H3C_SecBlade_LB开局指导书(V1.01)

H3C SecCenter A1000安全管理中心开局指导书Deployment Instructions for XXX Beta Test(仅供内部使用)(For internal use)拟制： Drafted by: 谢剑平 日期： Date: 2007/04/10 审核：Reviewed by: 吕振峰 日期： Date: 2007/04/10 审核：Reviewed by: 日期： Date: yyyy/mm/dd 批准：Approved by:日期： Date:yyyy/mm/dd华为3Com 技术有限公司Huawei-3Com Technologies Co., Ltd.版权所有 侵权必究 All rights reserved修订记录Revision Records目录 Catalog1. 介绍Introduction (5)1.1.系统介绍Instruction to the System (6)1.2.组网介绍Introduction to Networking (6)1.3.系统结构介绍Introduction to System Architecture (8)硬件规格 (8)SecCenter A1000支持的数据采集方式 (9)SecCenter A1000与其它系统的通讯 (11)2. 业务配置Service Configuration (11)2.1.SecCenter A1000网络接口出厂配置 (11)2.2.SecCenter A1000系统的远程访问方式 (12)2.3.SecCenter A1000系统启动及关机 (13)2.4.SecCenter A1000的部署位置 (14)2.5.SecCenter A1000的网络接口配置 (15)2.6.通过Web方式登录SecCenter A1000 (17)SecCenter A1000 Web客户端的软件需求 (17)2.7.SecCenter A1000 License授权操作指南 (18)2.8.配置设备的syslog主机地址 (20)2.8.1.设备启用license方法 (21)2.9.SecCenter A1000采集端口配置 (22)2.10.SecCenter A1000接收网流报文操作指南 (24)Stream (24)2.10.2.SecPath防火墙二进制流日志 (24)flow/CFlow (24)2.10.4.网流报文正常接收验证 (25)2.11.Windows主机操作指南 (26)2.11.1.手动增加Windows主机方法 (26)2.11.2.主机启用license方法 (27)2.11.3.Windows WMI接口测试 (28)2.11.4.主机采集监视策略设置 (29)2.12.Unix主机操作指南 (31)2.12.1.手动增加Unix主机方法 (31)2.12.2.主机启用license、采集监视及策略配置方法 (32)2.12.3.Unix主机的syslog发送、SSH接口配置方法 (32)2.13.数据库DB Audit操作指南 (32)3. 目前还存在的问题，需要安装维护中注意的事项Current Problems and Matters Deserving Attention in Installation and Maintenance (33)3.1.报告数据滞后问题 (33)3.2.报告无数据输出问题 (33)3.3.Forensics查询数据滞后问题 (33)3.4.手动删除设备后不能再自动发现设备问题 (33)3.5.进程重新启动问题 (34)3.6.License失效问题 (34)3.7.DB Audit功能无操作成功提示问题 (35)3.8.Unix主机使用SSH接口无连接测试问题 (36)4. 扩容及升级Expansion and Upgrade Method (37)4.1.采用外部存储系统保存原始数据配置方法 (37)4.2.SecCenter A1000系统升级方法 (38)4.3.分布式部署SecCenter A1000 (42)4.3.1.分布式部署SecCenter A1000组网方式 (42)4.3.2.分布式部署SecCenter A1000软件定制方法 (43)4.3.3.分布式部署方式下的license授权问题 (48)开局指导书Customer sites Deployment Instructions关键词：Key words:防火墙、IPS、IDS、Windows主机、Unix主机、Syslog、NetStream、NetFlow、数据库、法规遵从报告、Web管理界面、数据库审计。

H3C交换机的开局配置详述一、通过Console口进行本地登录说明：S3610&S5510系列以太网交换机的缺省系统名为H3C，即命令行接口的提示符为H3C。

以下配置举例中的命令行提示符均以H3C为例。

a)通过Console口进行本地登录简介通过交换机Console口进行本地登录是登录交换机的最基本的方式，也是配置通过其他方式登录交换机的基础。

S3610&S5510系列以太网交换机缺省情况下只能通过Console口进行本地登录。

用户终端的通信参数配置要和交换机Console口的配置保持一致，才能通过Console口登录到以太网交换机上。

交换机Console口的缺省配置如下。

1.交换机Console口缺省配置b)通过Console口登录交换机第一步：如图1-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。

PC1-1通过Console口搭建本地配置环境第二步：在PC机上运行终端仿真程序（如Windows 3.X的Terminal或Windows9X/Windows 2000/Windows XP的超级终端等，以下配置以Windows XP为例），选择与交换机相连的串口，配置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，如图1-2至图1-4所示。

1-2新建连接1-3连接端口配置1-4端口通信参数配置第三步：以太网交换机上电，终端上显示设备自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如<H3C>）。

