代码之美

标签: 华为

  • 华为AR系列路由器PPPOE拨号上网

    • 创建dialer接口
    acl 3998
 rule 10 permit ip
interface Dialer1
 link-protocol ppp
 ppp ipcp default-route
 ppp chap user pppoe-user
 ppp chap password cipher 123456
 ppp pap local-user pppoe-user password cipher 123456
 ppp ipcp dns admit-any
 ppp ipcp dns request
 ipv6 enable
 tcp adjust-mss 1452
 ip address ppp-negotiate
 dialer user pppoe-user
 dialer bundle 1
 dialer number 1 autodial
 ipv6 address auto link-local
 ipv6 address auto global default
 ipv6 mtu 1492
 nat outbound 3998
 dhcpv6 client pd v6pd1
 sa application-statistic enable
    • 绑定pppoe会话到wan 0/0/9端口
    interface GigabitEthernet0/0/9
 pppoe-client dial-bundle-number 1
 ip address 192.168.1.2 255.255.255.0
 nat outbound 3997
 ip accounting input-packets
 ip accounting output-packets
 sa application-statistic enable
    • 配置lan口
    dhcpv6 pool pool1
 dns-server FD11::1
interface Vlanif101
 mtu 1492
 ipv6 enable
 ip address 192.168.101.1 255.255.255.0
 ipv6 address v6pd1 ::1:0:0:0:1/64
 ipv6 address FD11::1/64
 ipv6 address auto link-local
 ipv6 address auto global
 ipv6 mtu 1492
 undo ipv6 nd ra halt
 ipv6 nd autoconfig other-flag
 dhcp select interface
 dhcpv6 server pool1
 dhcp server dns-list 192.168.101.1

    注意:
    如果ipv6不稳定可以添加以下配置:
    tcp ipv6 max-mss 1432
    在lan口上配置mtu是因为路由器的path mtu不能正常起作用,正常情况下是不需要的。

    Views: 1

  • 华为USG系列防火墙PPPOE拨号上网

    • 创建dialer接口
    interface Dialer0
 link-protocol ppp
 ppp chap user pppoe-user
 ppp chap password cipher 123456
 ppp pap local-user pppoe-user password cipher 123456
 ppp ipcp dns admit-any
 mtu 1492
 ipv6 enable
 ip address ppp-negotiate
 dialer user pppoe-user
 dialer bundle 1
 dialer number 0 autodial
 ipv6 address auto link-local
 ipv6 address auto global
 ipv6 mtu 1492
 healthcheck wan0
 service-manage https permit
 service-manage ssh permit
 redirect-reverse
 ipv6 redirect-reverse
 dhcpv6 client pd v6pd1
    • 创建健康检查
    healthcheck name wan0
destination 223.5.5.5 interface Dialer0  protocol dns
    • 创建NAT
    nat-policy
 rule name Internet
  source-zone 办公网
  egress-interface Dialer0
  action source-nat easy-ip
    • 创建默认路由
    ip route-static 0.0.0.0 0 Dialer0
ipv6 route-static :: 0 Dialer0
    • 绑定pppoe会话到wan0口
    interface WAN0/0/0
 pppoe-client dial-bundle-number 1
 undo shutdown
 anti-ddos flow-statistic enable
 service-manage https permit
 service-manage ssh permit
    • 配置lan口
    dhcpv6 pool pool1
 dns-server FD06::1
interface Vlanif6
 ipv6 enable
 ip address 192.168.2.1 255.255.255.0
 ipv6 address v6pd1 ::1:0:0:0:1/64
 ipv6 address FD06::1/64
 ipv6 address auto link-local
 ipv6 address auto global
 ipv6 mtu 1492
 undo ipv6 nd ra halt
 ipv6 nd autoconfig other-flag
 alias Vlanif6
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 dhcp server mask 255.255.255.0
 dhcp server ip-range 192.168.2.1 192.168.2.254
 dhcp select interface
 dhcpv6 server pool1
 dhcp server gateway-list 192.168.2.1
 dhcp server dns-list 192.168.2.1

