch] vlan 300

[Switch-vlan300] quit

[Switch] vlan 400

[Switch-vlan400] quit

# 配置Switch与AC 1相连的GigabitEthernet1/0/1接口的属性为Trunk，当前Trunk口的PVID 为100，允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100

[Switch-GigabitEthernet1/0/1] port trunk pvid vlan 100

[Switch-GigabitEthernet1/0/1] quit

# 配置Switch与AC 2相连的GigabitEthernet1/0/2接口的属性为Trunk，当前Trunk口的PVID 为100，允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/2

[Switch-GigabitEthernet1/0/2] port link-type trunk

[Switch-GigabitEthernet1/0/2] port trunk permit vlan 100

[Switch-GigabitEthernet1/0/2] port trunk pvid vlan 100

[Switch-GigabitEthernet1/0/2] quit

# 配置Switch与RADIUS server相连的GigabitEthernet1/0/3接口属性为Access，并允许VLAN 400通过。

[Switch] interface GigabitEthernet1/0/3

[Switch-GigabitEthernet1/0/3] port link-type access

[Switch-GigabitEthernet1/0/3] port access vlan 400

[Switch-GigabitEthernet1/0/3] quit

# 配置Switch与AP相连的GigabitEthernet1/0/4接口属性为Access，并允许VLAN 100通过。

[Switch] interface GigabitEthernet1/0/4

[Switch-GigabitEthernet1/0/4] port link-type access

[Switch-GigabitEthernet1/0/4] port access vlan 100

# 使能PoE功能。

[Switch-GigabitEthernet1/0/4] poe enable

9

[Switch-GigabitEthernet1/0/4] quit

3.4.4 RADIUS server的配置

下面以iMC为例（使用iMC版本为：iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)），说明

RADIUS服务器的基本配置。

# 增加接入设备。

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，单击<增加>按钮，进入“增加接入设备”页面，单击<手工增加>按钮，进入“手工增加接入设备”页面。