第四步：键入命令，配置以太网交换机或查看以太网交换机运行状态。

需要帮助可以随时键入“?”，具体的配置命令请参考本手册中相关模块的容。

二、配置交换机光端口、开通光链路配置命令<H3C>sys[H3C]interface GigabitEthernet1/1/1 ＃进入GigabitEthernet1/1/1接口＃[H3C- GigabitEthernet1/1/1]speed 1000 ＃配置GigabitEthernet1/1/1接口速率＃[H3C- GigabitEthernet1/1/1]duplex full ＃配置GigabitEthernet1/1/1工作模式为全双工＃[H3C- GigabitEthernet1/1/1]port link-type trunk＃配置GigabitEthernet1/1/1接口模式为trunk＃[H3C- GigabitEthernet1/1/1]port trunk permit vlan 100＃配置允许Vlan 100通过GigabitEthernet1/1/1＃[H3C- GigabitEthernet1/1/1]]undo port trunk permit vlan 1＃取消Vlan 1通过GigabitEthernet1/1/1＃此段命令行即为配置交换机互联光端口，通常互联光端口为GigabitEthernet1/1/1，若为其他端口，则需根据实际情况调整端口号。

H3C CAS5.0工程开局指导手册V1.00Copyright © 2017 新华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

1目录1 工程开局准备 (5)1.1 环境要求 (5)1.2 服务器要求 (6)1.3 准备安装文件 (7)2 工程开局规划 (8)2.1 网络规划 (8)2.1.1 典型组网 (9)2.1.2 服务器网络规划 (10)2.1.3 存储网络规划 (11)2.2 存储规划 (14)2.3 主机池、集群、主机和共享文件系统规划 (14)2.4 虚拟机规划 (15)2.5 组织规划 (16)3 CAS安装 (17)3.1 安装前服务器准备 (17)3.2 配置安装文件 (19)3.3 配置信息并开始安装 (20)3.4 完成安装后操作 (29)3.4.1 卸载ISO安装文件并启动主机 (29)3.4.2 登录CAS系统 (31)3.4.3 修改CAS系统时间 (32)3.4.4 查看CAS版本信息 (33)4 CVM双机热备配置（可选） (34)4.1 CVM双机热备配置 (34)4.2 CVM双机热备相关命令 (35)4.2.1 关闭CVM双机热备服务 (35)4.2.2 开启CVM双机热备服务 (35)5 H3C CAS云资源配置 (36)5.1 登录CAS系统 (36)5.2 CAS License注册 (38)5.2.1 临时License申请注册 (38)5.2.2 正式License申请 (52)5.3 CVM双机热备CAS License注册（可选） (55)5.3.1 临时License申请 (55)25.3.2 正式License申请 (56)5.4 配置云资源 (57)5.4.1 NTP服务配置 (57)5.4.2 主机池配置 (58)5.4.3 集群配置 (59)5.4.4 主机配置 (61)5.4.5 虚拟交换机配置 (62)5.4.6 存储池配置 (65)5.5 配置虚拟机 (80)5.5.1 操作系统安装文件上传 (80)5.5.2 增加虚拟机 (86)5.5.3 虚拟机安装操作系统 (88)5.5.4 虚拟机安装CAS Tools工具 (96)5.5.5 虚拟机分配IP地址 (101)5.6 虚拟机模板管理 (103)5.6.1 模板存储 (103)5.6.2 制作虚拟机模板 (105)5.7 CVM备份 (107)6 虚拟化平台测试（重要） (107)6.1 配置检查 (107)6.2 可靠性测试 (109)6.2.1 主机可靠性测试 (109)6.2.2 网络可靠性测试 (109)6.2.3 存储可靠性测试 (109)7 H3C CAS云服务配置 (110)7.1 配置组织 (110)7.1.1 管理员登录云服务管理平台 (110)7.1.2 添加云资源 (112)7.1.3 增加组织操作员 (112)7.1.4 增加组织 (115)7.1.5 组织下增加用户分组 (115)7.1.6 组织下增加用户 (116)7.2 部署虚拟机 (117)7.2.1 手动分配虚拟机 (117)7.2.2 组织管理员部署单台虚拟机 (117)7.2.3 组织管理员批量部署虚拟机 (118)37.3 用户自助服务配置 (119)7.3.1 虚拟机申请 (119)7.3.2 虚拟机审批 (121)7.3.3 虚拟机使用 (123)41 工程开局准备H3C CAS工程实施前，需要提前做好工程开局的准备工作，比如确认现场环境是否具备，是否有足够的机柜空间，足够的电源，服务器配置是否满足要求等。

