在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。
广播风暴控制技术
网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。
1.广播风暴抑制比
可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置:
broadcast-suppression ratio
2.为VLAN指定广播风暴抑制比
同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。
MAC地址控制技术
以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。
1.设置最多可学习到的MAC地址数
通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。如果用户设置的值为count,则该端口学习到的MAC地址条数达到count 时,该端口将不再对MAC地址进行学习。缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制。
在以太网端口视图下进行下列配置:
mac-address max-mac-count count
2.设置系统MAC地址老化时间
设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,影响交换机的运行性能。如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致交换机无法根据网络的变化更新MAC地址表。如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。一般情况下,推荐使用老化时间age的缺省值300秒。
在系统视图下进行下列配置: mac-address timer { aging age | no-aging }
使用参数no-aging时表示不对MAC地址表项进行老化。
3.设置MAC地址表的老化时间
这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后,学习到的MAC地址表项将和相应的端口绑定起来。如果某个MAC地址对应的主机长时间不上网或已移走,它仍然占用端口上的一个MAC地址表项,从而造成MAC地址在这5个MAC地址以外的主机将不能上网。此时可以通过设置锁定端口对应的MAC地址表的老化时间,使长时间不上网的主机对应的MAC地址表项老化,从而使其他主机可以上网。缺省情况下,锁定端口对应的MAC地址表的老化时间为1小时。
在系统视图下进行下列配置:
lock-port mac-aging { age-time | no-age }
DHCP控制技术
DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数,解决客户机位置变化(如便携机或无线网络)和客户机数量超过可分配的IP地址的情况,简化用户设置,提高管理效率。但在DHCP管理使用上,存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。
1.三层交换机的DHCP Relay技术
早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况,不可以跨网段工作。因此,为实现动态主机配置,需要为每一个子网设置一个DHCP Server,这显然是不经济的。DHCP Relay的引入解决了这一难题:局域网内
的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信,最终取得合法的IP地址。这样,多个网络上的DHCP Client可以使用同一个DHCP Server,既节省了成本,又便于进行集中管理。DHCP Relay配置包括:
(1)配置IP 地址
为了提高可靠性,可以在一个网段设置主、备DHCP Server。主、备DHCP Server构成了一个DHCP Server组。可以通过下面的命令指定主、备DHCP Server 的IP地址。
在系统视图下进行下列配置:
dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]
(2)配置VLAN接口对应的组
在VLAN接口视图下进行下列配置:
dhcp-server groupNo
(3)使能/禁止VLAN 接口上的DHCP安全特性
使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查,这样可以杜绝用户私自配置IP地址扰乱网络秩序,同DHCP Server配合,快速、准确定位病毒或干扰源。
在VLAN接口视图下进行下列配置:
address-check enable
(4)配置用户地址表项
为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查,需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。如果有另外一个非法用户配置了一个静态IP地址,该静态IP地址与合法用户的固定IP地址发生冲突,执行DHCP Relay功能的以太网交换机,可以识别出非法用户,并拒绝非法用户的IP与MAC 地址的绑定请求。
在系统视图下进行下列配置:
dhcp-security static ip_address mac_address
2.其它地址管理技术
在二层交换机上,为了使用户能通过合法的DHCP服务器获取IP地址,DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。其中信任端口连接DHCP服务器或其他交换机的端口;不信任端口连接用户或网络。不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃;而信任端口将此DHCP报文正常转发,从而保证了用户获取正确的IP地址。
(1)开启/关闭交换机DHCP-Snooping 功能