?设置与AC交互报文时使用的认证、计费共享密钥为“key”；

?设置认证及计费的端口号分别为“1812”和“1813”；

?选择业务类型为“LAN接入业务”；

?选择接入设备类型为“H3C”；

?选择或手工增加接入设备，添加IP地址为133.1.1.3的接入设备；

?其它参数采用缺省值，并单击<确定>按钮完成操作。

图2增加接入设备

# 配置接入策略。

选择“用户”页签，单击导航树中的[用户/接入策略管理/接入策略管理]菜单项，单击<增加>按钮，创建一条接入策略。

?接入策略名输入“802.1x”。

?证书认证选择“EAP证书认证”。

?证书认证类型选择“EAP-PEAP认证”。

?认证证书子类型选择“MS-CHAPV2认证”。

?其它参数采用缺省值，并单击<确定>按钮完成操作。

图3配置接入策略

# 增加接入服务配置。

选择“用户”页签，单击导航树中的[接入策略管理/接入服务管理]菜单项，单击<增加>按钮，创建一条接入服务。

?服务名输入“802.1x”。

?缺省接入策略选择之前创建的策略“802.1x”。

?其它参数采用缺省值，并单击<确定>按钮完成操作。

图4配置接入服务

# 增加用户配置。

选择“用户”页签，单击导航树中的[接入用户管理/接入用户]菜单项，单击<增加>按钮，增加一个接入用户。

10

?单击“增加用户”。

?用户姓名输入“key”。

?证件号码输入“000”。

?其它参数采用缺省值，并单击<确定>按钮完成操作。

图5增加用户配置

# 增加接入用户配置。

选择“用户”页签，单击导航树中的[接入用户管理/接入用户]菜单项，单击<增加>按钮，增加一个接入用户。

?单击“选择”按钮，在页面中选择上面创建的用户“key”。

?账号名输入“key”。

?密码与密码确认输入“123456”。

?选择服务名“802.1x”。

?其它参数采用缺省值，并单击<确定>按钮完成操作。

图6增加接入用户配置

3.5 验证配置

(1) Client进行802.1X认证上线，输入用户名“key”和密码“123456”后，认证成功。

(2) 在AC 1上使用display wlan client命令查看Client的上线VLAN信息，可以看到Client使

用VLAN 300上线。

[AC1] display wlan client

Total Number of Clients : 1

Client Information

SSID: service

--------------------------------------------------------------------------------

MAC Address User Name APID/RID IP Address VLAN

--------------------------------------------------------------------------------

0022-3f90-938e key 1 /2 0.0.0.0 300

--------------------------------------------------------------------------------

(3) 使用display connection命令查看连接信息，可以看到只有一个客户端与AC 1建立了连接。

[AC1] display connection

Index=5 ,Username=key@office

MAC=00-22-3F-90-93-8E

IP=N/A

IPv6=N/A

Total 1 connection(s) matched.

(4) 在AC 2上使用display wlan client命令查看Client的上线VLAN信息，同样可以看到Client

使用VLAN 300上线。此处AP为Backup状态，实际是AC 1备份过来的Client。

display wlan client

Total Number of Clients : 1

Client Information

11

SSID: service

--------------------------------------------------------------------------------

MAC Address User Name APID/RID IP Address VLAN

--------------------------------------------------------------------------------

0022-3f90-938e key 1 /2 0.0.0.0 300

--------------------------------------------------------------------------------

(5) 使用display connection命令查看连接信息，可以看到只有一个客户端与AC 2建立了连接。

display connection

Index=4 ,Username=key@office

MAC=00-22-3F-90-93-8E

IP=N/A

IPv6=N/A

Total 1 connection(s) matched.

(6) 将AC 1断开，可以发现Client未下线，仍然可以正常通信。

3.6 配置文件

AC 1：

#

nas device-id 1

#

port-security enable

#

dot1x authentication-method eap

#

wlan backup-ac ip 133.4.1.2

#

hot-backup enable domain 1

hot-backup vlan 100

#

wlan backup-client enable

#

vlan 10

#

vlan 100

#

vlan 200

#

vlan 300

#

vlan 400

#

radius scheme office

primary authentication 133.1.0.50

key authentication cipher $c$3$nHkosOaXlBAk6R6vIM+mukgyhrgxTw==

nas-ip 133.1.1.3

#

12

domain office

authentication lan-access radius-scheme office authorization lan-access radius-scheme office accounting lan-access none

