网管交换机Console口的登录认证方式

以H3C  S5120-25P-SI 为例
通过在Console口用户界面下配置认证方式,可以对使用Console口登录的用户进行限制,以提高设备的安全性。Console口支持的认证方式有none、password和scheme种。

认证方式为none
使用Console口本地登录设备时,不需要进行用户名和密码认证、任何人都可以通过Console口登录到设备上。
配置过程:
1、已通过Console口登录交换机
2、输入 system-view,进入用户视图
进入用户视图
3、输入 user-interface aux 0,进入AUX用户界面视图
AUX用户界面视图
4、输入authentication-mode none,设置登录用户的认证方式为不认证
设置登录用户的认证方式为不认证
5、接下来保存设置并重启交换机
依次输入:
save           (保存配置)
按回车键
y                  (确认保存配置文件)
按回车键
y                  (是否覆盖原有配置文件 )
按回车键
quit              (退出AUX用户界面视图 )
按回车键
quit              (退出用户视图 )
按回车键
reboot          (重启交换机)
按回车键
y                    (重启交换机确认)
如下图,红色标注区域为操作
保存配置并重启交换机

认证方式为password
使用Console口本地登录设备时,需要进行密码认证、只有密码认证成功、用户才能登录到设备上
配置过程:
1、已通过Console口登录交换机
2、输入 system-view,进入用户视图
进入用户视图
3、输入 user-interface aux 0,进入AUX用户界面视图
AUX用户界面视图
4、依次输入:
authentication-mode password  (设置登录用户的认证方式为本地口令认证)
按回车键
set authentication password simple w12345687 (设置登录密码为w12345687)
按回车键
save           (保存配置)
按回车键
y                  (确认保存配置文件)
按回车键
y                  (是否覆盖原有配置文件 )
按回车键
quit              (退出AUX用户界面视图 )
按回车键
quit              (退出用户视图 )
按回车键
reboot          (重启交换机)
按回车键
y                    (重启交换机确认)
如下图,红色标注区域为操作
配置为密码认证
交换机重启需要输入登录密码
输入交换机密码
输入设置的密码w12345687即可登录
输入登录 密码

认证方式为scheme
使用Console口登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。用户认证又分为本地认证和远程认证,如果采用本地认证,则需要配置本地用户及相应参数;如果采用远程认证,则需要在远程认证服务器上配置用户名和密码。
配置过程:
1、已通过Console口登录交换机
2、输入 system-view,进入用户视图
进入用户视图
3、输入 user-interface aux 0,进入AUX用户界面视图
AUX用户界面视图
4、依次输入:
authentication-mode scheme  (设置登录用户的认证方式为本地口令认证)
按回车键
quit                                                (退出AUX用户界面视图)
按回车键
local-user zylxyl                                     (创建一个登录名为zylxyl)
按回车键
password simple w12345687              (设置登录密码为w12345687)
按回车键
authorization-attribute level 0           (设置登录用户级别为0,操作级别为0-3,其中0-访问级,1—-监控级,2—-系统级,3—-管理级,根据用户权限设定)
按回车键
service-type terminal                                  (设置用户服务类型)
按回车键
save           (保存配置)
按回车键
y                  (确认保存配置文件)
按回车键
y                  (是否覆盖原有配置文件 )
按回车键
quit              (退出AUX用户界面视图 )
按回车键
quit              (退出用户视图 )
按回车键
reboot          (重启交换机)
按回车键
y                    (重启交换机确认)
如下图,红色标注区域为操作

配置为AAA认证

交换机重启后,需要输入登录名和密码
输入登录名
输入设置的登录名zylxyl,登录密码即可登录交换机
登录名密码

注:
1、配置为scheme认证时,在AUX用户界面视图,还有以下两个可选参数
使能命令行授权功能
command authorization
默认情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权
默认情况下,用户登录设备后可以使用的命令行由用户级别决定,用户只能使用缺省级别等于/低于用户级别的命令行。配置命令行授权功能后,用户可使用的命令行将受到用户级别和AAA授权的双重限制。即便是足够级别的用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

使能命令行计费功能
command accounting
默认情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行
命令行计费功能用来在HWTACACS服务器上记录用户对设备执行过的命令(只要设备支持的命令,不管执行成功或者失败都会记录),以便集中监视、控制用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,用户执行的每一条命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则每一条授权成功的命令都会发送到HWTACACS服务器上做记录。