缺省情况下,以太网交换机的DHCP-Snooping功能处于关闭状态。
在系统视图下进行下列配置,启用DHCP-Snooping功能:
dhcp-snooping
(2)配置端口为信任端口
缺省情况下,交换机的端口均为不信任端口。
在以太网端口视图下进行下列配置:
dhcp-snooping trust
(3)配置VLAN接口通过DHCP方式获取IP地址
在VLAN 接口视图下进行下列配置:
ip address dhcp-alloc
(4)访问管理配置——配置端口/IP地址/MAC地址的绑定
可以通过下面的命令将端口、IP地址和MAC地址绑定在一起,支持
Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式,防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等,但这种方法工作量巨大。
ACL(访问控制列表)技术
为了过滤通过网络设备的数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,网络设备才能根据预先设定的策略允许或禁止相应的数据包通过。访问控制列表(Access Control List,ACL)就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。访问控制列表又可分为以下几种类型。
基本访问控制列表:根据三层源IP制定规则,对数据包进行相应的分析处理。
高级访问控制列表:根据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则,对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理:TOS(Type Of Service)优先级、IP优先级和DSCP优先级。
二层访问控制列表:根据源MAC地址、源VLAN ID、二层协议类型、报文二层接收端口、报文二层转发端口、目的MAC地址等二层信息制定规则,对数据进行相应处理。
用户自定义访问控制列表:根据用户的定义对二层数据帧的前80个字节中的任意字节进行匹配,对数据报文作出相应的处理。正确使用用户自定义访问控制列表需要用户对二层数据帧的构成有深入的了解。
访问控制列表在网络设备中有着广泛的应用,访问控制列表配置、启用包括以下几个步骤,最好依次进行,其中前两个步骤可以不用配置,采用默认值。
(1)配置时间段
在系统视图下使用time-range命令配置时间段。例如,如果想在每周的上班时间8:00–16:00控制用户访问,可以使用下面的命令:
time-range ourworingtime 8:00 to 16:00 working-day
(2)选择交换机使用的流分类规则模式
交换机只能选择一种流分类规则模式:二层ACL模式或者三层ACL模式。在二层ACL模式下,只有二层ACL可以被定义、激活或者被其他应用引用,三层ACL模式类似。可以通过下面的命令来选择使用L2或L3模式的流分类规则。缺省情况下,选择使用IP-based流分类规则模式,即L3流分类规则。
在系统视图下进行下列配置:
acl mode { ip-based | link-based }
(3)定义访问控制列表(命令较多,只以高级访问控制列表为例)
①进入相应的访问控制列表视图
acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ]
②定义访问列表的子规则
在系统视图下使用rule命令配置规则。
例如,如果想控制内网10.10.2.0/24用户在工作时间使用ftp下载,可以使用下面的命令:
acl number 3006
rule 1 deny tcp source 10.10.2.0 255.255.255.0 destination any destination-port eq ftp time-range ourworingtime
③激活访问控制列表
不同的交换机型号配置命令不太相同,以S6500系列为例,在QoS 视图下进行下列配置:
packet-filter inbound { ip-group { acl-number | acl-name } [ rule rule ] | link-group { acl-number | acl-name } [ rule rule ] }
下期将为您介绍流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。
交换机安全防范技术(下)
上期为您介绍了交换机常用的广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术,本期将继续为您介绍交换机常用的安全防范技术。
以下您将学到流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。
流量及端口限速控制技术
为了防止因大流量数据传输引起的端口阻塞,消除恶意用户或者中毒用户对网络的影响,可以采用流量及端口限速控制技术。
配置端口流量阈值
通过配置端口流量阈值,系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后,系统将根据指定的方式进行处理:自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式:
flow-constrain time-value flow-value { bps | pps }
flow-constrain method { shutdown | trap }
流量监管
流量监管是基于流的速率限制,它可以监督某一流量的速率,如果流量超出指定的规格,就采用相应的措施,如丢弃那些超出规格的报文或重新设置它们的优先级。
端口限速
端口限速就是基于端口的速率限制,它对端口输出报文的总速率进行限制。
TCP属性及CPU负载控制技术
黑客扫描、蠕虫病毒等都会引起过多TCP连接,CPU负载过重与此也有关系,适当地调整交换机的TCP属性和送达CPU的报文,可以有效地降低CPU负载。
配置TCP 属性