    注意:
    如果拨号成功后ipv6不通,可以删除并重新配置以下命令:

     ipv6 address auto link-local
 ipv6 address auto global
 dhcpv6 client pd v6pd1

    如果ipv6上网不稳定还可以配置以下命令:

    tcp ipv6 max-mss 1432

    Views: 1

  • ac9700s-s配置组播优化


    广播&组播报文转单播失败遍历发送:这一项一定要打包,不然会网络不通
    对应的命令:

    traffic-profile name default
  rate-limit client dynamic disable
  mld-snooping enable
  igmp-snooping enable
  traffic-optimize multicast-unicast enable
  traffic-optimize multicast-unicast dynamic-adaptive disable
  traffic-optimize arp-proxy enable
  traffic-optimize nd-proxy enable
  traffic-optimize bcmc unicast-send mdns
  undo traffic-optimize bcmc unicast-send mismatch-action drop


    IP地址学习也要打开,不然组播转单播无法工作
    对应的命令(地址学习是默认开启的):

    vap-profile name Net
  service-vlan vlan-id 12
  ssid-profile Net
  security-profile Net
  traffic-profile Net
  layer3-roam disable
  mdns-snooping enable

    广播组播报文抑制

    Views: 0

  • AirEngine6761-21T胖AP模式开启客户端地址学习后断网(learn-client-address)

    vap-profile-name default

    undo learn-client-address ipv4 disable

    执行以上命令开启地址学习后可以通过display station all看到终端的ipv4地址,但是到第二天所有终端都断网了,查看发现dhcp无法获取ip地址。

    反复测试发现开启地址学习后会自动开启dhcp snooping(dhcp snooping enable),但是关闭地址学习后并不会关闭dhcp snooping。而且没有任何提示说这两条命令会连带执行或有依懒关系。

    解决方法:

    1. 同时关闭地址学习和dhcp snooping功能

    2. 同时开启地址学习和dhcp snooping功能,但要要ap的上联口设置dhcp snooping trusted

    3. 使用AC+Fit AP,在AC上不会自动打开dhcp snooping

    Views: 8

  • 华为路由器PPPOE拨号IPv6不稳定

    表现为IPv6速度慢,有的网站能打开,有的打不开。

    #pppoe口
int Dialer 1
  mtu 1492
  ipv6 mtu 1492
#lan口
int vlanif 2
  mtu 1492
  ipv6 mtu 1492

    造成这种问题是原因多方面的:
    – IPv6天生不允许分片
    – 华为路由器的MTU,IPv4和IPv6是分开配置的,PPPOE会自动配置IPv4的MTU为1492,但IPv6不会
    – ipv6 pathmtu被某些设备破坏了或者某些网站pathmtu不正确

    正常情况下IPv6是不需要设置MTU的,IPv6始终使用Path MTU Discovery自动发现正确的MTU,出现这种情况大概率华为设备的PMTUD协议有问题,这种问题仅在华为设备上出现。
    OpenWrt就是有项RA MTU的设置,会把PPPOE接口的MTU通告给下游设备。

    参考:
    https://macgeeker.com/openwrt/ipv6-mtu/
    https://forum.huawei.com/enterprise/zh/thread/blog/703813366742663168

    Views: 4

  • 华为AirEngine9700S-S下的无线终端IPv6间歇性断网(收不到RA组播报文)

    无线侧的终端主要是手机,而且还不是所有的手机都有问题,导致问题排查起来比较困难
    因为手机上一直提示的是ERR_NAME_NOT_RESOLVED(不知道为啥会提示这个),刚开始以为是DNS的问题,但是怎么换dns服务器都没用。
    先是想root手机进到系统里面进行调试,但是小米的解锁资格没申请到,后来安装安卓usb驱动,用adb进行为手机shell观察路由发现ipv6路由的生存时间很短,然后等到路由过期果然IPv6断网了。
    下面用wireshark抓包一直抓不到icmpv6 ra报文,只有wifi连接建立的时候收到一个单播的ra报文。思来想去觉得问题可能出在组播上,然后在ac控制器上把与组播相关的配置都找出来,直到关闭组播转单播功能的时候wireshark上面出现了icmpv6的ra报文。
    命令行关闭组播转单播

    wlan
traffic-profile name default
undo traffic-optimize multicast-unicast enable

    这个问题历时几个月(主要也不是致命问题,没有ipv6还可以用ipv4),实际的排查过程比上面说的还要曲折。
    论坛上发的求助贴:
    https://forum.huawei.com/enterprise/zh/thread/742838730168877056?page=1&floor=2

