跳轉到主要內容

華為(H3C)

華為產品,包含H3C產品線。

FAQ-USG2100console口密碼忘記如何處理

故障描述

USG2100console口密碼忘記如何處理

故障分析

  無

處理過程

方法一:
進入BootROM菜單清空Console口密碼,然后登錄Console口設置新的密碼。
1.????? 執行命令reboot,重新啟動設備。
注意: 重啟設備將中斷業務,注意做好準備。
在配置終端屏幕上可以看到設備啟動過程的信息。
2.????? 出現“Press Ctrl+B to Enter Boot Menu...”打印信息時,請在5秒鐘內按下“Ctrl+B”,輸入BootROM密碼“O&m15213”進入BootROM主系統菜單。
若連續三次輸入錯誤密碼,系統將重新啟動。按下Ctrl+Z進入隱藏菜單,輸入“Recover Console Password”對應的序號清空密碼。
說明: 如果遇到特使情況沒有“Recover Console Password”,請轉到方法2進行操作。
3.????? 輸入“Exit”對應的序號,回到BootROM主系統菜單。
4.????? 輸入“Reboot”對應的序號,重啟系統。
注意:
重新進入系統后,請馬上設置Console口密碼,否則登錄超時或重啟后仍然需要通過用戶驗證才能進入系統。
5.????? 進入系統后執行如下命令,配置用戶名admin的密碼為Admin@123。
<sysname> system-view
[sysname] user-interface console 0
[sysname-ui-console0] authentication-mode local user admin password cipher Admin@123
[sysname-ui-console0] return
執行命令save,保存配置,后續使用新的用戶名和密碼通過Console口登錄系統。

方法二:
如果執行到方法一,也就是進入隱藏菜單后發現沒有“Recover Console Password”,可以采用重命名當前使用的配置文件,使設備以出廠缺省配置啟動的方式恢復密碼。
1. 在隱藏菜單中輸入“Rename File”對應的序號,重命名設備正在使用的配置文件。如下:
?Please input the file name you want to rename:vrpcfg.zip
?Please input the target file name:vrpcfg1.zip
?Rename <vrpcfg.zip> to <vrpcfg1.zip> ...Done
說明:
可以選擇“Display Flash Files ”對應的序號,查看當前系統中存在的文件以確認配置文件的名稱。
2. 輸入“Exit”對應的序號,回到BootROM主系統菜單。
3. 輸入“Reboot”對應的序號,重啟系統。因為找不到啟動需要使用的配置文件,系統將以出廠缺省配置啟動。
4. 以系統默認用戶名和密碼(admin/Admin@123)登錄系統。
5. 查看設備當前配置中關于Console密碼配置的部分,記錄這段信息到本地記事本。
6. <sysname> display current-configuration | include admin password
local-user admin password cipher “]MQ;4\]B+4Z,YWX*NZ55OA!!”
其中“]MQ;4\]B+4Z,YWX*NZ55OA!!”是缺省密碼Admin@123對應的密文形式。
7. 通過修改配置文件的方式修改Console口密碼,然后再重新使用原來的配置文件啟動設備:
a.使用FTP將在隱藏菜單中重命名過的配置文件下載到本地,用記事本打開,找到設置Console密碼的位置(*.zip需要解壓后再打開)。
b.如果設置的是密文形式(cipher),將密碼修改為“]MQ;4\]B+4Z,YWX*NZ55OA!!”也就是Admin@123。然后保存配置文件。如果設置的是明文形式(simple),直接即可看到原來的密碼。
c. 將配置文件重命名為進行密碼恢復操作之前的文件名稱“vrpcfg.zip”(*.zip是壓縮后的名字)。
d. 使用FTP上傳修改后的配置文件到設備。
e. 在用戶視圖下執行命令delete,刪除設備上被重命名過的配置文件:
???????? Delete flash:/vrpcfg1.zip?[Y/N]:y?????????????????????????????????????????????
???????? %Deleting file flash:/vrpcfg1.zip.......Done!
f. 執行命令reboot,重新啟動設備,啟動后以新設置的密碼登錄。
此時啟動配置文件已經恢復為進行密碼恢復操作之前的配置文件,只是對密碼進行了修改。