synwait定时器:当发送SYN报文时,TCP启动synwait定时器,如果synwait 超时前未收到回应报文,则TCP连接将被终止。synwait定时器的超时时间取值范围为2~600秒,缺省值为75秒:
tcp timer syn-timeout time-value
finwait定时器:当TCP的连接状态由FIN_WAIT_1变为
FIN_WAIT_2时,启动finwait
定时器,如果finwait定时器超时前仍未收到FIN报文,则TCP连接被终止。finwait的取值范围为76~3600秒,finwait的缺省值为675秒:
tcp timer fin-timeout time-value
面向连接Socket的接收和发送缓冲区的大小:范围为1~32K字节,缺省值为4K字节:
tcp window window-size
配置特殊IP报文是否送CPU处理
在交换机的IP报文转发过程中,通常重定向、TTL超时及路由不可达的报文会送到CPU,CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击,则会造成CPU负载过重,这时便可通过下面的命令设置相应报文不送CPU处理,以保护系统的正常运行。缺省情况下,重定向、路由不可达的报文不送CPU处理,TTL超时报文送CPU处理:
undo ip { redirects | ttl-expires | unreachables }
ARP技术
IP地址不能直接用来进行通信,因为链路层的网络设备只能识别MAC地址。ARP用于将IP地址解析为MAC地址,ARP动态执行并自动寻求IP地址到以太网MAC地址的解析,无需管理员的介入,也可以手工维护。通常将手工配置的IP地址到MAC地址的映射,称之为静态ARP。
免费ARP技术通过对外发送免费ARP报文,防止通过各种ARP欺骗手段产生的攻击。
动态ARP老化定时器
交换机允许用户指定动态ARP老化定时器的时间。动态地址表的老化时间是指在该表项从交换机地址表中删除之前的生存时间,若定时器超时,就将该表项从地址表中删除。缺省情况下,动态ARP老化定时器为20分钟:
arp timer aging aging-time
免费ARP技术
免费ARP功能:网络中设备可以通过发送免费ARP报文来确定其他设备的IP地址是否与自己冲突。如果发送免费ARP报文的设备正好改变了硬件地址,那么这个报文就可以通知其他设备及时更新高速缓存中旧的硬件地址。例如:设备收到一个免费ARP报文后,如果高速缓存中已存在此报文对应的ARP表项,那么此设备就用免费ARP报文中携带的发送端硬件地址(如以太网地址)对高速缓存中相应的内容进行更新。设备接收到任何免费ARP报文都要完成这个操作。
免费ARP报文的特点:报文中携带的源IP和目的IP地址都是本机地址,报文源MAC地址是本机MAC地址。当设备收到免费ARP报文后,如果发现报文中的IP地址和自己的IP地址冲突,则给发送免费ARP报文的设备返回一个ARP应答,告知该设备IP地址冲突。缺省情况下,交换机的免费ARP报文发送功能处于开启状态,免费ARP报文学习功能处于关闭状态。在系统视图下免费ARP的配置过程如下:
arp send-gratuitous enable
gratuitous-arp-learning enable
登录和访问交换机控制技术
目前,以太网交换机提供了多种用户登录、访问设备的方式,主要有通过Console口、SNMP访问、通过TELNET或SSH访问和通过HTTP访问等方式。以太网交换机提供对这几种访问方式进行安全控制的特性,防止非法用户登录、访问交换机设备。
安全控制分为两级:第一级安全通过控制用户的连接实现,通过配置ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接;第二级安全主要通过用户口令认证实现,连接到设备的用户必须通过口令认证才能真正登录到设备。
设置口令
为防止未授权用户的非法侵入,必须在不同登录和访问的用户界面(AUX用户界面用于通过Console口对以太网交换机进行访问,VTY用户界面用于通过Telnet对以太网交换机进行访问)设置口令,包括容易忽略的SNMP的访问口令(一定不要用“public”的默认口令)和Boot Menu口令,同时设置登录和访问的默认级别和切换口令。
在不同登录和访问的用户界面,使用如下命令设置口令:
authentication-mode password
set authentication password { cipher | simple } password
配置ACL对登录用户进行过滤
通过配置ACL对登录用户进行过滤控制,可以在进行口令认证之前将一些恶意或者不合法的连接请求过滤掉,保证设备的安全。配置ACL对登录用户进行过滤控制需要定义访问控制列表和引用访问控制列表。
配置举例及步骤:仅允许来自10.10.1.66和10.10.1.78的TELNET用户访问交换机:
# 定义基本访问控制列表。
[Quidway] acl number 2008 match-order config
[Quidway-acl-basic-2008] rule 1 permit source 10.10.1.66 0
[Quidway-acl-basic-2008] rule 2 permit source 10.10.1.78 0
[Quidway-acl-basic-2008] quit
# 引用访问控制列表。
[Quidway] user-interface vty 0 4
[Quidway-user-interface-vty0-4] acl 2008 inbound
镜像技术
以太网交换机提供基于端口和流的镜像功能,即可将指定的1个或多个端口的报文或数据包复制到监控端口,用于报文的分析和监视、网络检测和故障排除(以S6500系列为例):
mirroring-group groupId { inbound | outbound }
mirroring-port-list &<1-8> mirrored-to mornitor-port
由于大多数对局域网危害较大的网络病毒和人为破坏都具有典型的欺骗和扫描、快速发包、大量ARP请求等特征,考虑局域网的实际情况,综合采用上述技术中的某几种,在接入层、汇聚层交换机上分级配置,可以在一定程度上自动阻断恶意数据包,及时告警,准确定位病毒源、故障或干扰点,及时采取措施,把对局域网的危害减轻到尽可能小的程度。
