学海无涯 走一路学一路

倒地检测

规则类型：区域规则，多边形顶点数不超过10个

配置参数：

配置参数	参数范围
持续时间	1~3600秒
高度阈值	0.1~1m

触发报警规则示例：针对一个在规则区域内的目标，当其人头距离地面高度小于0.8m，并且在规则区域内持续2秒，目标倒地后应尽量大部分身体区域位于规则区域内，会触发该报警。

 

一、提示人员信息已存在
【原因分析】
人员已存在

【处理思路】
人员权限已经下发过，不需要再次下发。
若是人员信息有变动，需要先删除人员权限，再重新下发。
比如A离职之后新增人员B，还是使用人员A的卡片，必须先在权限组里面取消勾选离职人员A的权限，保存，异动下发一次。然后再在权限组里面新增勾选人员B的权限，保存，异动下发一次。
4200异动下发两次，第一次异动下发是为了删除人员A的权限，第二次异动下发是为了新增B的权限
注：新版本4200在人员管理界面修改人员信息后，会提示需要下发权限。

二、提示部分人脸图片或指纹下发异常
【原因分析】
1、门禁主机指纹录入，读卡器和指纹录入仪需要匹配
2、人脸图片不满足要求
3、2.X版本4200指纹/人脸，必须要绑定卡号。

【处理思路】
1、读卡器和指纹录入仪需要匹配，（指纹录入仪与设备对应关系）
2、更换人脸图片，若已经更换人脸图片，下发还是异常，更换最新版本软件测试
3、指纹绑定卡号 （2.x版本客户端，3.x版本客户端不需要绑定卡号）

三、提示所有人员权限下发失败
【原因分析】
设备离线或者网络不稳定。

【处理思路】
核实设备状态是否在线，检查网络或者直连测试，更新4200客户端最新版本测试

四、提示JSON报文错误
【原因分析】
可能性一：人员编号人为调整后，导致下发失败报错；
可能性二：一般是因为在4200添加人员的时候，人员有效期最长超过2037年12月31日，如下图所示：

【解决方法】
1、建议重新添加人员，使用默认生成的人员编号添加人员，异动下发；
2、将人员有效期修改到2037年12月31日内，保存，重新异动下发权限。
以上两项（人员有效期和人员编号）检查均无问题后，建议核对客户房间号输入，房间号输入不对或者房间号格式错误带符号都会提示JSON报文错误。
注：如果为DS-K1T673人脸门禁，上述排查还是无法解决，一般需要升级设备的版本。

 

五、提示子图建模失败/人脸数据PID无效
【原因分析】
人脸照片不符合要求

【处理思路】
建议单独添加一个人员，选择远程采集，使用门禁一体机采集人员后，异动下发测试

六、提示工号已存在
【原因分析】
下发的人员和设备里面的人员工号重复

【处理思路】
方法1、若客户端的人员是完整的，建议选择全部下发
方法2、修改人员编号重新下发：
（1）人员管理-找到对应组织，点击导出

（2）输入客户端用户名和密码，导出完成后，打开人员信息文件，修改重复的编号，重新导入

六、提示工号不存在
检查添加人员的时候人员编号是否有修改，建议重新添加人员，使用默认生成的人员编号，重新重新下发权限测试

七、提示眼间距过小
人脸眼间距需要40像素以上，如出现报错，建议更换符合眼间距要求的图片。
【人脸图片要求】
脸正面免冠照，jpeg 或 jpg 格式，图片像素需为 640 × 480 像素或以上，图片大小需为 60 KB ~ 200 KB，人脸眼间距40以上。

【如何判断眼间距是否满足要求】
打开人脸照片，用选择框选中两眼，查看下面横向像素点即为两眼之间的眼间距，如下图，则眼间距为65

八、提示深度模式下仅支持人脸采集仪
排查思路：
1、进入门禁一体机的访问控制界面。
2. 在左侧功能区域，选择 高级配置 → 设备参数，其中有2种模式：普通模式和深度模式。
普通模式：设备通过摄像头进行人脸识别。
深度模式 ：适用于较为复杂的环境，识别的人群范围更广。
3、建议模式改成普通模式重新下发测试。