方法三:
如果執行到方法3,也就是進入菜單后發現沒有“Rename File”菜單,請選擇Reset Default Config(USG2100系列) 或者Reset Factory Configuration (其它系列)采用以出廠缺省配置啟動的方式恢復密碼。
說明:
1.進入bootrom主菜單,選擇Reset Default Config? (選擇此項,設備將恢復出廠配置,原始的配置文件依然保存在設備的CF卡上。)
?
2.輸入“Reboot”對應的序號,重啟系統。
因為找不到啟動需要使用的配置文件,系統將以出廠缺省配置啟動。
3.以系統默認用戶名和密碼(admin/Admin@123)登錄系統。
4.如果需要之前的配置,可以導出設備之前配置文件到本地,用記事本打開,修改密碼后,再重新上傳到USG上,并指定下次啟動配置文件,設置完成后重啟設備即可。

導出方法如下:在系統----維護-----配置管理---選擇下次啟動配置文件---選擇

建議/總結

  無

雙電信ADSL實現鏈路冗余和IPSec VPN

故障描述

客戶原來使用1條電信ADSL上網,由于帶寬不夠,另外增加一條電信的ADSL。客戶使用一條ADSL鏈路時, 上網、IPSecVPN都正常。但是同時使用兩條線路時,IPSecVPN隧道建立不起來,用戶上網相當的慢,丟包現象嚴重。

http://support.huawei.com/enterprise/product/images/679726ae8fb44fbb952c469a5cf25d30

故障分析

處理過程

1使用一條ADSL鏈路,測試上網、IPSec均正常,表明每一條鏈路的網絡基礎配置正確,IPSec配置正確。
2、查看默認路由配置。
ip route-static 0.0.0.0 0.0.0.0 Dialer1?
?ip route-static 0.0.0.0 0.0.0.0 Dialer2
考慮到由于屬于同一運營商,兩條等價默認路由會造成數據來回路徑不一致的問題,修改為
ip route-static 0.0.0.0 0.0.0.0 Dialer1?
?ip route-static 0.0.0.0 0.0.0.0 Dialer2? preference ?65
連接兩條ADSL鏈路,網絡穩定情況好轉。

  1. 查看NAT策略,修改為雙鏈路互備。

原NAT策略:
acl number 3001
?description nat_dia1
?rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 ?//拒絕IPSec流量
?rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
?rule 3 permit ip source 192.168.1.0 0.0.0.255
?
acl number 3002
?description nat_dia2
?rule 0 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.0.0 0.0.0.255? //拒絕IPSec流量
?rule 2 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.0.0 0.0.0.255
?rule 3 permit ip source 192.168.2.0 0.0.0.255
?
firewall interzone trust untrust
?nat outbound 3001 interface Dialer1
?
firewall interzone trust untrust10
?nat outbound 3002 interface Dialer2
?
??? 該NAT策略使192.168.1.0網段通過Dialer1做地址轉換上網,使192.168.2.0網段通過Dialer2做地址轉換上網。但是如果一根線斷了,就會有一個網段的用戶上不了網。為了實現鏈路冗余互為備份,修改用于NAT的ACL為:
acl number 3001
?description nat_dia1
?rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉換
rule 3 permit ip ?source 192.168.1.0 0.0.0.255
rule 4 ?permit ip ?source 192.168.2.0 0.0.0.255??????????? //允許兩個網段通過,實現鏈路冗余
?
acl number 3002
?description nat_dia2
?rule 0 deny ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255 //對ipsec流量不做地址轉換
rule 3 permit ?ip ?source 192.168.1.0 0.0.0.255???
rule 4 permit ?ip ?source 192.168.2.0 0.0.0.255 ????????//允許兩個網段通過,實現鏈路冗余
?
4、查看策略路由和配置,修改策略路由,并強制IPSec流量僅走Dialer2。
原配置:
interface Vlanif1
ip address 10.10.1.1 255.255.255.0????
undo ip fast-forwarding qff
ip policy route-policy 123
?
acl number 3003
rule 3 permit ip source 192.168.1.0 0.0.0.255
?
route-policy 123 permit node 5
?if-match acl 3003
?apply output-interface Dialer2
該策略路由強行1網段走Dilar 2,但不排除2網段也走Dilar 2的可能性。所以修改策略路由使分流更清晰明了。
修改后的策略路由
interface Vlanif1
ip address 10.10.1.1 255.255.255.0
undo ip fast-forwarding qff
ip policy route-policy 123
?
acl number 3003
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
?acl number 3004
rule 5 permit ip source 192.168.2.0 0.0.0.255
?
route-policy 123 permit node 5
?if-match acl 3003
?apply output-interface Dialer2
route-policy 123 permit node 10
if-match acl 3004
?apply output-interface Dialer1
?
5、修改security ACL 3000,并使兩端成鏡像。
acl number 3000
rule 0 permit ip source 192.168.0.0 0.0.3.255 destination 192.168.0.0 0.0.0.255
?
6、測試兩網段用戶上網,正常;測試兩網段用戶訪問VPN,正常。