2、在系统视图,有如下可选参数
配置设备采用的认证方案
配置视图认证方案
进入ISP域视图
domain domain-name

配置域使用的AAA方案
authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] }

缺省情况下,系统使用的AAA方案为local
如果采用local认证,则必须进行后续的本地用户配置;
如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置:
设备上的RADIUS、HWTACACS
AAA服务器上需要配置相关的用户名和密码
配置完成了,输入quit退出至系统视图并保存

 

网管交换机Console 口配置教程

以H3C  S5120-25P-SI 为例
配置交换机通常有三种方式:
1、 通过Console 口配置,电脑需要配备有串口,知道配置交换机时需要的终端参数。
2、使用Telent配置
3、通过SSH配置
4、登录web界面配置

出于安全考虑,出厂 时通常交换机Telent、SSH、Web服务关闭,如需使用这些服务,则需要先通过Console口本地登录设备、并完成相关配置:
1、开启设备的相关功能,需要哪种登录方式就开启哪种,不需要的莫开启。
2、不管哪种登录方式,都需要配置设备VLAN接口的IP地址,并且交换机配置的IP地址与电脑可以正常通信。

Telnet登录方式需要配置
(1)配置设备VLAN接口的IP地址,交换机配置的IP地址与电脑可以正常通信
(2)配置VTY用户的认证方式(缺省情况下,VTY用户采用Password认证方式)
(3)配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

SSH登录方式需要配置
(1) 配置设备VLAN接口的IP地址,交换机配置的IP地址与电脑可以正常通信
(2)配置VTY用户的认证方式为scheme(缺省情况下,VTY用户采用Password认证方式)
(3) 配置VTY用户的用户级别(缺省情况下,VTY用户的用户级别为0)

Web登录方式需要配置
(1)配置Web用户的用户名与密码
(3)配置Web登录的用户级别
(4)配置Web登录用户的服务类型为Telnet

注:有的网管交换机出厂时配置有默认的IP地址,且Web服务开启,可以通过电脑浏览器登录交换机进行一些简单的设置,如划分VLAN、流量控制等。

Console 口配置
网管交换机通常附带有一根配置电缆,配置电缆是一根 8 芯屏蔽电缆,一端是压接的 RJ-45 插头,用于连接交换机的Console口,另一端是 1 个 DB-9(孔)插头,用以连接电脑的COM口(即串口),

注:串口不支持热插拔,不能在交换机带电的情况下,将串口插入或者拔出电脑。

电脑端需安装有“终端仿真程序”(即windows中的超级终端,点此下载)
软件下载完成后,解压可获得如下文件
解压起级终端压缩包
运行hypertrm.exe,弹出如下窗口,输入一个终端连接名称如”H3C”
起级终端配置界面
点击OK
终端名称为H3C
选择与电脑主机相连接的串口,此处为COM2,点击OK
选择与电脑主机串口
弹出如下窗口,需要根据交换机型号配置终端连接参数
终端参数

S5120-25P-SI 终端参数取值如下:
波特率:9600
数据位:8
停止位:1
奇偶校验:无
流量控制:无

将参数对应的变更为上述取值,点击确定
H3C终端配置参数
弹出一个光标的闪烁的窗口,交换机通电重启
窗口参数
交换机开始自检
交换机开始自检
自检完成
交换机自检完成

按回车键开始配置
开始配置

录像机接入带有音频输入的摄像机预览或回话时没有声音的解决方法

以海康威视录像机为例
录像机预览时没有声音
1、确保NVR里相应通道的编码参数中视频类型是复合流;
NVR3.0版依次点击:主菜单 → 录像配置 → 编码参数,选择录像参数和子码流参数,把“码流类型”设置成复合流
NVR4.0 Lite版依次点击:配置 → 录像管理 → 录像参数,选择主码流参数和子码流参数,把“码流类型”设置成复合流
2、通过电脑浏览器访问录像机的相应通道,网页预览画面并开启声音,确认是否有声音
有声音
 说明音频已经传到了录像机,需要检查录像机本地音响设备;
如果录像机连接的是HDMI显示器,则需要检查录像机设置中,对应的HDMI输出口是否启用了音频预览。
注:显示器有HDMI接口,并不一定就有音频输出设备(即显示器内部装有音响)
NVR3.0版依次点击:系统配置 → 预览配置→ 音频预览 打钩
NVR4.0 Lite版切换为专家模式,依次点击:配置→ 系统配置 → 预览配置,开启音频并调节音量