access-limit disable

state active

idle-cut disable

self-service-url disable

#

wlan service-template 1 crypto

ssid service

bind WLAN-ESS 1

cipher-suite ccmp

security-ie rsn

service-template enable

#

interface Vlan-interface100

ip address 133.4.1.1 255.255.0.0

#

interface Vlan-interface400

ip address 133.1.1.1 255.255.0.0

vrrp vrid 1 virtual-ip 133.1.1.3

vrrp vrid 1 priority 200

#

interface GigabitEthernet1/0/1

port link-type trunk

port trunk permit vlan 10 200 300 400

#

interface WLAN-ESS1

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 200 untagged

port hybrid pvid vlan 200

mac-vlan enable

port-security synchronization enable

port-security port-mode userlogin-secure-ext

port-security tx-key-type 11key

undo dot1x handshake

dot1x mandatory-domain office

undo dot1x multicast-trigger

#

wlan ap officeap model WA2620E-AGN id 1

priority level 7

serial-id 21023529G007C000020

radio 1

radio 2

service-template 1 vlan-id 300

radio enable

13

#

wlan mobility-group roam

member ip 133.4.1.2

source ip 133.4.1.1

mobility-group enable

#

dhbk enable backup-type symmetric-path

dhbk vlan 10

#

AC 2：

#

nas device-id 2

#

port-security enable

#

dot1x authentication-method eap

#

wlan backup-ac ip 133.4.1.1

#

hot-backup enable domain 1

hot-backup vlan 100

#

wlan backup-client enable

#

vlan 10

#

vlan 100

#

vlan 200

#

vlan 300

#

vlan 400

#

radius scheme office

primary authentication 133.1.0.50

key authentication cipher $c$3$nHkosOaXlBAk6R6vIM+mukgyhrgxTw== nas-ip 133.1.1.3

#

domain office

authentication lan-access radius-scheme office

authorization lan-access none

accounting lan-access none

access-limit disable

state active

idle-cut disable

self-service-url disable

#

14

wlan service-template 1 crypto

ssid service

bind WLAN-ESS 1

cipher-suite ccmp

security-ie rsn

service-template enable

#

interface Vlan-interface100

ip address 133.4.1.2 255.255.0.0

#

interface Vlan-interface400

ip address 133.1.1.2 255.255.0.0

vrrp vrid 1 virtual-ip 133.1.1.3

#

interface GigabitEthernet1/0/1

port link-type trunk

port trunk permit vlan 10 200 300 400

#

interface WLAN-ESS1

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 200 untagged

port hybrid pvid vlan 200

mac-vlan enable

port-security synchronization enable

port-security port-mode userlogin-secure-ext port-security tx-key-type 11key

undo dot1x handshake

dot1x mandatory-domain office

undo dot1x multicast-trigger

#

wlan ap officeap model WA2620E-AGN id 1

serial-id 21023529G007C000020

radio 1

radio 2

service-template 1 vlan-id 300

radio enable

#

wlan mobility-group roam

member ip 133.4.1.1

source ip 133.4.1.2

mobility-group enable

#

dhbk enable backup-type symmetric-path

dhbk vlan 10

#

Switch：

#

15

vlan 100

#

vlan 300

#

vlan 400

#

interface GigabitEthernet1/0/1

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 100

port trunk pvid vlan 100

#

interface GigabitEthernet1/0/2

port link-mode bridge

port link-type trunk

port trunk permit vlan 1 100

port trunk pvid vlan 100

#

interface GigabitEthernet1/0/3

port link-mode bridge

port access vlan 400

#

interface GigabitEthernet1/0/4

port link-mode bridge

port access vlan 100

poe enable

#

4 相关资料

?《H3C WX系列无线控制器产品配置指导》“WLAN配置指导”

?《H3C WX系列无线控制器产品命令参考》“WLAN命令参考”。

?《H3C WX系列无线控制器产品配置指导》“安全配置指导”。

?《H3C WX系列无线控制器产品命令参考》“安全命令参考”。

?

16

华为USG防火墙和H3C三层交换机设备组网配置简述.docx

一.USG6350防火墙 1.根据设置向导配置完毕即可正常上网。 2.增加策略路由-（影响外网端口） 3.增加静态路由（目的是让哪个网段上网） 内网地址的下一跳是三层交换机与防火墙连接的端口地址 4.对指定服务器进行端口映射

5.对指定网段进行限速，保证服务器有可靠的带宽，不至于被其他网段抢占全部带宽。 本项目全部带宽是100M，因为有一个无线网，限定无线网最大占用50M （1）新建一个带宽通道 （2）指定网段应用于带宽通道的策略规则 二、三层交换机-H3C-S5800-32C 现场需求是有办公电脑，服务器、视频服务器，计划分成4个网段，分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。 规划：VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接 VLAN101为172.26.11.254 port 3-8 与服务器连接 VLAN102为172.26.12.254 port 9-12 与客户机连接 VLAN103为172.26.13.254 port 13-18 与视频服务器连接 VLAN104为172.26.14.254 port 19-24 备用 1.笔记本连接三层交换机配置口，进入命令行配置模式 简述步骤：（1）设备改名创建用户和密码（2）创建VLAN，指定某端口属于这个VLAN （3）指定每个VLAN的网关（4）增加一条路由 2.Sys

