H3C

H3C AP手动更新软件版本的一点笔记

有时AC中会出现“CAPWAP tunnel to AP Name went down. Reason: AP was reset due to inconsistent local and reported radio statistics.”警告,出现警告后AP即会重启,造成服务中断,且情况周而复始。

这可能是由于AP软件版本与AC版本不匹配造成的。

但有时AC并不会主动更新AP的软件版本(即使打开软件升级选项也是如此,原因未知),需要手动提取AC中的AP软件IPE文件,并导入AP中手动升级。

按照正常程序为AP配置好Telnet后,使用Telnet连接AP出现“Session stopped”;
直接使用Console线连接后,重复出现“Press ENTER to get started.”,但按回车间无法进入管理界面。

这是由于AP自动连接AC后仅用了管理CLI,需要进入AC配置开放:

[AC]probe
[AC]wlan ap-execute all exec-console enable

使用H3C的FTP客户端需要注意关闭Passive模式,并且第一次输入命令会提示密码错误,必须重新用user登录一遍。

[AP]ftp
ftp> passsive
ftp> user ap
ftp> get wa5300.ipe
ftp> quit
[AP]boot-loader file flash:/wa5300.ipe main
[AP]reboot

H3C路由器PPPoE配置IPv6

本文以MSR2600-10-X1为例,采用v7系统,公网为中国联通家庭宽带(带有动态公网IP与IPv6,已改桥接)。

dialer-group 1 rule ip permit
#
ipv6 dhcp pool v6  //创建DHCPv6无状态地址池
 option-group 1  //引用DHCPv6选项组1中的信息(见Dialer接口中的相关命令)
#
interface Dialer0  //PPPoE拨号接口
 mtu 1492
 ppp chap password simple pwd
 ppp chap user usr
 ppp ipcp dns admit-any 
 ppp ipcp dns request 
 ppp pap local-user usr password simple pwd 
 dialer bundle enable
 dialer-group 1
 dialer timer idle 0
 dialer timer autodial 60
 ip address ppp-negotiate
 tcp mss 1452
 nat outbound
 ipv6 address auto  //无状态自动配置IPv6(全球单播)地址
 ipv6 address auto link-local  //设置IPv6链路本地地址
 ipv6 dhcp client pd 1 rapid-commit option-group 1  //通过DHCPv6 PD向ISP请求前缀。pd 1指将获得的前缀分配为前缀编号1;option-group 1指将DHCPv6下发的其他选项(如DNS地址)指派到本地的选项组(option-group);rapid-commit指优先使用DHCPv6快速交互(rapid commit)模式。
#
interface Vlan-interface1  //第一个内网(比如是内部员工或家庭成员使用)
 ip address 192.168.8.1 255.255.255.0
 ipv6 mtu 1280  //H3C V7版本暂不支持ipv6 tcp mss,只能尽量减小MTU(此mtu设置会通过RA通告给“内网”的终端)。
 ipv6 dhcp select server  //指定接口工作在DHCPv6服务器模式
 ipv6 dhcp server apply pool stateless  //引用DHCPv6无状态地址池
 ipv6 address 1 ::1/64 //引用前缀编号1中的前缀,接口主机位设置为::1,前缀长度设置为/64(从运营商获得的委派前缀长度可能为/60)
 ipv6 nd autoconfig other-flag  //指示客户端使用DHCPv6获取IPv6地址之外的其他配置(如DNS)
 undo ipv6 nd ra halt  //允许在此接口上发送RA
 ipv6 nd ra interval 60 10  //RA的最大发送间隔和最小发送间隔(在最大和最小之间随机选择时机)
 ipv6 nd ra invalid-delegated-prefix advertise enable  //被委派前缀失效时发送RA,向内网终端宣告前缀失效(修订本文时新增的命令,对于无线一体化产品2020年9月的R5435P02版本开始支持,对于路由器产品2024年5月的R6749P2102版本开始支持)
 ipv6 nd ra dns server 240C::6666 sequence 0  //使用RA RDNSS通告DNS服务器,以兼容不支持DHCPv6的客户端
 ipv6 nd ra dns server 240C::6644 sequence 1  //使用RA RDNSS通告备用DNS服务器
#
interface Vlan-interface200  //第二个内网(比如给来宾、访客使用)
 ip address 192.168.9.1 255.255.255.0
 ipv6 mtu 1280
 ipv6 dhcp select server
 ipv6 dhcp server apply pool stateless
 ipv6 address 1 ::1:0:0:0:1/64  //运营商委派的前缀长度为/60。出于管理需要,让vlan200下终端获取的IPv6地址与vlan1下的相区别,在此设置接口的主机位为::1:0:0:0:1,前缀长度仍为/64
 ipv6 nd autoconfig other-flag
 undo ipv6 nd ra halt  //允许在此接口上发送RA
 ipv6 nd ra interval 60 10
 ipv6 nd ra invalid-delegated-prefix advertise enable
 ipv6 nd ra dns server 240C::6666 sequence 0
 ipv6 nd ra dns server 240C::6644 sequence 1
#
interface GigabitEthernet1/0/5  //拨号绑定的物理接口
 port link-mode route
 undo lldp enable
 undo dhcp select server
 pppoe-client dial-bundle-number 5
#              
 ip route-static 0.0.0.0 0 Dialer5
 ipv6 route-static :: 0 Dialer5  //IPv6默认路由