建議/總結
  1. 如果雙鏈路為同一ISP,只有兩條默認路由時,必須將默認路由配置為不同優先級;
  2. 該方案實現了在2條鏈路正常時,通過策略路由實現分流;當1條鏈路斷開后,能確保所有網段通過NAT上網。這里需要注意配置做NAT的ACL需要將所有網段都包含進去,最簡單的規則是先拒絕IPSec流量,然后rule permit ip。
  3. 為了確保IPSec正常,本例比較保守的只允許通過Dialer2口與中心建立隧道。如果修改中心和分支的security acl,并將IPSec策略應用于兩個dialer口,還可以實現分支IPSec鏈路冗余。當兩條鏈路正常時,通過策略路由,所有感興趣流量通過 Dialer2口,由Dialer2口與中心建立隧道,當Dialer2口所有鏈路down時,根據默認路由會選擇Dialer1口建立隧道。修改方法如 下:

interface Dialer1
ipsec policy map1
?
interface Dialer2
ipsec policy map1

關于Comware V7產品安裝補丁后必須使用Commit命令配置補丁重啟生效的公告

故障描述

  設備因故重新啟動后,原本安裝的補丁出現丟失導致設備補丁失效。經過查看補丁安裝過程,操作人員僅僅Install安裝完補丁文件,沒有使用Install commit 命令確保下一次啟動時激活補丁導致。

故障分析

  采用Install Commit確保下一次啟動時激活補丁包的主要原因有兩個。

  第一,Comware V7軟件平臺的文件包管理與Comware V5不同,在Linux下補丁是類似于WINDOWS的系統包,不再使用Comware的函數替換管理方式,因此文件包的安裝后,需要Commit進行包配置刷新,這種方式比較類似我們修改配置后Save配置文件。

?  第二,如果直接自動Commit,假如補丁文件有錯導致系統就崩潰,補丁安裝后系統會進入安裝補丁--異常重啟--補丁自動安裝--自動重啟這樣死循環,這樣本地只能通過Bootrom菜單刪除補丁包,遠程則無手段卸載這個錯誤補丁。

  基于以上的兩個原因,Comware V7平臺打補丁需要執行Install Commit命令進行整機包信息的同步確認,確保下一次啟動時補丁包能自動激活。因此正常的補丁安裝流程為:

  第一步,安裝補丁文件,激活補丁文件,此步完成后補丁在當前設備生效

<H3C>install activate patch flash:/補丁文件 ?slot 主用引擎槽位號??????????????????????????????????????????????????????????????????????????

<H3C>install activate patch flash:/補丁文件? slot 備用引擎槽位號??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

  第二步,刷新補丁文件包信息,確保補丁在設備下次重啟后繼續生效

<H3C>install commit

具體補丁安裝過程,請參考對應的補丁版本說明書中升級指導章節,補丁安裝前務必閱讀隨補丁發布的補丁說明書。

Comware ?V5及之前的平臺產品上,補丁程序是直接對原始程序的修訂,并非應用軟件的包,因此無“install commit”命令。

處理過程

補丁安裝完畢后,使用display install committed? 命令查看設備補丁的commited信息:

<H3C>display install committed??????????????????????????????????????????????????

Committed packages on slot 16:?????????????????????????????????????????????????

flash:/S12500F-cmw710-boot-e1002p05.bin??????????????????????????????????????

flash:/S12500F-cmw710-system-e1002p05.bin????????????????????????????????????

flash:/S12500F-CMW710-SYSTEM-E1002P05H02.bin---下一次啟動時該補丁軟件包動運行。?????????????????????????????????

Committed packages on slot 17:?????????????????????????????????????????????????