Sysname H3C-5800 telnet server enable Local-user admin Password cipher #####（此处#是输入密码） Authorization-attribute level 3 Service-type ssh telnet VLAN 100 Port G1/0/1 TO G1/0/2 Quit Vlan 101 Port g1/0/3 to g1/0/8 Quit VLAN 102 Port G1/0/9 TO G1/0/12 Quit Vlan 103 Port g1/0/13 to g1/0/18 Quit Vlan 104 Port g1/0/19 to g1/0/24 Quit Interface Vlan-interface 100 Ip address 172.26.10.253 255.255.255.0 Quit Interface Vlan-interface 101 Ip address 172.26.11.254 255.255.255.0 Quit Interface Vlan-interface 102 Ip address 172.26.12.254 255.255.255.0 Quit Interface Vlan-interface 103 Ip address 172.26.13.254 255.255.255.0 Quit Interface Vlan-interface 104 Ip address 172.26.14.254 255.255.255.0 Quit Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp) Dhcp server ip-pool 9 Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254 Dns-list 8.8.8.8(根据实际修改) Quit 红色字体为9口开通DHCP，可根据实际需求

华为防火墙(VRRP)双机热备配置及组网

防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。 在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下： ★ hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

双机热备解决方案

双机热备解决方案 1.1 双机备份方案描述 现代IT技术认为,一个成功系统中数据及作业的重要性已远超过硬件设备本身,在一套完善的系统中对数据的安全及保障有着极高的要求。双机容错系统是由IBM公司提出的全套集群解决方案，结合IBM 服务器产品的安全可靠性和集群技术的优点，为用户提供一个完善的系统。 1.1.1 双机备份方案的原理 两台服务器通过磁盘阵列或纯软件模式，连接成为互为备份的双机系统，当主服务器停机后，备份服务器能继续工作，防止用户的工作被中断。 1.1.2 双机备份方案的适用范围 用户对系统的连续工作性和实时性要求较高，系统停机对系统的影响很大，造成很大的损失。 1.1.3 双机备份的方式及优缺点 磁盘阵列备份方式—— 两台服务器通过磁盘阵列连接起来，形成备份系统，此方法硬件投资 大，价格较贵，但系统易于安装，也相对稳定。 磁盘阵列备份模式示意图 1.2双机备份方案 由IBM系列产品组成硬盘备份模式 主机：采用IBM X255 主机网卡：采用IBM 10/100/1000MM网卡 磁盘阵列：采用EXP300 磁盘阵列, 配制RAID 5 具体实现方法参见后面章节附图和说明 IBM X255结合EXP300磁盘阵列的双机方案

系统简述： 整个系统由两台IBM高端服务器X255和EXP 300磁盘阵列构成双机备份模式，双台服务器互为备份，当一台服务器出现问题停机时，另一台服务器能实时接管中断的工作，保证业务系统的正常运行。EXP 300磁盘柜磁盘具有热插拔功能，具可以灵活组成RAID模式，当一块硬盘损坏，数据可以恢复，保证数据不丢失。 1 .3 IBM PC 服务器双机容错系统解决方案 由于采用了双机容错的集群结构，系统具有极高的可靠性。两台服务器可以作为一个整体对网络提供服务，且相互间互为监控。集群具有一定的负载平衡功能，可将一个任务的多个进程分摊到两台服务上运行，提高系统的整体性能。当一台服务器发生故障时，其上所运行的进程及服务可以自动地由另一台服务器接管，保证网络用户的工作不受影响。同时，如果系统采用RAID技术对数据进行保护，可确保重要数据不因系统故障而造成损失。 特点： 高可靠性 支持冗余磁盘阵列 冗余电源和风扇设计 所有部件均支持热插拔 主机可各自运行自己的应用，互为备份，共享磁盘数据 高性能单块IBM ServeRAID卡数据传输带宽可达 160MB/s 数据传输I/O可达3000次/s 主机与磁盘间的距离可达20米 高可用性 可扩展性强/性能价格比高/高容错性，系统安全高效 产品介绍（略，有兴趣的朋友可以去IBM网站看看详细的介绍）