无声音
确保电脑的声音输出没有问题的情况下,往摄像机方向排查:
电脑浏览器访问摄像机,进入配置界面,依次点击:配置 → 视音频 → 视频,视频类型设置成复合流。
拾音器设置
如还是没有声音,确认摄像机是否可以正常拾音,如果摄像机有内置拾音器,频输入类型需要选择mic in。如果是外接的拾音器,需要检查拾音器连接和供电,音频输入类型需要选择line in。

录像机回放时没有声音
回放画面没有声音,优先确认是否开启了记录音频,其余和录像机预览时没有声音排查方法一致。
NVR3.0版依次点击:主菜单 → 录像配置 → 编码参数,选择录像参数,“更多设置”的记录音频打钩。
NVR4.0 Lite版切换为专家模式,依次点击:配置 → 录像配置 → 录像计划→高级参数配置,开启记录音频。
电脑浏览器访问摄像机,进入配置界面,依次点击:配置 → 存储 → 存储配置 → 录像计划 ,将“高级参数”内的“记录音频”打勾。

 

 

 

 

Windows10中屏幕右下角网络和共享中心图标消失,且打开网络和共享中心时闪退的解决方法

故障现象:
可以正常上网,windows10任务栏中网络图标丢失,进入“网络连接界面”栏中,网络状态栏空白,片刻闪退。
使用netsh winsock reset 命令网络重置无效。
如下图:

屏幕右下角网络和共享中心图标消失
网络和共享中心图标
点击网络和共享中心时闪退网络和共享中心闪退

就是重装系统,过些时间又会出现此故障(中间没有安装任何软件)多发生于电脑上有无线网卡和有线网卡的情况(笔记本和一体机),说明问题出在系统更新上。

本想通过windows系统的事件查看器查看系统错误日志,但提示事件服务未启用,查看windows服务后台,发现已禁用(通常windows event log 事件服务默认是启动的),重启服务时提示“错误2,系统找不到指定的文件”。

解决windows event log 事件服务错误后,重启系统后发现网络和共享中心图标竟然 恢复 了
请参阅:Windows系统中Windows Event Log事件服务启用时”提示错误2,找不到指定文件的解决方法”

驱动程序造成网络和共享中心图标丢失的故障

解决方法:
新安装的系统,除了安装有硬件驱动程序外,没有安装任何第三方应用软件

将安装的所有驱动程序删除(如果驱动程序附带有应用软件最好也删除),网卡驱动程序除外,接下来重新安装驱动程序,每装一个驱动程序重启一次(便于发现问题),在安装完显卡驱动程序(显卡为 AMD Radeon R7 M440)并重启后, 故障出现,windows10任务栏中网络图标丢失,删除显卡驱动程序后,windows10任务栏中网络图标恢复。
显卡驱动程序版本如下(“鸡血红”版本)
AMD显卡驱动程序版本
下载了一个早期的WHQL(通过微软Windows操作系统兼容性认证的程序)版本驱动程序安装后,故障解决。

如果下载的驱动程序包含有Vulkan Run Time Libraries组件(玩一些游戏可能需要这个玩意),网络图标也会丢失,卸载该组件即可恢复(有时图标可能再次丢失,重新安装一次显卡驱动程序即可),估计此组件与windows10之间的兼容性是造成此问题的原因,只是老版本的驱动程序是分开的(以动态库的形式单独安装),新版本的驱动程序是集成在一块的.
vulkan

Windows系统中Windows Event Log事件服务启用时提示”错误2,找不到指定文件的解决方法”

打开注册表编辑器,依次展开:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Parameters
如下图:
注册表

直接删除Parameters这一项,点此下载这个注册表文件 ,下载完成后,双击运行,如有提示,确认就行
然后在重启Windows Event Log事件服务即可。

交换机通过查看CPU占用率判断是否存在环路方法

CPU占用率高,是设备本身的一种现象,直观表现为用户执行命令display cpu-usage查询的回显信息中,整机CPU占用率CPU usage偏高,如超过70%或者产生告警basetrap_1.3.6.1.4.1.2011.5.25.129.2.4.1 hwCPUUtilizationRisingAlarm(默认超过90%会产生此告警)。