ICG2000 产品开局指导书拟制Prepared by Liuxiongwei Date日期2008-05-06评审人Reviewed by Date 日期批准Approved byDate日期H3C技术有限公司H3C Technologies Co., Ltd.版权所有侵权必究All rights reserved修订记录Revision RecordICG2000 产品开局指导书 (1)H3C技术有限公司 (1)1 介绍 (5)1.1 产品介绍 (5)1.2 组网介绍 (5)1.3 适应性说明 (6)2 ICG2000安装指导 (7)2.1 到客户现场后，请按照以下步骤连接本产品。

(7)2.2 登陆准备 (7)3 Internet连接典型应用 (9)3.1 Internet连接方式介绍 (9)3.2 PPPoE拨号连接方式配置 (10)3.3 固定IP地址（Manual）连接方式配置 (16)4 NAT典型应用 (24)4.1 NAT应用方式介绍 (24)4.2 内部PC访问Internet配置说明 (24)4.3 外部PC访问内部服务器的配置说明 (27)4.4 内部的PC可以通过公网地址或者公网域名访问内部服务器配置说明 (28)5 WLAN典型应用 (29)5.1 WLAN应用需求描述 (29)5.2 WLAN配置说明 (29)6 DHCP典型应用 (41)6.1 DHCP应用需求描述 (41)6.2 DHCP配置说明 (42)7 访问控制典型应用 (47)7.1 URL过虑应用需求描述 (47)7.1.1 URL过滤的Web设置: (48)7.1.2 URL过滤的命令行配置说明 (50)7.2 访问控制应用需求描述 (52)7.2.1 访问控制的Web配置说明： (52)7.2.2 访问控制的命令行配置说明 (54)8 维护管理功能说明 (55)8.1 设置备份 (55)8.2 设置恢复 (57)8.3 初始化 (59)8.4 用户管理 (60)8.5 软件升级 (65)1 介绍1.1 产品介绍H3C ICG 2000是H3C专门面向中小型企业推出的接入型的信息通信网关产品，该设备集数据安全、语音通信、视频交互、无线WiFi等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的避免网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维成本。

SecBlade LB 典型配置指导关键词：LB摘 要：本文主要描述了SecBlade LB 在各种应用场景中的典型配置 缩略语：缩略语英文全名中文解释LB Load Balancing 负载均衡 SLB Server Load Balance 服务器负载均衡NAT Network Address Translation 网络地址转换DNAT Destination NAT目的地址NAT VSIPVirtual Service IP Address虚服务IP 地址Un Re gi st er ed目 录1 产品简介..................................................................................................................................4 2 应用场合. (5)2.1 企业园区网中的中小型数据中心应用............................................................................5 2.2 电信运营商和门户网站的大型数据中心应用.................................................................6 3 注意事项..................................................................................................................................8 4 NAT 负载均衡组网配置举例 (8)4.1 组网需求........................................................................................................................8 4.2 配置思路 (8)4.3 使用版本........................................................................................................................9 4.4 配置步骤 (9)4.4.1 S7503E 的配置....................................................................................................9 4.4.2 SecBlade LB 的配置..........................................................................................12 5 DR 负载均衡组网配置举例.. (19)5.1 组网需求......................................................................................................................19 5.2 配置思路. (19)5.3 使用版本......................................................................................................................19 5.4 配置步骤. (20)5.4.1 S7503E 的配置 (20)5.4.2 SecBlade LB 的配置..........................................................................................22 5.4.3 服务器网卡的配置.............................................................................................27 6 SecBlade LB 支持冗余备份方案配置举例 (34)6.1 组网需求......................................................................................................................34 6.2 配置思路......................................................................................................................35 6.3 使用版本......................................................................................................................36 6.4 配置步骤. (36)6.4.1 S7503E 的配置..................................................................................................36 6.4.2 SecBlade LB_1的配置......................................................................................40 6.4.3 SecBlade LB_2的配置......................................................................................41 6.4.4 LB 的主要配置截图.. (43)7 相关资料 (44)7.1 相关协议和标准 (44)Un Re gi st er ed7.2 其它相关资料 (44)deretsigeRnU1 产品简介H3C SecBlade LB 负载均衡业务板是H3C 公司面向电信运营商、门户网站、大中型企业、行业的数据中心开发的业界领先的负载均衡产品，可以用于H3C S9500 / S7500E 系列以太网交换机，作为H3C S9500 / S7500E 系列以太网交换机的业务模块提供负载均衡业务。