防火墙双机热备配置案例

双机热备 网络卫士防火墙可以实现多种方式下的冗余备份，包括：双机热备模式、负载均衡模式和连接保护模式。 在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。 在负载均衡模式下（最多支持九台设备），两台/多台防火墙并行工作，都处于正常的数据转发状态。每台防火墙中设置多个VRRP备份组，两台/多台防火墙中VRID相同的组之间可以相互备份，以便确保某台设备故障时，其他的设备能够接替其工作。 在连接保护模式下（最多支持九台设备），防火墙之间只同步连接信息，并不同步状态信息。当两台/多台防火墙均正常工作时，由上下游的设备通过运行VRRP或HSRP进行冗余备份，以便决定流量由哪台防火墙转发，所有防火墙处于负载分担状态，当其中一台发生故障时，上下游设备经过协商后会将其上的数据流通过其他防火墙转发。 双机热备模式 基本需求 图 1双机热备模式的网络拓扑图 上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。 配置要点 ?设置HA心跳口属性 ?设置除心跳口以外的其余通信接口属于VRID2 ?指定HA的工作模式及心跳口的本地地址和对端地址 ?主从防火墙的配置同步 WEBUI配置步骤 1）配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。 ?主墙 a）配置HA心跳口地址。 ①点击网络管理>接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。 点击“确定”按钮保存配置。

华为usg2210防火墙配置实例

display current-configuration detect h323 d 09:29:14 2016/03/17 detect qq # sysname USG2200 detect #s l2tp enabledetect netbi undo l2tp domain suffix-separator @ undo tunnel authentic #i ike dpd interval 10 allow l2tp #i firewall packet-filter default permit interzone local trust direction inbound unicast undo synchronization # firewall packet-filter default permit interzone local trust direction outbound local-user user2 firewall packet-filter default permit interzone local untrust direction inbound local-user user3 password cipher %$%$`;WkNM${E;O=5--=%y firewall packet-filter default permit interzone local untrust direction outboundal-user user3 service-type ppp local-user use authentication-mode vpndb # nat server 1 protocol udp global 218.56.104.*** any inside 192.100.7.73 anyheme test.scm authorization-mode vpndb # ip df-unreachables enableaccounting-scheme default

Cisco交换机配置实例双机热备

Cisco交换机配置实例(双机热备) Cisco交换机6509配置实例（双机热备） 1.设置时间 switch#config t switch(config)#clock timezone GMT8；配置时区 switch(config)#clock set13:30:2131JAN2004；配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname6506a 6506a(config)#enable password cisco 6506a(config)#enable secret cisco 6506a(config)#line con0 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#line vty015 6506a(config-line)#login 6506a(config-line)#password cisco 6506a(config-line)#login 6506a(config-line)#^z 6506a#show running-config

6506a#copy running-config startup-config 6506a#show startup-config 6506a#show bootvar 6506a#dir bootflash: 6506a#copy system:running-config nvram:startup-config 6506a#show fabric status 6506a#show hardware 3.配置vlan 6506a#config t 6506a(config)#vlan301 6506a(config-vlan)#name hexinxitong 6506a(config)#vlan302 6506a(config-vlan)#name callcenter 6506a(config)#vlan303 6506a(config-vlan)#name kuaijicaiwu 6506a(config)#vlan304 6506a(config-vlan)#name guojiyewu 6506a(config)#vlan305 6506a(config-vlan)#name guanlixitong 6506a(config)#vlan306 6506a(config-vlan)#name ceshihuanjing 6506a(config)#vlan307

华为防火墙2110调试

防火墙说明文档 一 使用串口转USB加串口转网口组合，网口在防火墙端接入console口，在笔记本电脑中打开CRT选择端口后，链接到防火墙配置 输入dis cu 查看防火墙基本配置，按住空格显示更多配置，查看完后输入sys 进入配置[USG2110]抬头下进行网口配置 输入interface ethernet1/0/0/6 表示进入LAN6口的端口 具体端口表示多少号需要在查询防火墙配置中找到相关端口名称例如1/0/1或者2/0/0等如果该端口没有网线接口使用需要关闭接口 输入shutdown就可以成功关闭端口

然后用一根网线用笔记本接入到LAN1口，LAN1口是进入WEB配置界面的口，通常情况下不要当做通讯接口使用。 在前面查询防火墙配置的时候就能看的WEB界面的IP端口，通常都是192.168.0.1 （不要以下图IP为例） 用户名admin 密码Admin@123 进入之后首先修改密码进入左侧的“系统”——“管理员”——“管理员”点击修改将密码统一改为Fglyc_01 “应用”“返回”