一些可能的优化指令:

ip redirects enable
ip unreachables enable
ip ttl-expires enable
#
ipv6 reassemble local enable

在PPPoE拨号环境下实现基于前缀委派(PD)的IPv6(H3C设备)_h3c pppoe ipv6-CSDN博客

H3C路由器配置证书后443接口无法启动HTTPS服务的解决方法

配置好pki证书和域之后,绑定SSL服务策略后无法在443端口启动HTTPS服务,具体采用的指令如下:

//配置SSL服务器端策略myssl,绑定PKI域
ssl server-policy myssl
pki-domain 1
//停止HTTP和HTTPS服务
no ip http enable
no ip https enable
//绑定HTTPS的SSL服务端策略
ip https ssl-server-policy myssl
//启动HTTP和HTTPS服务
ip http enable

此时报错:

Failed to enable HTTP server.

可以采用命令检查是否有业务占用了443端口

dis tcp
dis udp
undo autodeploy url enable
undo netconf soap https enable
undo restful https enable

之后再尝试启动HTTP服务。

H3C AC添加HTTPS证书

H3C的V7版本中,Web界面没有提供直接修改HTTPS证书的表单,所以需要在CLI中配置,以下以WX2510H-F为例,从创建根证书、签发子证书到最终导入AC并应用,讲解整个过程。

首先,使用OpenSSL生成私钥、签名请求和证书:

//生成根证书私钥
openssl genpkey -algorithm RSA -out root_key.pem
//生成根证书签名请求,这一步需要填写证书的详细信息(包括位置、机构等)
openssl req -new -key root_key.pem -out root_csr.pem
//签名根证书,并设定有效期10年(3650天)
openssl x509 -req -in root_csr.pem -signkey root_key.pem -out root_cert.pem -days 3650

接着,用根证书签署子证书:

//生成子证书私钥
openssl genpkey -algorithm RSA -out ac_key.pem
//生成子证书签名请求,和根证书一样,需填写相关信息
openssl req -new -key ac_key.pem -out ac_csr.pem

在签名子证书前,我们还需要创建一个.ext文件,以便在签发子证书加入额外的设定(比如是否可签发子证书、域名等):

basicConstraints=CA:FALSE
subjectAltName = @alt_names

[alt_names]
IP.1 = 192.168.1.5
DNS.1 = ac.example.com

然后,用根证书签名子证书,并设定有效期10年:

openssl x509 -req -in ac_csr.pem -CA root_cert.pem -CAkey root_key.pem -out ac_cert.pem -days 3650 -extfile ac.ext

因为H3C系统对于PEM文件的读取机制,我们还需要在记事本中将ac_key.pem与ac_cert.pem两个文件的内容组合到一起,生成ac_mix.pem文件。

至此,在PC中对证书的处理就完成了。接下来需要将证书导入AC并应用与HTTPS服务。

首先,我们需要先在Web页面向AC的Flash中上传根证书公钥root_cert.pem和子证书公私钥ac_mix.pem两个文件。(在系统面板下,左侧边栏“系统”→“文件管理”,直接上传至Flash根目录即可)

接着,进入CLI页面的System-view

//配置pki domain 1,关闭证书检查
pki domain 1
undo crl check enable
//导入根证书
pki import domain 1 pem ca filename root_cert.pem
//导入子证书
pki import domain 1 pem local filename ac_mix.pem
//配置SSL服务器端策略myssl,绑定PKI域
ssl server-policy myssl
pki-domain 1
//停止HTTP和HTTPS服务
no ip http enable
no ip https enable
//绑定HTTPS的SSL服务端策略
ip https ssl-server-policy myssl
//启动HTTP和HTTPS服务
ip http enable
ip https enable

重新打开Web页面,此时证书已替换为自己签名的证书。

如果要避免浏览器显示“不安全”,还需要在Windows系统中导入我们自己的根证书,步骤如下:

搜索→管理计算机证书→受信任的根证书颁发机构→证书→操作→所有任务→导入→root_cert.pem

H3C MSR930企业级路由器备忘

1、连接外网是,需要设置NAT。PPPoE为Dialer#,直接IP连接为WAN口,不需要加入LAN或VLAN。

2、光猫下发的DNS服务器不稳定,可在VLAN接口设置中直接设置DHCP服务器下发使用223.5.5.5(阿里云DNS)与119.29.29.29(腾讯DNSpod),二者延迟及TTL数据良好,且背景不错。

3、路由器时间可通过NTP服务器直接同步,推荐203.107.6.88(阿里云)及58.220.133.132(ntp.org.cn)。

4、廉价的12v电源极有可能虚标供电电流,将导致AP或路由器无线重启,更换可靠的电源即可。

5、12v电源的常用接头尺寸为5.5*2.5、5.5*2.1,带有弹片的2.5内径可以兼容2.1,但连接不牢固。

6、无线服务的安全设置一般采用Open-System(支持WPA加密),Shared-Key方式仅支持WEP,安全性反而较低。WPA和WPA-PSK不同,前者需要Radius服务器支持,后者为一般家庭式的8位以上密码连接。若要使用PSK需在端口设置中开启。

7、VLAN和VLAN接口不同。VLAN接口能够设置独立的网管及DHCP服务器,可以用来隔离无线网络,将无线网络划分到VLAN中无法通过DHCP获取IP地址,所以VLAN应该是用来隔离小段网络的。

8、白橙、橙、白绿、蓝、白蓝、绿、白棕、棕