H3C SecBladeII开局指导书Deployment Instructions for H3C SecBladeII Beta Test杭州华三通信技术有限公司Hangzhou H3C Technologies Co., Ltd.(仅供内部使用)(For internal use)拟制：Drafted by: 8042-test,ts-secpathDate日期2009-3-23审核：Reviewed by: Date 日期审核：Reviewed by: Date 日期批准：Approved by: Date 日期修订记录Revision Records目录1 产品简介与基本工作原理 (1)1.1 产品简介 (1)1.2 基本工作原理 (1)2 版本配套与硬件安装 (2)2.1 版本配套 (2)2.2 硬件安装 (2)2.3 网络连接 (3)2.3.1 SecBladeII接口介绍 (3)2.3.2 SecBladeII与S7500E/S9500/SR8800业务线缆连接 (4)2.4 SecBladeII的管理 (4)2.4.1 WEB方式管理 (4)2.4.2 命令行方式管理 (5)3 防火墙基础配置 (6)3.1 防火墙的几个基本概念 (6)3.1.1 虚拟设备 (6)3.1.2 安全区域 (6)3.1.3 会话 (7)3.2 防火墙的基本工作流程 (9)3.3 防火墙的基本配置 (10)4 透明模式基本转发配置（二层转发） (12)4.1 组网需求 (12)4.2 典型配置 (12)4.2.1 命令行下的配置 (12)4.2.2 WEB配置 (13)4.3 工作流程 (15)4.4 注意事项 (15)5 路由模式基本转发配置（三层转发） (16)5.1 组网需求 (16)5.2 实现方式 (16)5.2.1 三层子接口方式 (18)5.2.2 三层VLAN虚接口方式 (21)6 MCE典型应用配置 (25)6.1 组网需求 (25)6.2 配置方法 (26)6.2.1 S9500的配置 (26)6.2.2 SecBlade II的配置 (27)6.3 工作流程 (31)7 自带GE口的业务应用 (31)7.1 inline转发 (31)7.1.1 组网需求 (31)7.1.2 典型配置 (32)7.1.3 工作流程 (32)7.2 普通防火墙应用 (33)8 SecBladeII的基本维护 (33)8.1 版本维护 (33)8.1.1 设置设备启动时加载的版本 (33)8.1.2 下载版本到CF卡 (33)8.1.3 重启设备 (34)8.2 配置维护 (34)8.2.1 配置文件组成 (34)8.2.2 配置保存 (34)8.2.3 配置导入 (35)开局指导书Customer sites Deployment Instructions关键词：Key words:摘要：Abstract:缩略语清单：List of abbreviations:注意：本文中的配置均以SecBladeII和S9500为例，SecBlade与S7500E系列交换机1 产品简介与基本工作原理1.1 产品简介H3C SecBladeII防火墙插卡采用H3C公司最新的硬件平台和体系架构，是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。

目录1 简介...................................................................................................................................................1-11.1 分册简介............................................................................................................................................1-12 业务特性明晰.....................................................................................................................................2-12.1 概述...................................................................................................................................................2-12.2 特性功能索引.....................................................................................................................................2-12.3 特性功能明晰.....................................................................................................................................2-22.3.1 防火墙功能Web配置分册........................................................................................................2-22.3.2 SSL VPN功能Web配置分册...................................................................................................2-82.3.3 安全分册.................................................................................................................................2-92.3.4 接入分册...............................................................................................................................2-102.3.5 IP业务分册............................................................................................................................2-102.3.6 IP路由分册............................................................................................................................2-112.3.7 系统分册...............................................................................................................................2-112.3.8 VPN分册...............................................................................................................................2-132.3.9 IP组播分册............................................................................................................................2-131 简介z本手册当前适用于H3C SecPath F1000-E（F3166）、F1000-S-EI（E5114）及SecBlade防火墙插卡（F3166）产品。