BOLUO COUNTY QUANCHENG ELECTRONIC CO.,LTD 华为终端耳机单体涂层可靠性测试技术规范 核准审核制作发行 李志雄工程
版本A/0 发行日期 2013-7-25页码 2 OF 14 WI-EN-002文件编号修订记录 版本2013-7-25 无 A/0 修订日期修订内容
文件编号WI-EN-002版本A/0 发行日期2013-7-25页码 3 OF 14 规范目的 为确保本公司的产品之质量满足客户要求,特设立检验制度并制订本规范,明确测试目的、测试参 数、测试过程、合格判据等。 适用范围 本规范适用于华为终端公司所研发及生产阶段的需要进行耳机涂层可靠性测试的所有产品。
BOLUO COUNTY QUANCHENG ELECTRONIC CO.,LTD 6.2 试验条件 6.3 试验程序 6.4 合格判据 5.5 特别说明 6 UV测试 ---------------------------------------------------10 6.1 试验目的 5.1 试验目的 5.2 试验条件 5.3 试验程序 5.4 合格判据 4.4 合格判据 5 耐溶剂测试 ------------------------------------------------9 4.1 试验目的 4.2 试验条件 4.3 试验程序 3.1 试验目的 3.2 试验条件检验类别 华为终端耳机单体涂层 发行日期 2013-7-25WI-EN-002版本A/0 文件编号 2.3 试验程序 2.4 合格判据 3 橡皮摩擦测试 ----------------------------------------------8 3.3 试验程序 3. 4 合格判据 4 RCA纸带耐磨测试 -------------------------------------------9 2.2 试验条件 2.1 试验目的1 附着力测试 ------------------------------------------------6 1.1 试验目的2 酒精耐磨测试 ----------------------------------------------8 1.2 试验条件 1.3 试验程序目录 1.4 合格判据 页码 4 OF 14
华为交换机基本配置命令详解 1、配置文件相关命令 [Quidway]display current-configuration 显示当前生效的配置 [Quidway]display saved-configuration 显示flash中配置文件,即下次上电启动时所用的配置文件 reset saved-configuration 檫除旧的配置文件reboot 交换机重启 display version 显示系统版本信息 2、基本配置 [Quidway]super password 修改特权用户密码 [Quidway]sysname 交换机命名 [Quidway]interface ethernet 1/0/1 进入接口视图 [Quidway]interface vlan 1 进入接口视图 [Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP地址 [Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 静态路由=网关 3、telnet配置 [Quidway]user-interface vty 0 4 进入虚拟终端 [S3026-ui-vty0-4]authentication-mode password 设置口令模式 [S3026-ui-vty0-4]set authentication-mode password simple xmws123设置口令 [S3026-ui-vty0-4]user privilege level 3 用户级别 4、端口配置 [Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态 [Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率 [Quidway-Ethernet1/0/1]flow-control 配置端口流控 [Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接
华为交换机各种配置实例[网管必学 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 )参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps
2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。 【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps [SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。
华为交换机型号参数详解 华为中低端交换机一般为1U至2U的盒式并无需插端口板卡的设备。由于属于中低端交换机,所以交换机支持的硬件版本和端口类型有很大的差异。在组网中交换机设备选型的时候需要充分考虑到这点。华为中低端交换机的命名都很有规律,交换机设备名称中的参数将可以提供给我们需要的东西。91华为网收集整理了部分类型参数说明,希望对大家有所帮助。 1、表示硬件版本参数 LI(Lite software Image)表示设备为弱特性版本。 SI (Standard software Image)表示设备为标准版本,包含基础特性。 EI(Enhanced software Image)表示设备为增强版本,包含某些高级特性。 HI(Hyper software Image)表示设备为高级版本,包含某些更高级特性。 对于三层交换机且是SI版本的可能不支持动态路由协议,例如:华为Quidway S3300-SI 系列交换机包括S3328-SI、S3352-SI并不支持动态路由协议OSPF,只支持静态路由和RIP,如果组网中需要用到OSPF,那么必须选用S3328-EI或是S3352-EI版本的。 