进入左侧的“网络”——安全区域——安全区域点trust的修改按钮 在描述中填入描述例如此防火墙用于一二区就填“安全一区”并将不用的lan 口选中并删除留需要用lan口的和lan7口lan7口用于调试 然后点“应用”、“返回”

同样方法修改untrust区域如果多条链路接口不够用也可以增加lan口到untrust区

再进入左侧“网络”——“接口”-“接口”中修改wan0口 选择“交换”然后修改Access VLAN ID 为2 （lan0和wan0他们为一条通路时，将wan0和lan0都设同样的值就可以，这里设置为2）然后“应用”“返回”

双机热备OSPF组网配置指导手册v1.3

双机热备主备方式OSPF组网配置 指导手册

关键字：双机热备、主备、非抢占、物理接口、静态路由、OSPF 目录 1双机热备防火墙组网说明： (3) 2主防火墙配置步骤： (4) 2.1 配置接口地址 (6) 2.2 配置安全区域 (8) 2.3 配置双机热备 (9) 2.4 配置接口联动 (12) 2.5 配置NAT (12) 2.6 配置OSPF动态路由协议 (16) 2.7 配置NQA (19) 2.8 配置静态缺省路由与TRACK 1绑定 (20) 2.9 配置OSPF发布缺省路由 (21) 3备防火墙配置步骤： (22) 2.1 配置接口地址 (23) 2.2 配置安全区域 (25) 2.3 配置双机热备 (27) 2.4 配置接口联动 (29) 2.5 配置NAT (30) 2.6 配置OSPF动态路由协议 (34) 2.7 配置NQA (36) 2.8 配置静态缺省路由与TRACK 1绑定 (37) 2.9 配置OSPF发布缺省路由 (38)

1 双机热备防火墙组网说明： 组网说明： 防火墙双机热备组网，主备非抢占模式，防火墙上行链路通过静态路由指向连接INTERNET网络，防火墙下行链路通过OSPF动态路由指向内部网络路由器。 业务要求： 当网络“层三交换机”或“防火墙”或“层二交换机”某一个设备本身故障或某一条线路故障时，流量可以及时从主防火墙切换至备防火墙，保证网络应用业务不中断、平稳运行。

2 主防火墙配置步骤： 1 配置PC IP地址192.168.0.3/24，连接管理防火墙： 2 通过IE浏览器打开防火墙WEB管理界面，防火墙默认的管理IP地址192.168.0.1，默认的用户名：h3c，默认密码：h3c。

华为USG防火墙配置完整版

华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为 防火墙访问IP为，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。 别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为 ‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘’，子网掩码设置为‘’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I 区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访 问。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口

RoseMirrorHA双机热备软件的安装及配置手册

双机热备软件的安装与配置指导手册 系统版本：A1 文档编号：CHI-PT-NJBL-SJRB-A0

内容简介 《双机热备软件的安装与配置指导手册》主要针对目前公司人员定位系统服务器双机热备软件的安装和配置进行了详细说明，指导现场工程师对双机热备软件进行安装及配置。 本手册共分四章节，分别为： 第一章：概述 第二章：软件的安装 第三章：服务的安装及配置 第四章：注意事项 第五章：常见故障处理 本文档的读者范围： 公司内部员工 版权声明 本文档属南京北路科技有限公司版权所有，侵权必究。 本文文件专供用户、本公司职员以及经本公司许可的人员使用，未经公司书面 同意，任何单位或个人不得以任何方式复制、翻印、改编、摘编、转载、翻 译、注释、整理、出版或传播手册的全部或部分内容。

南京北路自动化系统有限责任公司位于南京江宁经济技术开发区，是南京市高新技术企业，现有高级工程师、工程师及其他专业技术人员100余名。是专业从事煤矿通信、自动化、信息化产品的研发、生产、销售及服务的高科技公司。 公司拥有ISO9001:2000质量管理体系认证，坚持“质量第一、用户至上、至诚服务、持续改进”的质量方针，得到了广大客户的信赖和支持。目前公司产品覆盖全国10多个省、自治区，并在多个煤炭主产区设有售后服务机构。 公司以满足客户需求为己任，不断生产高性价比的产品，为客户创造价值。 南京北路自动化系统有限责任公司 联系地址：南京市江宁开发区菲尼克斯路99号 邮政编码：211106 电话号码：(025)52187543 传真：(025)52185703 邮件地址：njbestway@https://www.sodocs.net/doc/904518122.html, 客户服务电话：400-611-5166 客户支持网站：https://www.sodocs.net/doc/904518122.html,