H3CSecPathT系列IPS开局指导<i>H3C SecPath T系列IPS开局指导</i>T系列IPS开局指导系列IPS H3C SecPath T系列IPS开局指导ISSUE 1.0日期：2008-08 杭州华三通信技术有限公司版权所有，未经授权不得使用与传播<i>H3C SecPath T系列IPS开局指导</i>引入为什么需要IPS?怎么部署和管理IPS设备？?怎么部署和管理设备？为什么需要设备如何安装、配置H3C的IPS设备？如何安装、配置的设备？设备<i>H3C SecPath T系列IPS开局指导</i>课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：了解IPS基本原理和典型应用了解基本原理和典型应用掌握IPS的安装和开局配置思路的安装和开局配置思路掌握掌握IPS 的Web管理方式的掌握管理方式掌握IPS的CLI管理维护方式的掌握管理维护方式<i>H3C SecPath T系列IPS开局指导</i>目录IPS基本原理和典型应用基本原理和典型应用IPS的安装和开局配置思路的安装和开局配置思路Web管理方式介绍管理方式介绍CLI管理方式介绍管理方式介绍<i>H3C SecPath T系列IPS开局指导</i>IPS防范网络攻击和网络滥用流量IPS防范网络攻击和网络滥用流量user与IPS内部“特征库”特征相匹配Web ServerAttack userMail Server恶意攻击正常访问4<i>H3C SecPath T系列IPS开局指导</i>IPS的部署与安全策略应用IPS的部署与安全策略应用IPS部署在数据中心：抵御来自内网攻击，保护核心服务器和核心数据提供虚拟软件补丁服务，保证服务器最大正常运行时间基于服务的带宽管理IPS部署在广域网边界：抵御来自分支机构攻击保护广域网线路带宽分支机构分支机构IPS部署在外网Internet边界，放在防火墙前面，可以保护防火墙等网络基础设施对Internet出口带宽进行精细控制，防止带宽滥用URL过滤，过滤敏感网页CRM 数据中心OA ERP分支机构IPS部署在内部局域网段之间，可以抑制内网恶意流量，如间谍软件、蠕虫病毒等等的泛滥和传播抵御内网攻击IPS旁路部署在DMZ区，交换机将进出DMZ区的流量镜像到IPS,可以检测来自Internet的针对DMZ区服务器的应用层攻击检测来自Internet的DDoS攻击研发WEB 财经POP3 市场SMTPDMZ区区5<i>H3C SecPath T系列IPS开局指导</i>目录IPS基本原理和典型应用基本原理和典型应用IPS的安装和开局配置思路的安装和开局配置思路Web管理方式介绍管理方式介绍CLI管理方式介绍管理方式介绍6<i>H3C SecPath T系列IPS开局指导</i>IPS的安装和开局配置思路IPS的安装和开局配置思路设备的三种管理方法及组网设备的初始配置设备的各类安全策略7<i>H3C SecPath T系列IPS开局指导</i>设备的三种管理方法及组网基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于HTTP/HTTPS的Web管理方法HTTP/HTTPS 基于Telnet的命令行管理方法基于Telnet的命令行管理方法Telnet8<i>H3C SecPath T系列IPS开局指导</i>串口管理的组网9<i>H3C SecPath T系列IPS开局指导</i>新建串口连接使用windows系统自带的“超级终端”工具注意选择的串口与配置电缆实际连接的串口一致10<i>H3C SecPath T系列IPS开局指导</i>设置串口终端的参数点击“还原为默认值”,设置波特率为9600,数据位为8, 奇偶校验为无，停止位为1,数据流控制为无11<i>H3C SecPath T系列IPS开局指导</i>串口管理界面密码为大写的H3C12<i>H3C SecPath T系列IPS开局指导</i>设备的三种管理方法及组网基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于HTTP/HTTPS的Web管理方法HTTP/HTTPS 基于Telnet的命令行管理方法基于Telnet的命令行管理方法Telnet13<i>H3C SecPath T系列IPS开局指导</i>Web管理方式的组网管理方式的组网默认情况下，设备默认管理口是g0/0/0,默认地址是：192.168.1.1/24 上电启动完毕后，可以在串口上修改管理口IP地址H3Csystem [H3C]interface m-gigabit0/0/0 [H3C-if]ip address ip-address mask禁止使用g0/0/1作为管理口地址作为管理口地址禁止使用14<i>H3C SecPath T系列IPS开局指导</i>Web管理方式的登陆界面管理方式的登陆界面输入“http http://管理口IP地址” http用户名、密码默认admin15<i>H3C SecPath T系列IPS开局指导</i>基于HTTPS的Web管理方式的基于管理方式输入“https https://管理口IP地址” https 设备初始化时，默认开启此管理方式16<i>H3C SecPath T系列IPS开局指导</i>设备的三种管理方法及组网基于串口命令行管理方法基于HTTP/HTTPS的Web管理方法基于HTTP/HTTPS的Web管理方法HTTP/HTTPS 基于Telnet的命令行管理方法基于Telnet的命令行管理方法Telnet17<i>H3C SecPath T系列IPS开局指导</i>基于Telnet/SSH的命令行管理方式组网的命令行管理方式组网基于设备默认情况下，没有打开Telnet服务需要在串口上开启服务，方可用Telnet登陆设备H3Csystem [H3C]telnet service enable18<i>H3C SecPath T系列IPS开局指导</i>基于Telnet的命令行管理方式的命令行管理方式基于密码为大写的H3C19<i>H3C SecPath T系列IPS开局指导</i>目录设备的三种管理方法及组网设备的初始配置设备的各类安全策略20。

H3CSecblade防火墙插卡...SecBlade防火墙插卡NAT典型配置举例关键词：NAT、PAT、私有地址、公有地址、地址池摘要：本文简单描述了SecBlade防火墙插卡NAT模块相关业务的特点，详细描述了NAT各特性的典型应用，并给出NAT基本的配置案例。