?flash:/S12500F-cmw710-boot-e1002p05.bin??????????????????????????????????????

flash:/S12500F-cmw710-system-e1002p05.bin??????????????????????????????????

flash:/S12500F-CMW710-SYSTEM-E1002P05H02.bin---下一次啟動時該補丁軟件自動運行。

如果沒有上述紅色對應補丁部分的信息,則說明補丁沒有進行install commit配置,下次重啟設備后,補丁將不自動運行。

  

建議/總結

  無

修改SSH默認端口的方法

故障描述
  無
故障分析
  無
處理過程

  更改SSH端口的方法舉例如下:

  華為設備(USG系列為例):

firewall blacklist enable
stelnet server enable
ssh server port 20022

  思科設備(Cisco3900系列為例);

ip ssh port 9022 rotary 1
ip ssh version 2
line vty 0 4
?login local
?rotary 1
?transport input all

  Juniper(SSG系列為例):

set admin ssh port 10022
set ssh version v2
set ssh enable

  Linux(Centos為例);

vi /etc/ssh/sshd_config
找到Port 22修改為Port 20220

  更多介紹詳細查看產品手冊!

建議/總結
  無

華為SFP兼容模塊推薦型號

故障描述
  無
故障分析
  無
處理過程

  根據華為原廠采購SFP模塊的型號,我們列出推薦的SFP模塊型號分別如下:

類型 品牌 型號 傳輸距離 中心波長 發送光功率 接收靈敏度 光接頭類型
多模 Finisar? FTLF8519P2BNL-HW 0.5Km 850nm -9.5dBm~-2.5dBm -17.0dBm LC
單模 新飛通 PT7320-51-1W-KHW 10Km 1310nm -9.0dBm~-3.0dBm -20.0dBm LC
華工正源 MXPD-243S 10Km 1310nm -9.0dBm~-3.0dBm -20.0dBm LC
WTD RTXM191-400 10Km 1310nm -9.0dBm~-3.0dBm -20.0dBm LC
WTD RTXM191-450 40km 1310nm -5.0dBm~0dBm -23.0dBm LC
新飛通 PT7420-51-EW 40km 1310nm -5.0dBm~0dBm -23.0dBm LC
WTD RTXM191-502 80km 1550nm -2.0dBm~5.0dBm -23.0dBm LC
新飛通 PT7620-51-3W 80km 1550nm -2.0dBm~5.0dBm -23.0dBm LC
Finisar FTLF1619P1BCL 100km 1550nm 0dBm~5.0dBm -30.0dBm LC

?

建議/總結
  無

FAQ-磁帶機與磁帶庫的區別

故障描述
  無
故障分析
  無
處理過程
  1. 磁帶機只能有一個全高或半高驅動器,磁帶機型號不同,驅動器類型也不相同,由于驅動器數量的限制磁帶機一次只能執行一個備份任務。而磁帶庫則可以根據不同型號規格選配一個或多個FC,SAS或SCSI驅動器,因此可以一次執行多個備份任務。   2. 磁帶機一次只能放置一盤磁帶,需要手工更換磁帶,而磁帶庫中有多個槽位一次可放置多盤磁帶,實現自動更換磁帶,無需手工換帶。   3. 由于磁帶機只能放置一盤磁帶,因此備份容量有限,磁帶庫則不同,磁帶槽位越多備份容量越大。   4. 磁帶機適合滿足各種各樣的小型系統的備份、保存、恢復和歸檔數據存儲需求;對于數據備份需求快速增長的企業來說,磁帶庫滿足了容量,性能,數據保護,可靠性,可用性,經濟性和應用等方面的要求。
建議/總結
  無

華為交換機AutoConfig注意事項!

故障描述
  無
故障分析
  無
處理過程
  華為交換機自V100R003起都支持Autoconfig,在使用此功能時應該注意以下事項!   1、設備啟動完全成后5分鐘開始自動獲取IP。設備開啟后不要急于查看DHCP Server狀態。5分鐘后會再查看。   2、設備下載配置文件后并不會馬上生效,需要兩小時后才生效。如需讓其馬上生效,請登陸設備(telnet默認不進行認證)。執行startup saved-configuration設置下一次啟動文件。并用reboot fast 重啟。
建議/總結
  無
黄色app-黄软件下载-黄软件破解版免费版_黄软件破解版下载大全