2、表示上行端口参数 Z,表示没有上行接口;(新产品不允许此位) G,表示上行光口,且是GBIC接口; P,表示上行光口,且是SFP接口; T,表示上行电口,为RJ45接口; TP,表示上行为光电Combo,上行接口为多种接口类型复合 V,表示上行VDSL接口; W,表示上行可配置WAN接口; C,表示上行接口可选配; M,表示上行接口为多模光口; S,表示上行接口为单模光口; 3、表示端口数量和其它属性参数 F,表示下行接口为模板板,可插光接口板或电接口板。主要为兼容3526F,3526EF,3552F 等老产品的命名; PWR,表示端口支持POE属性 SXXYY,其中XX表示型号,YY表示端口数量;例如:S3328、S3352分别是24个下行口+4个上行口以及48个下行口+4个上行口。(责任编辑:admin) 华为S系列交换机类型全集 华为Quidway S系列交换机产品众多,在市场上已经广泛的使用,各种型号与型号参数详解如下:: 1、S9300系列 S9300系列有三种型号,S9303、S9306、S9312;S9300系列型号的交换机是以业务槽位来区分的,S9303具有4个插槽:1个主控板槽位、3个业务板槽位;S9306具有8个插槽:
1测试标准框架 (15) 1.1整体框架 (15) 1.2测试样品数 (15) 1.3不同工艺测试项选择 (18) 2外观等级面划分 (18) 2.1外观等级面定义 (18) 3测量条件及环境的要求 (19) 3.1距离 (19) 3.2时间 (19) 3.3位置 (19) 3.4照明 (19) 3.5环境 (19) 4表面处理可靠性测试方法 (19) 4.1膜厚测试 (19) 4.1.1试验目的 (19) 4.1.2试验条件 (19) 4.1.3合格判据 (19) 4.2抗MEK(丁酮)测试 (19) 4.2.1试验目的 (19) 4.2.2试验条件 (20) 4.2.3程序 (20) 4.2.4合格判据 (20) 4.3附着力测试 (20) 4.3.1试验目的 (20) 4.3.2试验条件 (21) 4.3.3程序 (21) 4.3.4合格判据 (22) 4.3.5等级描述说明 (22) 4.3.6测试工具 (23) 4.4RCA纸带耐磨测试 (23)
4.4.2试验条件 (23) 4.4.3程序 (24) 4.4.4合格判据 (24) 4.5酒精摩擦测试 (24) 4.5.1试验目的 (24) 4.5.2试验条件 (24) 4.5.3程序 (24) 4.5.4合格判据 (25) 4.6橡皮摩擦测试 (25) 4.6.1试验目的 (25) 4.6.2试验条件 (25) 4.6.3程序 (25) 4.6.4合格判据 (25) 4.7振动摩擦测试 (26) 4.7.1试验目的 (26) 4.7.2试验条件 (26) 4.7.3程序 (26) 4.7.4合格判据 (27) 4.7.5说明 (28) 4.8铅笔硬度测试 (28) 4.8.1试验目的 (28) 4.8.2试验条件 (28) 4.8.3程序 (28) 4.8.4合格判据 (30) 4.8.5测试工具 (30) 4.9抗脏污测试 (30) 4.9.1试验目的 (30) 4.9.2试验条件 (30) 4.9.3程序 (31) 4.9.4合格判据 (31) 4.10牛顿笔测试 (31) 4.10.1试验目的 (31) 4.10.2试验条件 (31)
华为交换机基本配置命令 一、单交换机VLAN划分 命令命令解释 system 进入系统视图 system-view 进入系统视图 quit 退到系统视图 undo vlan 20 删除vlan 20 sysname 交换机命名 disp vlan 显示vlan vlan 20 创建vlan(也可进入vlan 20) port e1/0/1toe1/0/5 把端口1-5放入VLAN 20 中 5700系列 单个端口放入VLAN [Huawei]intg0/0/1 [Huawei]port link-typeaccess(注:接口类型access,hybrid、trunk) [Huawei]port default vlan 10 批量端口放入VLAN [Huawei]port-group 1 [Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 [Huawei-port-group-1]port hybrid untagged vlan 3 删除group(组)vlan 200内的15端口 [Huawei]intg0/0/15 [Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200 通过group端口限速设置 [Huawei]Port-group 2 [Huawei]group-member g0/0/2 to g0/0/23 [Huawei]qos lr outbound cir 2000 cbs 20000 disp vlan 20 显示vlan里的端口20 int e1/0/24 进入端口24 undo port e1/0/10 表示删除当前VLAN端口10 disp curr 显示当前配置 return 返回 Save 保存 info-center source DS channel 0 log state off trap state off通过关闭日志信息命令改变DS模块来实现(关闭配置后的确认信息显示) info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现(打开配置后的确认信息显示)