缩略语：缩略语英文全名中文解释Translator 网络地址转换AddressNAT NetworkALG Application Level Gateway 应用层网关ACL Access Control List 访问控制列表VPN Virtual Private Network 虚拟专用网PAT Port Address Translation 端口地址转换Translation 端口地址不转换No-PAT No-PortAddress目录1 特性简介 (3)2 特性使用 (3)2.1 使用场合 (3)2.2 配置指南 (3)3 支持的设备 (3)3.1 支持的设备 (3)3.2 使用版本 (3)3.3 配置保存 (4)4 配置举例 (4)4.1 典型组网 (4)4.2 设备基本配置 (5)4.3 NAT业务典型配置举例 (6)4.3.1 Easy IP方式NAT (6)4.3.2 PAT方式NAT (7)4.3.3 no-PAT 方式NAT (9)4.3.4 NAT Static (11)4.3.5 NAT Server (15)4.3.6 关于多实例的NAT (17)5 相关资料 (20)5.1 相关协议和标准 (20)5.2 其它相关资料 (20)1 特性简介NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。

通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度；同时给内部网络提供一种“隐私”保护，也可以按照用户的需要提供给外部网络一定的服务。

H3C iVS8000视频监控产品开局指导书Deployment Instructions for H3C iVS8000Beta Test(仅供内部使用)(For internal use)拟制： Drafted by: 赵晖 日期： Date: 2006/12/15 审核：Reviewed by: 日期： Date: yyyy/mm/dd 审核：Reviewed by: 日期： Date: yyyy/mm/dd 批准：Approved by:日期： Date:yyyy/mm/dd杭州华三通信技术有限公司All rights reserved 版权所有 侵权必究（internal use only ） （仅供内部使用）H3C iVS8000视频监控产品开局指导书秘密Enter confidentiality level2013-04-10 版权所有，侵权必究All Rights Reserved 第2页，共20页 Page 2 of 20修订记录Revision Records目录 Catalog1. 介绍Introduction (5)1.1.系统介绍Instruction to the System (5)1.2.组网介绍Introduction to Networking (5)1.3.系统组成介绍Introduction to System Architecture (5)2. 业务配置Service Configuration (7)2.1.配置规范及实例Configuration specification and cases (7)2.1.1.典型配置组网 (7)2.1.2.系统规划 (7)2.1.3.网络配置 (9)2.1.4.EX1000配置 (10)2.1.5.EC1001/DC1001配置 (13)2.1.6.VM8000配置 (14)2.1.7.DM8000配置 (16)2.1.8.VC8000设置与使用 (16)2.2与其它设备、系统、版本的配置关系Configuration Relationship with Other Equipment,Systems and Versions (18)3目前还存在的问题，需要安装维护中注意的事项Current Problems and Matters Deserving Attention in Installation and Maintenance (19)H3C iVS8000视频监控产品开局指导书Customer sites Deployment Instructions关键词：Key words: DC1001、DM8000、EC1001、EX1000、EX1000、VC8000、VM8000摘要：Abstract: 此指导书用于指导iVS8000现场开局使用，主要描述iVS8000开局相关的注意事项。

H3C路由器开局指导目录一、使用本地用户进行console登录的认证 (1)二、TELNET配置 (2)三、使用本地用户进行telnet登录的认证 (3)四、三查看cpu和内存情况 (4)四使用SSH方式登录路由器 (4)五、 3.3．1 SSH用户验证方式为password登录路由器 (5)六、日志主机的配置 (6)七、SNMP网管的配置 (7)八、 6.1静态路由的配置 (7)6.1.1标准静态路由的配置 (8)6.1.2缺省路由的配置 (9)6.3.1OSPF的基本配置 (10)6.3.2复杂些的多域OSPF配置 (14)6.3.3 配置OSPF 区域路由聚合 (17)6.3.4 配置OSPF 引入路由聚合 (21)6.3.4配置stub区 (24)6.3.5配置完全stub区(total stub) (28)6.3.6配置NSSA (31)6.3.7配置total NSSA (35)一、使用本地用户进行console登录的认证要求用户从console登录时输入已配置的用户名ebupt和对应的口令ebupt，用户名和口令正确才能登录成功。

【提示】1、完成数据配置后，最好将系统生成的管理帐号admin/admin手工删除！二、TELNET配置三、使用本地用户进行telnet登录的认证【需求】要求用户telnet登录时输入已配置的用户名ebupt和对应的口令ebupt，用户名和口令正确才能登录成功。

【验证】使用ebupt/ebupt通过telnet 192.168.1.254可以登录系统，并具备super权限【提示】完成数据配置后，最好将系统生成的管理帐号admin/admin手工删除！四、三查看cpu和内存情况四使用SSH方式登录路由器SSH是Secure Shell（安全外壳）的简称，用户通过一个不能保证安全的网络环境远程登录到路由器时，SSH特性可以提供安全保障和强大的认证功能，以保护路由器不受诸如IP地址欺诈、明文密码截取等等的攻击。