九、提示错误码1001
【问题现象】
4200添加门禁一体机权限下发失败，报错dag.dll1001

【处理思路】
一般为网络原因导致，可以用电脑ping设备ip测试网络情况，确保网络畅通后，再进行权限下发即可。

十、提示时间格式错误
【问题现象】
4200权限下发失败，提示时间格式错误

【处理方法】
1、门禁设备校时
2、检查所下发的人员有效期，人员有效期最长不能超过2037年12月31日，超过则会提示下发失败

 

 

 

不使用的防区有以下4个处理方法：

① 用2.2千欧的电阻短接ZG

②4200上防区里设为屏蔽防区

③对不使用的防区进行旁路（单次有效），报警主机通过4200设置/取消旁路

④不使用的防区不关联到子系统当中。

 

一、 组网需求
某学校为了满足正常的教学业务需要，要求满足以下四点需求：
● 限制学校访问Internet的流量为100Mbps，丢弃超出限制的报文。
● 限制宿舍楼的出口流量为50Mbps，丢弃超出限制的报文。
● 限制实验楼发出DSCP优先级为7的报文的速率为20Mbps，丢弃超出限制的报文。
●限制教学楼的出口流量为30Mbps，丢弃超出限制的报文。

注：某学校通过Device A的G0/24上联Internet，Device A的G0/1、G0/2和G0/3分别下联的教学楼(192.168.194.2~253/24)、实验楼(192.168.195.2~253/24)和宿舍楼(192.168.196.2~253/24)。

二、组网图

三、 配置要点
(1) 对于出口访问Internet，在Device A接口G0/24上配置接口的出口流量限制，带宽限制每秒102400KBits，猝发流量限制每秒256Kbytes。
(2) 对于宿舍楼，在Device A接口G0/3上配置接口的入口流量限制，带宽限制每秒51200KBits，猝发流量限制每秒256Kbytes。
(3) 对于教学楼，在Device A接口G0/1上配置接口的入口流量限制，带宽限制每秒30720KBits，猝发流量限制每秒256Kbytes。
(4) 对于实验楼，创建类cmap_dscp7匹配DSCP优先级7，创建策略pmap_shiyan，关联cmap_dscp7，绑定流行为，将速度超过20M的报文的DSCP值改为16；将pmap_shiyan应用在接口G0/2上，并配置接口信任DSCP。

四、 配置步骤
(1) 配置接口IP地址（略）。

(2) 配置接口限速。
# 对于出口访问Internet，在接口G0/24上配置接口的出口流量限制。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface gigabitethernet 0/24
DeviceA(config-if-GigabitEthernet 0/24# rate-limit output 102400 256
DeviceA(config-if-GigabitEthernet 0/24)# exit

# 对于宿舍楼，在接口G0/3上配置接口的入口流量限制。
DeviceA(config)# interface gigabitethernet 0/3
DeviceA(config-if-GigabitEthernet 0/3# rate-limit input 51200 256
DeviceA(config-if-GigabitEthernet 0/3)# exit

# 对于教学楼，在接口G0/1上配置接口的入口流量限制。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1# rate-limit input 30720 256
DeviceA(config-if-GigabitEthernet 0/1)# exit

(3) 配置流分类。
# 对于实验楼，配置类，流行为和策略。
DeviceA(config)# class-map cmap_dscp7
DeviceA(config-cmap)# match ip dscp 7
DeviceA(config-cmap)# exit
DeviceA(config)# policy-map pmap_shiyan
DeviceA(config-pmap)# class cmap_dscp7
DeviceA(config-pmap-c)# police 20480 128 exceed-action drop
DeviceA(config-pmap-c)# exit
DeviceA(config-pmap)# exit

# 将策略应用到接口，并配置接口信任DSCP。
DeviceA(config)# interface gigabitethernet 0/2
DeviceA(config-if-GigabitEthernet 0/2# service-policy input pmap_shiyan
DeviceA(config-if-GigabitEthernet 0/2)# mls qos trust dscp
DeviceA(config-if-GigabitEthernet 0/2)# exit

五、验证配置结果
# 检查接口限速配置是否成功。
DeviceA# show mls qos rate-limit
Interface: GigabitEthernet 0/1
rate limit input Kbps = 30720 burst = 256
Interface: GigabitEthernet 0/3
rate limit input Kbps = 51200 burst = 256
Interface: GigabitEthernet 0/24
rate limit output Kbps = 102400 burst = 256