在华为S系列园区交换机中,每个系列中都有许多种不同机型,特别是像S1700、S2700、S3700、S5700这样应用范围比较广、机型比较多的中低端产品系列,每个系列中的每款机型的硬件配置或多或少有所不同,所以在正式介绍这些交换机系列前先介绍它们的命名规则,以便能快速地进行华为S系列交换机选型。但因为不同系列的主要应用环境和所包括的机各不相同,所以它们在命名规则上也存在许多不同。下面分别予以介绍。 1.S1700系列机型的命名规则 S1700系列比较特殊,它是专门为个人和小型企业用户量身打造的SOHO级交换机。由于应用、功能比较简单,一般不需要配置或者通过简单的Web配置即可使用。目前S1700系列中,网管型和非网管型交换机各有5款机型,具体将在本章后面介绍。下面以S1700-8-AC、S1700-28GFR-4P-AC和S1700-52FR-2T2P-AC 3款机型为例介绍S1700系列交换机的命名规则,如图1-2所示。各部分含义说明如表1-1所示。 表1-1 S1700系列命名规则中各部分的含义 2.S2700系列机型的命名规则
为了满足不同用户的需求,S2700系列提供了多款机型。下面以S2700-26TP-PWR-EI、S2710-52P-SI-AC、S2700-52P-EI-AC和S2700-9TP-SI为例介绍S2700系列交换机的命名规则,如图1-3所示。各部分的具体含义如表1-2所示。 表1-2 S2700系列交换机命名规则中各部分的含义 3.S3700系列交换机的命名规则 同样,为了满足不同用户的需求,S3700系列提供了多款机型,用户可以根据不同的网络需求进行灵活的选择。下面以S3700-28TP-PWR-EI、S3700-52P-EI-24S-DC、S3700-28TP-EI-MC-AC和S3700-28TP-SI-AC为例介绍S3700系列交换机的命名规则,如图1-4所示。各部分的具体含义如表1-3所示。 表1-3 S3700系列交换机命名规则中各部分的含义
华为设计规范 ():印刷电路板。 原理图:电路原理图,用原理图设计工具绘制的、表达硬件电路中各种器件之间的连接关系的图。 网络表:由原理图设计工具自动生成的、表达元器件电气连接关系的文本文件,一般包含元器件封装、网络列表和属性定义等组成部分。 布局:设计过程中,按照设计要求,把元器件放置到板上的过程。深圳市华为技术有限公司1999-07-30批准,1999-08-30实施。 仿真:在器件的或支持下,利用设计工具对的布局、布线效果进行仿真分析,从而在单板的物理实现之前发现设计中存在的问题、时序问题和信号完整性问题,并找出适当的解决方案。深圳市华为技术有限公司1999-07-30批准,1999-08-30实施。 . 目的 . 本规范归定了我司设计的流程和设计原则,主要目的是为设计者提供必须遵循的规则和约定。 . 提高设计质量和设计效率。 提高的可生产性、可测试、可维护性。 . 设计任务受理 . 设计申请流程 当硬件项目人员需要进行设计时,须在《设计投板申请表》中提出投板申请,并经其项目经理和计划处批准后,流程状态到达指定的设计部门审批,此时硬件项目人员须准备好以下资料:
⒈经过评审的,完全正确的原理图,包括纸面文件和电子件; ⒉带有元件编码的正式的; ⒊结构图,应标明外形尺寸、安装孔大小及定位尺寸、接插件定位尺寸、禁止布线区等相关尺寸; ⒋对于新器件,即无编码的器件,需要提供封装资料; 以上资料经指定的设计部门审批合格并指定设计者后方可开始设计。 . 理解设计要求并制定设计计划 . 仔细审读原理图,理解电路的工作条件。如模拟电路的工作频率,数字电路的工作速度等与布线要求相关的要素。理解电路的基本功能、在系统中的作用等相关问题。 . 在与原理图设计者充分交流的基础上,确认板上的关键网络,如电源、时钟、高速总线等,了解其布线要求。理解板上的高速器件及其布线要求。 . 根据《硬件原理图设计规范》的要求,对原理图进行规范性审查。 . 对于原理图中不符合硬件原理图设计规范的地方,要明确指出,并积极协助原理图设计者进行修改。 . 在与原理图设计者交流的基础上制定出单板的设计计划,填写设计记录表,计划要包含设计过程中原理图输入、布局完成、布线完成、信号完整性分析、光绘完成等关键检查点的时间要求。设计计划应由设计者和原理图设计者双方签字认可。 . 必要时,设计计划应征得上级主管的批准。 . 设计过程 . 创建网络表
最新华为交换机常用配置实例 2016最新华为交换机常用配置实例 华为交换机常用配置实例 sys进入到系统视图 Entersystemview,returntouserviewwithCtrl+Z. [Quidway]user-interfaceaux0 [Quidway-ui-aux0]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-aux0]qu [Quidway]local-userhuawei增加用户名 Newlocaluseradded. [Quidway-luser-huawei]passwordsimplehuawei配置密码,且密码不加密 [Quidway-luser-huawei]service-typetelnetsshlevel3 服务类型为SSH和telnet,且用户登陆后权限为管理员权限 [Quidway-luser-huawei]qu [Quidway]user-interfacevty04 [Quidway-ui-vty0-4]authentication-modescheme Notice:TelnetorSSHusermustbeadded,otherwiseoperatorcan't login! [Quidway-ui-vty0-4]
save 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如)。 键入命令,配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway- Ethernet0/1]:在系统视图下键入interfaceethernet0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参 数)[Quidway-Vlan-interface1]:在系统视图下键入 interfacevlan-interface1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-useruser1
DKBA
华为技术有限公司内部技术规范
DKBA 1924-2008.5
手机PVD工艺可靠性测试规范
2008年05月15日发布
华为技术有限公司 Huawei Technologies Co., Ltd.