一般的软件任务导致的CPU使用率高持续时间不会太长,所以CPU统计中如果5分钟内的使用率一直持续的比较高的话,基本就是出现了异常或人为攻击,这时候就需要查看设备的正在运行的任务,检查哪个任务消耗的CPU资源高。

判断是否为环路故障时,您可以在任意视图执行命令display cpu-usage,查看设备CPU占用率的统计信息。

如果PPI任务CPU占用率较高,则产生环路的可能性很大。
占用率过高

 

如果PPI任务模块CPU占用率正常,则执行命令display cpu-defend statistics [ packet-type packet-type ] { all | slot slot-id | mcu },查看是否有CPCAR协议丢包。如果有,则可能存在环路;否则,需要排查除环路以外的故障原因。
例如,可以执行命令display cpu-defend vrrp statistics all查看VRRP协议报文统计信息。当出现如下回显信息时,表明VRRP协议有丢包,可能是网络中存在环路导致。
CPU占用率高2

交换机增加配置环路检测后查看是否存在环路的判断方法

环路检测技术分为Loop Detection和Loopback Detection两种方式,都是通过从接口周期性发送一种特殊的检测报文,然后检测该报文是否返回本设备(不要求接收、发送接口为同一接口):

如果发现检测报文从发出去的接口接收到,则认为该接口发生自环或该接口下挂的网络或设备中存在环路。
如果发现检测报文被本设备上的其他接口接收到,则认为该接口所在的网络发生环路或设备发生自环。
框式和盒式交换机支持的环路检测功能也有所差异,具体如下:

Loop Detection
Loop Detection功能仅框式交换机支持。框式交换机端口配置Loop Detection功能以后,设备会从该端口发送环路检测报文,在端口所属且使能Loop Detection功能的VLAN内进行环路检测。如果设备接收到自己发送的检测报文,则网络上存在环路。

开启Loop Detection环路检测命令如下:

[HUAWEI] loop-detection enable

[HUAWEI] loop-detection enable vlan vlan-id1

开启了Loop Detection环路检测功能以后,您可以使用display loop-detection命令可以查看当前环路检测的状态。
环路配置1

您还可以使用display loop-detection interface interface-type interface-number命令,查看具体某一个端口的状态。
环路配置2

各个版本的告警信息存在一定的差异,如下图:
不同版本的告警信息

Loopback Detection
Loopback Detection功能盒式交换机所有版本都支持,框式交换机V200R001及后续版本支持该功能。

交换机端口配置Loopback Detection功能以后,设备会从端口发送环路检测报文。在V200R003版本之前,设备只能针对检测报文发送和接收为同一端口的情况来判断是否存在环路;对于V200R003及后续版本,Loopback Detection新增支持本设备一个端口发送检测报文后,由此设备其他端口接收此检测报文的场景。

开启Loop Detection环路检测命令如下:

[HUAWEI] loopback-detect enable

[HUAWEI] loopback-detect packet vlan { vlan-id1 [ to vlan-id2 ] } &<1-8>

开启了Loopback Detection以后,您可以执行命令display loopback-detect,查看环路检测功能的配置信息和接口状态信息。

执行结果

各个版本的告警信息存在一定的差异,如下图:
告警信息

交换机通过查看MAC地址漂移判断是否存在环路

MAC地址漂移即设备上某一个接口学习到的MAC地址在同一VLAN中另一个接口上也学习到,后学习到的MAC地址表项会覆盖原来的表项。

导致MAC地址漂移的可能原因包括网络存在环路或者非法用户进行网络攻击等。因此出现MAC地址漂移不一定是因为存在环路,但是如果设备存在环路,则一定会有MAC地址漂移现象发生。

如下图所示,当SwitchA向两个方向同时发送报文时,在SwitchB上的两个不同端口都会收到该报文,从而出现MAC地址漂移。当SwitchB的两个端口出现了MAC地址漂移时,说明交换机的两个端口间可能出现了环路。
MAC地址漂移