H3C设备使用手册H3C SecPath F100-C防火墙安装手册1、设备介绍H3C SecPath F100-C/ SecPath 10F防火墙（塑料外壳）提供4个10/100M自适应FE LAN 口和1个10M 半双工WAN以太网接口。

前面板外观图如下：1 以太网口指示灯LAN3 5 广域网口指示灯WAN2 以太网口指示灯LAN2 6 系统运行指示灯SYS3 以太网口指示灯LAN1 7 电源指示灯PWR4 以太网口指示灯LAN0H3C SecPath F100-C/ SecPath 10F（塑料外壳）防火墙后面板：1 电源开关 6 以太网口2（LAN2）2 电源输入插座 7 以太网口3（LAN3）3 配置口（CONSOLE ） 8 接地端子4 以太网口0（LAN0） 9 广域网口（WAN ）5 以太网口1（LAN1）H3C SecPath F100-C II （铁盒外壳）的外观：(1)(2)(3)(4)(5)(6)(7)(8)(9)(10)1 以太网口指示灯（黄色） 6 以太网口（WAN ）2 以太网口指示灯（绿色） 7 以太网口（LAN3） 3系统运行指示灯（SYS ）8 以太网口（LAN2）4 电源指示灯（PWR）9 以太网口（LAN1）5 配置口（CONSOLE）10 以太网口（LAN0）（1）（2）1 交流电源输入插座2 接地端子2、登陆设备使用超级终端方式：如下图所示，将配置电缆（即console线）一端与防火墙的配置口相连，DB9一端与微机的串口相连。