版权所有 侵权必究 All rights reserved
手机PVD工艺可靠性测试规范
密级:秘密 DKBA 1924-2008.5
修订声明Revision declaration
本规范拟制与解释部门:无线终端测试与质量管理部 本规范的相关系列规范或文件: 手机导电漆及导电胶测试规范 手机镜片测试规范 手机键盘测试规范 手机塑料件及喷漆件测试规范 手机塑料水电镀件测试规范 手机天线结构测试规范 手机外表面印刷测试规范 手机五金件测试规范 相关国际规范或文件一致性: 替代或作废的其它规范或文件: 相关规范或文件的相互关系: 本规范历次修订情况: 规范号 主要起草部门专家 主要评审部门专家 Doc No. DKBA 可靠性测试组: 可靠性测试组:刘春林 刘吉平 郑冬 1924-2008.5 刘春林、郑冬、刘吉 测试与质量管理部:刘洋、李良才 平(V2.1版) 工业设计部:戴小军 莫允 宋旭春 张斌 TQC: 黄进元
修订情况 试行稿正式发 布
2008-11-24
华为机密,未经许可不得扩散
Huawei Confidential 第2页,共24页Page 2 , Total24
手机PVD工艺可靠性测试规范
密级:秘密 DKBA 1924-2008.5
目 录Table of Contents
1 1.1 1.2 1.3 1.4 1.5 2 2.1 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 2.2.4 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.3.5 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.5 2.5.1 2.5.2 2.5.3 2.5.4 2.6 2.6.1 2.6.2 2.6.3 2.6.4 2.6.5 2.7 2.7.1 2.7.2 2.7.3 2.7.4 2.8 2.8.1 测量条件及环境的规则..................................................................................................... 3 距离 ................................................................................................................................. 3 时间 ................................................................................................................................. 3 位置 ................................................................................................................................. 3 照明 ................................................................................................................................. 3 实验室测试环境要求 ........................................................................................................ 3 测试项目 .......................................................................................................................... 3 膜厚测试 .......................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 合格判据 ...................................................................................................................... 3 抗化学试剂测试(建议安装在整机上测试)..................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 附着力测试....................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 说明 ............................................................................................................................. 3 耐磨性测试....................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 耐醇性测试....................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 结果判定 ...................................................................................................................... 3 铅笔硬度测试 ................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 说明 ............................................................................................................................. 3 低温存储 .......................................................................................................................... 3 试验目的 ...................................................................................................................... 3 试验条件 ...................................................................................................................... 3 程序 ............................................................................................................................. 3 合格判据 ...................................................................................................................... 3 高温存储 .......................................................................................................................... 3 试验目的 ...................................................................................................................... 3