交换机所有形态和版本均默认支持MAC地址漂移检测功能。MAC地址漂移检测配置主要是指MAC地址漂移后设备是否产生告警,以及MAC地址漂移后是否设置端口堵塞功能。

由于交换机各版本和形态间的MAC地址漂移检测的命令行和检测存在差异,将划分为框式设备和盒式设备来分别介绍。

框式交换机的MAC地址漂移查看方法:
对于V100R002版本设备,全局使能MAC地址漂移检测功能后,仅在非S系列单板上生效,并且设备检测到MAC地址漂移后,只支持发送TRAP告警。开启MAC地址漂移检测功能的命令如下:
[HUAWEI] mac-flapping alarm enable

对于V100R003及以后的版本,设备新增了基于VLAN的MAC地址漂移检测、检测到MAC地址漂移后执行对应的动作策略。系统视图和VLAN视图开启MAC地址漂移检测的命令如下:

系统视图下执行命令:
[HUAWEI] loop-detect eth-loop alarm-only

VLAN视图下执行命令:
<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] loop-detect eth-loop alarm-only

开启MAC地址漂移检测功能后,您可以执行命令display trapbuffer查看MAC地址漂移告警(告警OID 1.3.6.1.4.1.2011.5.25.160.3.7 或OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12)。各个版本的告警信息存在一定的差异,如下图:
框式交换 机告警

盒式交换机MAC地址漂移查看方法
盒式交换机(不包括S2700系列)在V100R003及以后版本,不支持全局配置MAC地址漂移检测功能,只支持配置基于VLAN的MAC地址漂移检测,同时支持检测到MAC地址漂移后发送TRAP告警以及进行阻塞端口等动作。开启MAC地址漂移检测命令如下:
VLAN视图下:
<HUAWEI> system-view
[HUAWEI] vlan 10
[HUAWEI-vlan10] loop-detect eth-loop alarm-only
开启MAC地址漂移检测功能后,您可以执行命令display trapbuffer查看MAC地址漂移告警(告警OID 1.3.6.1.4.1.2011.5.25.160.3.7 或OID 1.3.6.1.4.1.2011.5.25.42.2.1.7.12)。各个版本的告警信息存在一定的差异,如下图:
告警信息

交换机通过查看接口带宽流量判断是否存在环路

通过display interface brief命令,查看所有接口下的流量,存在环路的接口上InUi和OutUi两个计数会逐步增加至端口速率上限。
第一次查询:
第一次查询

最后一次查询:
最后一次查询

一般情况下,使用此命令查询只能看到当前网络的流量结果,此结果需要和网络的正常业务流量进行比较,业务流量的带宽可以从网管设备上的网络流量监控图中获取。

通过下面简单的判断,可以初步确定有没有环路存在。
如果当前网络流量远大于正常业务,可能存在二层环路。
如果当前网络流量正常,且没有部署广播抑制(接口下未配置命令broadcast-suppression { percent-value | cir cir-value [ cbs cbs-value ] | packets packets-per-second }),则没有二层环路。
如果当前网路流量比正常流量稍大,且部署了广播抑制,则需要通过查看MAC地址漂移进一步判断。
通过观察设备流量大的端口个数和流量出入方向,也可以进行如下初步判断。
如果只有一台设备的一个端口出入方向流量较大,可能属于交换机单端口自环出现环路。
如果只有一台设备的两个端口流量较大,可能属于交换机双端口环路导致协议震荡。
如果某端口只有单方向流量较大,即只有出方向流量大或者只有入方向流量较大,则需要重点排查,因为环路有可能在该端口的上下游设备,属于下游设备报文转发异常导致伪环路问题。
上述步骤在确认可能是环路的情况下,可以通过如下步骤进一步判断确认环路是否的确存在。

查看带宽异常的接口详细信息。
为排除先前报文统计数对故障判断的影响,在征询客户同意的前提下,您可以在用户视图执行命令reset counters interface [ interface-type [ interface-number ] ],先清除指定接口的统计信息。

任意视图下执行命令display interface [ interface-type [ interface-number ] ],或接口视图下执行命令display this interface,查看接口当前运行状态详细信息。具体可查看回显信息中的Broadcast和Multicast和字段,以观察接口出入方向是否有大量的广播和组播报文计数。

如果存在某些接口的收发广播/组播报文数明显大于同一设备其他接口的收发广播/组播报文数,则存在环路的可能性很大;否则,请执行查看MAC地址漂移进一步判断

ICP备案号:晋ICP备18007549号-1
站长微信:13613567205