华为USG防火墙配置

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为192.168.0.1 防火墙访问IP为192.168.0.1，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。

输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。

以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。

别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID 设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘192.168.1.100’，子网掩码设置为‘255.255.0.0’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到192.168.0.1。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口成员中。

华为防火墙USG配置

内网： 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令：

H3C的secBlade服务器负载均衡双机热备典型配置

LB服务器负载均衡（双机热备） 配置参考 H3C Technologies Co., Limited, Copyright 2003-2009, All rights reserved 杭州华三通信技术有限公司 版权所有 侵权必究

前言 本文参考LB在江西电信网上营业厅实施方案更改，作为服务器负载均衡双机热备配置参考所用，如有不妥之处请指正，多谢。

修订记录Revision Records 日期Date 修订版本 Revision 描述 Description 作者 Author 2009-7-29 (V1.00) 初稿06399

目录 1组网拓扑： (5) 1.1对组网拓扑说明： (5) 1.2LB上业务调用说明： (6) 2数据流量走向说明： (7) 2.1数据流量走向说明： (7) 3组网配置 (8) 3.1防火墙配置 (8) 3.2S65配置： (8) 3.3S75配置 (9) 3.3.1S75-01配置： (9) 3.3.2S75-01配置： (9) 3.4LB配置 (10) 3.4.1LB配置： (10) 4配置注意事项 (12)

1 组网拓扑组网拓扑：： 图1 组网拓扑图 1.1 对组网拓扑说明： 两台防火墙设备到外网做NAT server 同时对外映射了WEB Server 服务器，两台S65交换机作为核心路由交换设备，下连WEB 服务器和应用服务器，服务器对外提供WEB 访问和用户登陆查询相关信息。 两台防火墙启用双机热备，实现业务冗余备份，同时配置两个Vrrp 组（做主备模式），对外网Vrrp 组vrid 2（218.65.103.252）作为外网到内网转发数据报文的下一跳（可以保证在防火墙），对内vrrp 组 vrid 1（172.16.101.3）作为S65到

华为防火墙USG配置

配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit

双机热备核心交换机1实例配置

en config t hostname C4506_1 ! enable secret cisco vtp domain '' vtp mode transparent ip subnet-zero no ip domain-lookup ip dhcp excluded-address 192.168.10.2 192.168.10.20 ip dhcp pool WirelessDHCP network 192.168.9.0 255.255.255.0 default-router 192.168.9.1 dns-server 192.168.1.33 192.168.1.36 lease 7 ! ip dhcp pool TestDHCP network 192.168.6.0 255.255.255.0 default-router 192.168.6.1 dns-server 192.168.1.33 192.168.1.36 ! ip dhcp pool OfficeDHCP network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 netbios-name-server 192.168.1.33 dns-server 192.168.1.33 192.168.1.36 lease 7 ! ip dhcp pool SCC3-DHCP network 192.168.7.0 255.255.255.0 default-router 192.168.7.1 dns-server 192.168.1.33 192.168.1.36 ! ip dhcp pool SCC4-DHCP network 192.168.8.0 255.255.255.0 default-router 192.168.8.1 dns-server 192.168.1.33 192.168.1.36 ! ip dhcp pool Access-Internet network 192.168.12.0 255.255.255.0