# 检查类是否创建成功。
DeviceA# show class-map cmap_dscp7
Class Map cmap_dscp7
Match ip dscp 7

# 检查策略是否创建成功。
DeviceA# show policy-map pmap_shiyan
Policy Map pmap_shiyan
Class cmap_dscp7
police 20480 128 exceed-action drop

# 检查策略是否成功应用在接口上。
DeviceA# show mls qos interface gigabitethernet 0/2
Interface: GigabitEthernet 0/2
Ratelimit input:
Ratelimit output:
Attached input policy-map: pmap_shiyan
Attached output policy-map:
Default trust: dscp
Default cos: 0

六、配置文件
Device A的配置文件
hostname DeviceA
!
class-map cmap_dscp7
match ip dscp 7
!
policy-map pmap_shiyan
class cmap_dscp7
police 20480 128 exceed-action drop
!
interface GigabitEthernet 0/1
ip add 192.168.194.1 255.255.255.0
rate-limit input 30720 256
!
interface GigabitEthernet 0/2
ip add 192.168.195.1 255.255.255.0
service-policy input pmap_shiyan
mls qos trust dscp
!
interface GigabitEthernet 0/3
ip add 192.168.196.1 255.255.255.0
rate-limit input 51200 256
!
interface GigabitEthernet 0/24
rate-limit output 102400 256
!

 

一、 组网需求
设备开启SSH服务器功能后，用户能够使用线路上配置的口令密码登录到设备。

二、组网图

三、 配置要点
● 开启SSH服务器功能。
● 配置线路口令。
● 在线路上开启口令认证。

四、 配置步骤
(1) 开启SSH服务器功能。
Device> enable
Device# configure terminal
Device(config)# enable service ssh-server

(2) 配置线路口令为password1。
Device(config)# line vty 0 4
Device(config-line)# password password1

(3) 在线路上开启口令认证。
Device(config-line)# login

五、验证配置结果
● 使用客户端软件进行SSH登录，密码为password1，用户名可以为任意值，能够正常登录设备。以PuTTY软件举例，登录界面如下：
login as: anyname
anyname@192.168.1.1’s password:
Last login: Apr 2 2021 10:00:00 from 192.168.1.2 through ssh.
Device#

● 通过show ip ssh命令查看SSH服务器已生效。
Device# show ip ssh

● 通过show ssh命令查看SSH连接信息，存在用户名为anyname（登录时使用的用户名）的连接。
Device# show ssh

● 通过show users命令查看连接的终端信息。
Device#show users

六、配置文件
!
enable service ssh-server
!
line console 0
line vty 0 4
login
password 7 $10$396$mnO2p3SVaxm7$
!

 

一、 组网需求
如下图所示，Device A下的网络中有User A、User B和User C等多个设备，为了对Device A从接口GigabitEthernet 0/1上学习到的MAC地址表项以及老化的MAC地址表项进行记录，并将设备MAC地址变化通知以SNMP Trap消息的方式将发送给指定的网络管理工作站，同时还需要尽量避免短时间内产生大量的MAC地址变化信息，以免占用过多的网络资源。

二、组网图

三、 配置要点
● 在Device A上配置开启全局MAC地址通知功能，并配置发送MAC地址Trap消息的时间间隔。
● 在Device A的接口GigabitEthernet 0/1上配置开启接口的MAC地址通知功能。
● 指定SNMP主机的地址，并配置开启MAC地址事件的Trap通知。
● 需要保证Device A与网络管理工作站之间路由可达。

四、 配置步骤
# 配置开启全局MAC地址通知功能，并指定发送MAC地址Trap消息的时间间隔为300秒。
DeviceA# configure terminal
DeviceA(config)# mac-address-table notification
DeviceA(config)# mac-address-table notification interval 300

# 在接口GigabitEthernet 0/1上配置开启接口的MAC地址通知功能，指定在MAC地址增加与删除时均发送Trap通告。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/2)# snmp trap mac-notification added
DeviceA(config-if-GigabitEthernet 0/2)# snmp trap mac-notification removed

# 指定SNMP主机的地址为192.168.1.1，SNMP版本为SNMP v1版本，团体字符串为“123”，主动发送MAC地址类型的Trap信息。
DeviceA(config-if-GigabitEthernet 0/2)# exit
DeviceA(config)# snmp-server host 192.168.1.10 traps version 2c 123 mac-notification