华为机密,未经许可不得扩散 Huawei Confidential 第3页,共24页Page 3 , Total24
2008-11-24
1:配置登录用户,口令等 vQuidway> // 用户直行模式提示符,用户视图 vQuidway>system-view // 进入配置视图 [Quidway] // 配置视图(配置密码后必须输入密码才可进入配置视图)[Quidway] sysname xxx // 设置主机名成为xxx这里使用 [Quidway] aaa // 进入aaa认证模式定义用户账户 [Quidway-aaa] local-user wds password cipher wds [Quidway-aaa] local-user wds level 15 [Quidway-aaa] local-user wds service-type telnet term inal ssh // 有时候这个命令是最先可以运 // 行的,上边两个命令像password,level都是定义完vty 的 // authe nticati on-m ode aaa 后才出现 [Quidway-aaa] quit [Quidway] user-i nteface vty 0 4 // 当时很奇怪这个命令就是找不到,最后尝试了几次 才能运行 [Quidway-ui-vtyO-4] authe nticati on-m ode aaa [Quidway-ui-vtyO-4] quit 2 :华为S930 3 VLan设置 创建vlan :
实验三华为交换机配置 【实验题目】 华为交换机配置 【实验课时】 2课时。 【实验目的】 1.了解华为交换机的基本端口以及IOS软件。 2.掌握华为交换机的配置途径。 3.掌握华为交换机的三种访问方式。 4.掌握华为交换机初始设置。 【实验环境】 华为交换机一台(型号不限)、PC机一台,操作系统要为Windows 98/NT/2000/xp,装有超级终端软件;Console 电缆1条。 【实验内容和主要步骤】 一、交换机配置途径 一般来说,可以用5种方式来设置交换机: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但交换机的第一次设置必须通过第1种方式进行;这时终端的硬件设置为波特率:9600,数据位:8,停止位:1,无校验。
二、交换机的几种基本访问模式: 一台新交换机开机时自动进入的状态,这时可通过对话方式对交换机进行设置。利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,交换机首先会显示一些提示信息, 华为交换机基本配置过程 一:交换机基本配置: 1.进入2403交换机,进入用户模式。 2.在命令提示符“>”下,键入“system-view”并回车。 3.键入“display courrent-config”,察看当前配置情况,注意这是缺省值。(有可能是display courrent-config,因为版本不一)。 4.键入“display version”参看交换机上IOS版本。 5.设置2403交换机名称,使用“sysname”命令(也有可能是hostname命令)。 如:Hostname 2403A(此交换机名为2403A)。 6.使用display interface来察看关于全部接口的统计表。 7.使用display int ?来察看所有可用的以太网和快速以太网的命令。 8.使用display int Ethernet ? 9. 使用display int e 0/2 来察看关于2接口的统计表 10. 使用reset saved-configuration 删除flash或NVRAM中的配置信息。保持默认信息。请大家不要轻易使用。.
华为交换机各种配置实例 交换机配置(三)ACL基本配置 交换机配置(一)端口限速基本配置 华为3Com 2000_EI、S2000-SI、S3000-SI、S3026E、S3526E、S3528、S3552、S3900、S3050、S5012、S5024、S5600系列: 华为交换机端口限速 2000_EI系列以上的交换机都可以限速! 限速不同的交换机限速的方式不一样! 2000_EI直接在端口视图下面输入LINE-RATE (4 ) 参数可选! 端口限速配置 1功能需求及组网说明 端口限速配置 『配置环境参数』 1. PC1和PC2的IP地址分别为10.10.1.1/24、10.10.1.2/24 『组网需求』 1. 在SwitchA上配置端口限速,将PC1的下载速率限制在3Mbps,同时将PC1的上传速率限制在1Mbps 2数据配置步骤 『S2000EI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate outbound 30 3. 对端口E0/1的入方向报文进行流量限速,限制到1Mbps
[SwitchA- Ethernet0/1]line-rate inbound 16 【补充说明】 报文速率限制级别取值为1~127。如果速率限制级别取值在1~28范围内,则速率限制的粒度为64Kbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为N*64K;如果速率限制级别取值在29~127范围内,则速率限制的粒度为1Mbps,这种情况下,当设置的级别为N,则端口上限制的速率大小为(N-27)*1Mbps。 此系列交换机的具体型号包括:S2008-EI、S2016-EI和S2403H-EI。 『S2000-SI和S3000-SI系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,来对该端口的出、入报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到6Mbps [SwitchA- Ethernet0/1]line-rate outbound 2 3. 对端口E0/1的入方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate inbound 1 【补充说明】 对端口发送或接收报文限制的总速率,这里以8个级别来表示,取值范围为1~8,含义为:端口工作在10M速率时,1~8分别表示312K,625K,938K,1.25M,2M,4M,6M,8M;端口工作在100M速率时,1~8分别表示3.12M,6.25M,9.38M,12.5M,20M,40M,60M,80M。此系列交换机的具体型号包括:S2026C/Z-SI、S3026C/G/S-SI和E026-SI。 『S3026E、S3526E、S3050、S5012、S5024系列交换机端口限速配置流程』 使用以太网物理端口下面的line-rate命令,对该端口的出方向报文进行流量限速;结合acl,使用以太网物理端口下面的traffic-limit命令,对端口的入方向报文进行流量限速。【SwitchA相关配置】 1. 进入端口E0/1的配置视图 [SwitchA]interface Ethernet 0/1 2. 对端口E0/1的出方向报文进行流量限速,限制到3Mbps [SwitchA- Ethernet0/1]line-rate 3 3. 配置acl,定义符合速率限制的数据流