    Views: 162

  • NAT Server和NAT Static的区别

    用手册上的原话

    NAT Server和静态NAT的区别就是NAT Server对于内网主动访问外网的情况不做端口替换,仅作地址替换。

    我的理解是
    nat server在内网主机禁止联网或通过其它线路联网时可以提高nat的性能,毕竟nat server不用考虑端口号替换。但是一旦内网主机联网的话不替换端口号肯定是有问题的,端口号就会与别的nat表项(nat outbound)重复。

    Views: 130

  • 配置华为设备使用SSH公钥登录

    • 使用openssh格式公钥
    aaa
local-user admin service-type terminal ssh ftp http
quit
ssh user admin authentication-type all
rsa peer-public-key tao encoding-type openssh
public-key-code begin
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDAA6mw8q1ok9ElbkNRvalOnECxRXaz8oO3sDlL+F8c5dTm09nuK4z1leQlsO
2qMX49foxoCg/sXcVg351dooKkrjZt4IzikGN/hm49lrH4uJGffm9CGmuhF5Xyj1QyvwnA9iERusSS4yf3NvmSR6w5fyCxzKd/09GG8SJ1mXVWw0U9Cd+jk7fEq/6eVsvQNdr23wEXppdkpV9URCvygDR4dk7FBnnmpLD9gOIshpgFPO6452YzaPqpGU/US/YjmbsDNROPHBVvAC/xaCDy6IJCqR8jkKQUya+uPLC29Xfhly+taHV8KHNJ41leN6L/09Lh7uFuN5jGHGHgCJyXPOnP haohetao@gmail.com
public-key-code end
peer-public-key end
dis rsa peer-public-key
ssh user admin assign rsa-key tao
    • 使用华为专有格式的公钥
      有些华为设备或固件版本不支持openssh格式公钥,只能使用华为格式
      执行ssh-keygen -e -m pem -f ~/.ssh/id_rsa.pub | sed '1d;$d' | tr -d '\n' | base64 -d | od -t x1 -An | tr -d ' \n' | tr 'a-f' 'A-F' | sed 's/\(.\{8\}\)/\1 /g' | fold -w 54把本地openssh格式的公钥转换为华为格式
    ssh user admin authentication-type all
rsa peer-public-key tao
public-key-code begin
3082010A 02820101 00C003A9 B0F2AD68 93D1256E 4351BDA9
4E9C40B1 4576B3F2 83B7B039 4BF85F1C E5D4E6D3 D9EE2B8C
F595E425 B0EDAA31 7E3D7E8C 680A0FEC 5DC560DF 9D5DA282
A4AE366D E08CE290 637F866E 3D96B1F8 B8919F7E 6F421A6B
A11795F2 8F5432BF 09C0F621 11BAC492 E327F736 F99247AC
397F20B1 CCA77FD3 D186F122 75997556 C3453D09 DFA393B7
C4ABFE9E 56CBD035 DAF6DF01 17A69764 A55F5444 2BF28034
78764EC5 0679E6A4 B0FD80E2 2C869805 3CEEB8E7 663368FA
A9194FD4 4BF62399 BB033513 8F1C156F 002FF168 20F2E882
42A91F23 90A414C9 AFAE3CB0 B6F577E1 972FAD68 757C2873
49E3595E 37A2FFD3 D2E1EEE1 6E3798C6 1C61E008 9C973CE9
CF020301 0001
public-key-code end
peer-public-key end
dis rsa peer-public-key
ssh user admin assign rsa-key tao

    注意:
    复制密钥的时候不要漏掉后面的尾巴,尤其是复制华为16进制密钥格式时,因为末尾没有换行容易忽略

    Views: 121