# 配置启动MAC地址事件的Trap通知。
DeviceA(config)# snmp-server enable traps

五、验证配置结果
上述配置完成后，通过show mac-address-table notification命令可以查看全局MAC地址通知功能的配置状态。同时，可以通过show mac-address-table notification history命令查看MAC通知历史记录表信息。
# 查看全局MAC地址通知功能的配置状态。
DeviceA# show mac-address-table notification


# MAC地址变化后，查看MAC通知历史记录表信息。
DeviceA# show mac-address-table notification history

六、配置文件
●Device A的配置文件
hostname DeviceA
!
mac-address-table notification
mac-address-table notification interval 300
!
!
interface GigabitEthernet 0/1
snmp trap mac-notification added
snmp trap mac-notification removed
!
!
snmp-server host 192.168.1.10 traps version 2c 7 $10$135$2c+O$ mac-notification
snmp-server enable traps
!

 

一、 组网需求
两台设备互联，配置设备接口属性。

二、组网图

三、 配置要点
● 在Device A上配置GigabitEthernet 0/1为Access模式交换接口，缺省VLAN ID为1，配置SVI 1，并为SVI1配置IP以及到Switch D的路由。
● 在Device B上配置GigabitEthernet 0/1和GigabitEthernet 0/2为Trunk模式交换接口，Native VLAN ID为1，并配置SVI 1，并为SVI 1配置IP，配置GigabitEthernet 0/3为三层接口并为该接口配置另一个网段的IP。
● 在Device C上配置GigabitEthernet 0/1为Access模式交换接口，缺省VLAN ID为1，配置SVI 1，并为SVI 1配置IP。
● 在Device D上配置GigabitEthernet 0/1为路由接口，并为该接口配置IP以及到Switch A的路由。

四、 配置步骤
# 在DeviceA上面创建AP3口。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# interface GigabitEthernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# switchport mode access
DeviceA(config-if-GigabitEthernet 0/1)# switchport access vlan 1
DeviceA(config-if-GigabitEthernet 0/1)# exit
DeviceA(config)# interface vlan 1
DeviceA(config-if-VLAN 1)# ip address 192.168.1.1 255.255.255.0
DeviceA(config-if-VLAN 1)# exit
DeviceA(config)# ip route 192.168.2.0 255.255.255.0 VLAN 1 192.168.1.2

# 在设备B上配置如下。
DeviceB> enable
DeviceB# configure terminal
DeviceB(config)# interface GigabitEthernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# switchport mode trunk
DeviceB(config-if-GigabitEthernet 0/1)# exit
DeviceB(config)# interface GigabitEthernet 0/2
DeviceB(config-if-GigabitEthernet 0/2)# switchport mode trunk
DeviceB(config-if-GigabitEthernet 0/2)# exit
DeviceB(config)# interface vlan 1
DeviceB(config-if-VLAN 1)# ip address 192.168.1.2 255.255.255.0
DeviceB(config-if-VLAN 1)# exit
DeviceB(config)# interface GigabitEthernet 0/3
DeviceB(config-if-GigabitEthernet 0/3)# no switchport
DeviceB(config-if-GigabitEthernet 0/3)# ip address 192.168.2.2 255.255.255.0
DeviceB(config-if-GigabitEthernet 0/3)# exit

# 在设备C上配置如下。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)# interface GigabitEthernet 0/1
DeviceC(config-if-GigabitEthernet 0/1)# port-group 1
DeviceC(config-if-GigabitEthernet 0/1)# exit
DeviceC(config)# interface aggregateport 1
DeviceC(config-if-AggregatePort 1)# switchport mode access
DeviceC(config-if-AggregatePort 1)# switchport access vlan 1
DeviceC(config-if-AggregatePort 1)# exit
DeviceC(config)# interface vlan 1
DeviceC(config-if-VLAN 1)# ip address 192.168.1.3 255.255.255.0
DeviceC(config-if-VLAN 1)# exit

# 在设备D上配置如下。
DeviceD> enable
DeviceD# configure terminal
DeviceD(config)# interface GigabitEthernet 0/1
DeviceD(config-if-GigabitEthernet 0/1)# no switchport
DeviceD(config-if-GigabitEthernet 0/1)# ip address 192.168.2.1 255.255.255.0
DeviceD(config-if-GigabitEthernet 0/1)# exit
DeviceD(config)# ip route 192.168.1.0 255.255.255.0 GigabitEthernet 0/1 192.168.2.2