华为路由器防火墙配置命令详细解释

一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较

最新华为防火墙l2tp配置资料

配置Client-Initialized方式的L2TP举例 组网需求 如图1所示，某公司的网络环境描述如下： ?公司总部通过USG5300与Internet连接。 ?出差员工需要通过USG5300访问公司总部的资源。 图1配置Client-Initialized方式的L2TP组网图 配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。 配置思路 1配置客户端。 2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。 3配置防火墙策略。 4配置LNS。 数据准备 为完成此配置例，需准备如下的数据： ?防火墙各接口的IP地址。 ?本地用户名和密码。 操作步骤 配置客户端。说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。 1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。 1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右 侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为 ProhibitIpSec。如果此键值已经存在，请执行下面的步骤。 1选中该值，单击右键，选择“修改”，编辑DWORD值。在“数值数据”文本框

中填写1，单击“确定”。 1重新启动该PC，使修改生效。 此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。 # 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。 # 配置客户端计算机的主机名为client1。 # 创建L2TP连接。 1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个 新的连接”，在弹出的界面中选择“下一步”。 1在“网络连接类型”中选择“连接到我的工作场所的网络”，单击“下一步”。 1在“网络连接”中选择“虚拟专用网络连接”，单击“下一步”。 1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称，本例 设置为LNS，单击“下一步”。 1在“公用网络”中选择“不拨初始连接”，单击“下一步”。 1在“VPN服务器选择”中填写LNS的IP地址，此处设置的IP地址为USG5300 与Internet连接接口的IP地址，本配置例中为202.38.161.1，单击“下一步”。 1将“在我的桌面上添加一个到此连接的快捷方式”选中，单击“完成”。 在弹出的对话框中，输入在LNS上配置的用户名和密码，单击“属性”，如图2所示。图2连接LNS 单击“属性”，设置如图3所示。图3设置LNS属性的选项页签

华为防火墙配置

防火墙配置： dis current-configuration #显示当前配置 [SRG]stp region-configuration #进入MST视图 [SRG]active region-configuration #激活MST配置 [SRG]interface GigabitEthernet 0/0/0 #进入GE0/0/0端口 [SRG-GigabitEthernet0/0/0]alias GE0/GMT #别名GE0管理 [SRG-GigabitEthernet0/0/0]ip add 192.168.100.1 255.255.255.0 #端口配置IP [SRG-GigabitEthernet0/0/0]dhcp select interface #客户端从接口地址池中通过dhcp自动获取IP地址[SRG-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.100.1 #DHCP服务默认网关 [SRG-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 #DNCP默认DNS [SRG-GigabitEthernet0/0/1]ip add 192.168.200.1 255.255.255.0 #配置端口IP [SRG-GigabitEthernet0/0/2]ip add 211.1.1.1 255.255.255.0 #配置公网IP [SRG]interface NULL0 #建立伪接口，进行包的分发。当宝的目的和路由不匹配时候，则通过NULL0丢弃ps:如果通过默认路由进行分发的话就会形成环路 [SRG]firewall zone untrust #进入防火墙不信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/2 #添加不信任区域端口 [SRG]firewall zone trust #进入防火墙信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/0 #添加信任区域端口 [SRG]firewall zone dmz #进入防火墙了隔离区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/1 #添加隔离区域端口 [SRG]firewall zone name usr1 #添加区域 [SRG-zone-usr1]set priority 86 #设置优先级 [SRG-zone-usr1]add interface GigabitEthernet 0/0/8 #添加端口 [SRG-zone-usr1]aaa #aaa认证协议 [SRG-aaa]local-user admin password cipher 123456 #设置用户名和加密密码 [SRG-aaa]local-user admin service-type web terminal telnet #允许三种登入方式 [SRG-aaa]local-user admin level 15 #设置等级为15级 [SRG-aaa]authentication-scheme default #验证方式默认及本地设备验证 [SRG-aaa]authorization-scheme default #验证方式默认及本地设备验证 [SRG-aaa]accounting-scheme default #验证方式默认及本地设备验证 [SRG-aaa]domain default #域缺省 [SRG]nqa-jitter tag-version 1 [SRG]banner enable [SRG]user-interface con 0 [SRG-ui-console0]authentication-mode aaa 允许登陆模式为aaa [SRG]user-interface vty 0 4 [SRG-ui-vty0-4]uthentication-mode aaa [SRG-ui-vty0-4]protocol inbound all # 允许所有登陆协议