H3C AP手动更新软件版本的一点笔记

有时AC中会出现“CAPWAP tunnel to AP Name went down. Reason: AP was reset due to inconsistent local and reported radio statistics.”警告,出现警告后AP即会重启,造成服务中断,且情况周而复始。

这可能是由于AP软件版本与AC版本不匹配造成的。

但有时AC并不会主动更新AP的软件版本(即使打开软件升级选项也是如此,原因未知),需要手动提取AC中的AP软件IPE文件,并导入AP中手动升级。

按照正常程序为AP配置好Telnet后,使用Telnet连接AP出现“Session stopped”;
直接使用Console线连接后,重复出现“Press ENTER to get started.”,但按回车间无法进入管理界面。

这是由于AP自动连接AC后仅用了管理CLI,需要进入AC配置开放:

[AC]probe
[AC]wlan ap-execute all exec-console enable

使用H3C的FTP客户端需要注意关闭Passive模式,并且第一次输入命令会提示密码错误,必须重新用user登录一遍。

[AP]ftp
ftp> passsive
ftp> user ap
ftp> get wa5300.ipe
ftp> quit
[AP]boot-loader file flash:/wa5300.ipe main
[AP]reboot

迅时OM系列语音网关修改HTTPS证书

迅时OM语音网关的Web界面没提供修改HTTPS证书的功能,需要手动在CLI中修改,以下以OM20为例。

首先需要在Web管理页面中开启Telnet功能,并设置密码(高级→安全配置→Telnet)。

使用命令行工具接入语音网关的Telnet,用户名为root,密码为设置的密码。

直接修改原有的证书公钥与私钥:

//替换公钥
vi /mnt/rwfs/var/config/httpsCA/newreq.ca
//替换私钥
vi /mnt/rwfs/var/config/httpsCA/newreq.key

需要注意的是,原有的newreq.ca文件中,包含了额外的证书信息,为了避免bug,我们可以利用openssl来生成这部分信息,并替换掉原来的信息:

openssl x509 -in voip_cert.pem -text -noout

(如果vi编辑器中粘贴文本出现缩进错误,可以用:set noautoindent来关闭自动缩进。)

最后重启语音网关,打开Web页面,此时HTTPS证书已被替换。

H3C AC添加HTTPS证书

H3C的V7版本中,Web界面没有提供直接修改HTTPS证书的表单,所以需要在CLI中配置,以下以WX2510H-F为例,从创建根证书、签发子证书到最终导入AC并应用,讲解整个过程。

首先,使用OpenSSL生成私钥、签名请求和证书:

//生成根证书私钥
openssl genpkey -algorithm RSA -out root_key.pem
//生成根证书签名请求,这一步需要填写证书的详细信息(包括位置、机构等)
openssl req -new -key root_key.pem -out root_csr.pem
//签名根证书,并设定有效期10年(3650天)
openssl x509 -req -in root_csr.pem -signkey root_key.pem -out root_cert.pem -days 3650

接着,用根证书签署子证书:

//生成子证书私钥
openssl genpkey -algorithm RSA -out ac_key.pem
//生成子证书签名请求,和根证书一样,需填写相关信息
openssl req -new -key ac_key.pem -out ac_csr.pem

在签名子证书前,我们还需要创建一个.ext文件,以便在签发子证书加入额外的设定(比如是否可签发子证书、域名等):

basicConstraints=CA:FALSE
subjectAltName = @alt_names

[alt_names]
IP.1 = 192.168.1.5
DNS.1 = ac.example.com

然后,用根证书签名子证书,并设定有效期10年:

openssl x509 -req -in ac_csr.pem -CA root_cert.pem -CAkey root_key.pem -out ac_cert.pem -days 3650 -extfile ac.ext

因为H3C系统对于PEM文件的读取机制,我们还需要在记事本中将ac_key.pem与ac_cert.pem两个文件的内容组合到一起,生成ac_mix.pem文件。

至此,在PC中对证书的处理就完成了。接下来需要将证书导入AC并应用与HTTPS服务。

首先,我们需要先在Web页面向AC的Flash中上传根证书公钥root_cert.pem和子证书公私钥ac_mix.pem两个文件。(在系统面板下,左侧边栏“系统”→“文件管理”,直接上传至Flash根目录即可)

接着,进入CLI页面的System-view

//配置pki domain 1,关闭证书检查
pki domain 1
undo crl check enable
//导入根证书
pki import domain 1 pem ca filename root_cert.pem
//导入子证书
pki import domain 1 pem local filename ac_mix.pem
//配置SSL服务器端策略myssl,绑定PKI域
ssl server-policy myssl
pki-domain 1
//停止HTTP和HTTPS服务
no ip http enable
no ip https enable
//绑定HTTPS的SSL服务端策略
ip https ssl-server-policy myssl
//启动HTTP和HTTPS服务
ip http enable
ip https enable

重新打开Web页面,此时证书已替换为自己签名的证书。

如果要避免浏览器显示“不安全”,还需要在Windows系统中导入我们自己的根证书,步骤如下:

搜索→管理计算机证书→受信任的根证书颁发机构→证书→操作→所有任务→导入→root_cert.pem

VLAN中Access,Trunk与Hybrid端口的对比

Access端口:
接收:若为没有TAG的报文,则打上端口PVID的TAG,并转发;若有TAG,则直接丢弃。
发送: 若TAG=PVID,则剥除TAG转发。

Trunk端口:
接收:若没有TAG,则打上端口PVID的TAG,并转发;若有TAG,则判断TAG是否被允许,允许则带原TAG转发,不属于则丢弃。
发送:若没有TAG,则打上端口PVID的TAG,并转发;若有,则相同PVID剥除TAG转发,不同则带原TAG转发。

Hybrid端口:
接收:同Trunk端口。
发送:基本类同Trunk,但可以设置Tagged与Untagged。属于Tagged的包会带原TAG,属于Untagged的包发出时剥离TAG。
可以用于傻瓜交换机和网管交换机混合使用的情况,方便直接连接不支持VLAN的设备。

H3C MSR930企业级路由器备忘

1、连接外网是,需要设置NAT。PPPoE为Dialer#,直接IP连接为WAN口,不需要加入LAN或VLAN。

2、光猫下发的DNS服务器不稳定,可在VLAN接口设置中直接设置DHCP服务器下发使用223.5.5.5(阿里云DNS)与119.29.29.29(腾讯DNSpod),二者延迟及TTL数据良好,且背景不错。

3、路由器时间可通过NTP服务器直接同步,推荐203.107.6.88(阿里云)及58.220.133.132(ntp.org.cn)。

4、廉价的12v电源极有可能虚标供电电流,将导致AP或路由器无线重启,更换可靠的电源即可。

5、12v电源的常用接头尺寸为5.5*2.5、5.5*2.1,带有弹片的2.5内径可以兼容2.1,但连接不牢固。

6、无线服务的安全设置一般采用Open-System(支持WPA加密),Shared-Key方式仅支持WEP,安全性反而较低。WPA和WPA-PSK不同,前者需要Radius服务器支持,后者为一般家庭式的8位以上密码连接。若要使用PSK需在端口设置中开启。

7、VLAN和VLAN接口不同。VLAN接口能够设置独立的网管及DHCP服务器,可以用来隔离无线网络,将无线网络划分到VLAN中无法通过DHCP获取IP地址,所以VLAN应该是用来隔离小段网络的。

8、白橙、橙、白绿、蓝、白蓝、绿、白棕、棕