五、验证配置结果
# 在DeviceA、DeviceB、DeviceC和DeviceD四台设备上分别进行如下检验：
● DeviceA Ping其它3台设备的接口IP，两两之间可以相互访问。
● DeviceB和DeviceD互Ping能通。
● 检查接口状态是否正确。
# 在设备A上查看接口GigabitEthernet 0/1的状态。
DeviceA# show interfaces gigabitEthernet 0/1
…………………………………(略)

# 在设备B上查看接口GigabitEthernet 0/1的状态。
DeviceB# show interfaces gigabitEthernet 0/1
…………………………………(略)

# 在设备C上查看接口GigabitEthernet 0/1的状态。
DeviceC# show interfaces gigabitEthernet 0/1# 在设备C上查看接口GigabitEthernet 0/1的状态。
DeviceC# show interfaces gigabitEthernet 0/1
…………………………………(略)

# 在设备D上查看接口GigabitEthernet 0/1的状态。
DeviceD# show interfaces gigabitEthernet 0/1
…………………………………(略)

 

 

一、 组网需求
两台设备互联，配置设备接口的基本属性。

二、组网图

三、 配置要点
● 将两台设备通过交换接口进行连接。
● 分别给两台设备配置一个SVI接口，并配置相同网段的IP地址。
●在两台设备上分别配置接口索引永久化。
● 在两台设备上分别启用LinkTrap功能。
●在两台设备上配置接口管理状态。

四、 配置步骤
# 在DeviceA上面创建AP3口。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# snmp-server if-index persist
DeviceA(config)# interface vlan 1
DeviceA(config-if-VLAN 1)# ip address 192.168.1.1 255.255.255.0
DeviceA(config-if-VLAN 1)# exit
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# snmp trap link-status
DeviceA(config-if-GigabitEthernet 0/1)# shutdown

# 在设备B上配置如下。
DeviceB# configure terminal
DeviceB(config)# snmp-server if-index persist
DeviceB(config)# interface vlan 1
DeviceB(config-if-VLAN 1)# ip address 192.168.1.2 255.255.255.0
DeviceB(config-if-VLAN 1)# exit
DeviceB(config)# interface gigabitethernet 0/1
DeviceB(config-if-GigabitEthernet 0/1)# snmp trap link-status
DeviceB(config-if-GigabitEthernet 0/1)# shutdown

五、验证配置结果
# 在A和B设备上分别进行如下检验。
● 检查设备上的GigabitEthernet 0/1和SVI 1在接口GigabitEthernet 0/1 shutdown操作后的接口状态是否正
确。
● 检查接口GigabitEthernet 0/1 shutdown操作后，是否有发出该接口Link Down的Trap信息。
● 重启设备后，接口GigabitEthernet 0/1的接口索引值是否和重启前的一致。
# DeviceA。
DeviceA # show interfaces gigabitEthernet 0/1

# DeviceB。
DeviceB# show interfaces gigabitEthernet 0/1

 

1、网线连接电脑和交换机任意网口，修改电脑 IP 为 192.168.1.x 段，掩码为
255.255.255.0，如下图所示;

2、打开浏览器，输入设备初始 IP 后会弹出登录界面。输入默认用户名 admin ，密码 admin，会提示修改新密码，一定要保存好设置的新密码。修改完毕后，需要使用新密码重新登录一次。

3、点击“物理端口配置”、“端口保护组配置”，进入端口保护组配置页面

4、点击“端口保护组列表”新建，可以新建端口保护组，如图所示；通过选中端口保护组，可以进行删除，端口保护组 0 为默认保护组，不能删除。
输入端口保护组编号，点击应用，即可新建端口保护组

5、点击“端口保护组端口配置”，可以把端口加入端口保护组中，端口保护组必须是已创建的组。

备注：加入到同一个端口保护组的端口互相之间是不通的，端口保护组内端口和非端口保护组的端口是互通的。

6、示例
例如交换机有 24 个端口，现场需要 1 号端口接互联网，2~5 号端口接 NVR，6~10 口接现场的交换机，交换机带了摄像头，现客户需要 NVR 可以上互联网，且可以访问摄像头，但是交换机带的摄像头不能访问互联网。则配置规则如下：
1) 建立端口保护组 1

2) 把 1 号口，6~10 号口，均加入端口保护组 1

3) 点击保存