设置配置终端的参数第一步：打开配置终端，建立新的连接。

第二步：设置终端参数。

确定后键入<Enter>后屏幕出现（若没有设置登录验证）：<h3c>该提示符表明防火墙已经进入用户视图，可以对防火墙进行配置了。

四、H3C SecPath F100-C防火墙配置手册下面是H3C F100-C/ SecPath 10F（一代产品为塑料盒）配置容：1、配置容一览表●保存/删除原有配置●配置接口●配置DHCP服务器●配置BIMS管理●配置静态路由●配置SSH访问●配置用户和密码●配置虚拟线路终端●查看检查配置●配置测试●回退操作2、配置保存为了确保保险集团站点式VPN迁移的顺利实施，首先需要将设备的原有配置进行备份，具体操作如下：✧用超级终端登录到设备✧备份现有配置：<h3c> copy config.cfg config.bak/备份当前配置Copy flash:/config.cfg to flash:/config.bak?[Y/N]:y...%Copy file flash:/config.cfg to flash:/config.bak...Done.<h3c>查看备份文件是否在flash中：<h3c>dirDirectory of flash:/(*) -rw- 1561 Apr 02 2000 00:17:55 config.cfg-rw- 1561 Apr 01 2000 23:56:36 config.bak(*) -with main attribute (b) -with backup attribute(*b) -with both main and backup attribute注： h3c处为设备名，不用修改，请记下配置的该台设备的设备名称,每台设备不一样，请注意<h3c>表示处于用户模式[h3c]表示处于配置模式3、删除原有配置在本次迁移中，原有的ADSL线路需要迁移到中国电信CN2网络上，因此首先需要将原先的配置删除，具体如下：✧删除原有配置✧使用超级终端登陆到设备上，依次使用如下的命令：<h3c>reset saved-configuration /删除原有配置The saved configuration will be erased.Are you sure?[Y/N]yConfiguration in flash memory is being cleared.Please wait ......reset saved-configuration successfully.<h3c>reboot /重启设备Start to check configuration with next startup configuration file, please wait.........DONE!This command will reboot the device. Current configuration may be lost in nextstartup if you continue. Continue? [Y/N]:y4、加载新配置删除完原有的配置后，依次使用如下的命令：配置接口E1/0作为分支机构的网网关：<h3c>system-view /进入配置模式[h3c] interface Ethernet1/0 /进入E1/0端口配置视图[h3c-Ethernet1/0] ip address x.x.x.x x.x.x.x /配置E1/0地址(地址为网网关) [h3c-Ethernet1/0] quit /返回上一层配置防火墙作为各分支机构的DHCP服务器：[h3c]dhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图[h3c-dhcp-pool-1] network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址围(网地址段) [h3c-dhcp-pool-1] gateway-list x.x.x.x /配置DHCP客户端的出口网关(网网关) [h3c-dhcp-pool-1] dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址[h3c-dhcp-pool-1] nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址[h3c-dhcp-pool-1]quit /返回上一层[h3c] dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(网网关)配置防火墙支持BIMS管理：[h3c] bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能[h3c-bims]bims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）[h3c-bims]bims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号[h3c-bims]bims source ip-address 10.255.x.x（网网关）/配置BIMS设备发送报文时携带的源地址[h3c-bims]bims interval 10 /配置触发访问BIMS中心的间隔时间(分钟) [h3c-bims]bims boot request /配置设备上电启动完成时访问BIMS中心[h3c-bims]bims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E2/0作为分支机构的外网CE口：[h3c]int Ethernet 2/0 /进入E2/0端口配置视图[h3c-Ethernet2/0]ip address x.x.x.x x.x.x.x WAN口 /配置CE地址[h3c-Ethernet2/0]quit /返回上一层配置静态路由：[h3c] ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址[h3c] ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上[h3c] ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问：[h3c]local-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added.[h3c-luser-pingan]service-type ssh /设置用户可以使用的服务类型[h3c-luser-pingan]password cipher pingan /配置用户的密码[h3c-luser-pingan]quit /返回上一层[h3c]rsa local-pair creat /产生本地RSA密钥对,注意个别华三型号只能用rsa local-key-pair creat 配置指令The range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulus[default = 1024]: /(直接回车)配置本地RSA密匙对的长度Generating keys….....++++++[h3c] ssh user pingan authentication-type password /为SSH用户配置验证方式[h3c]user-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图[h3c-ui-vty0-4]authentication-mode scheme /设置所在用户界面验证方式[h3c-ui-vty0-4]protocol inbound ssh /设置所在用户界面支持的协议[h3c-ui-vty0-4]quit /返回上一层[h3c]super password cipher pingan /配置切换用户级别的口令[h3c]snmp-agent /网管snmp配置(共7行)[h3c]snmp-agent local-engineid 000007DB7FD19[h3c]snmp-agent community read Ragga0ck3rd0M[h3c]snmp-agent community write Raggawall0p3R[h3c]snmp-agent sys-info version all[h3c]snmp-agent target-host trap address udp-domain 61.129.61.50 params securitynameRagga0ck3rd0M v2c[h3c]snmp-agent trap source Ethernet2/0查看当前设备使用的版本信息：[H3C]display version /显示当前设备使用的版本信息H3C Comware Software Comware software, Version 3.40, Release 1608P04Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved.Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.H3C SecPath F100-C uptime is 0 week, 0 day, 1 hour, 39 minutesCPU type: PowerPC 859DSL 80MHz 64M bytes SDRAM Memory 8M bytes Flash Memory 0K bytes NvRAM Memory Pcb Version:5.0 Logic Version:1.0 BootROM Version:2.06[SLOT 1] 1FE (Hardware)5.0, (Driver)1.0, (Cpld)1.0[SLOT 2] 1ETH (Hardware)5.0, (Driver)1.0, (Cpld)1.0查看目前接口状态：查看WAN口的协商速率/工作模式/与协转是否协商正常：[h3c]display interface e2/0下面是H3C F100-C II（二代产品为铁盒）配置容：1、配置容一览表●保存/删除原有配置●配置接口和网桥组●配置DHCP服务器●配置BIMS管理●配置静态路由●配置SSH访问●配置用户和密码●配置虚拟线路终端●查看配置●配置测试●回退操作2、H3C SecPath F100-C II型防火墙新配置配置网桥组：<h3c>system-view /进入配置模式[h3c]bridge enable /启用网桥功能[h3c]bridge 1 enable /启用网桥组功能并建立网桥组1[h3c] interface Ethernet0/0 /进入E0/0端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/1 /进入E0/1端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/2 /进入E0/2端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c] interface Ethernet0/3 /进入E0/3端口配置视图[h3c-Ethernet0/0] bridge-set 1 /把端口加入桥组1[h3c-Ethernet0/0] quit /返回上一层[h3c]interface bridge-template 1 /创建bridge-template虚拟接口，将指定的网桥组连接到网络中[h3c- bridge-template 1] ip address x.x.x.x x.x.x.x /配置bridge-template 1接口IP地址(网网关)[h3c- bridge-template 1] quit /返回上一层配置防火墙作为各分支机构的DHCP服务器：[h3c]dhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图[h3c-dhcp-pool-1] network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址围(网地址段) [h3c-dhcp-pool-1] gateway-list x.x.x.x /配置DHCP客户端的出口网关(网网关) [h3c-dhcp-pool-1] dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址[h3c-dhcp-pool-1] nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址[h3c-dhcp-pool-1]quit /返回上一层[h3c] dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(网网关)配置防火墙支持BIMS管理：[h3c] bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能[h3c-bims]bims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）[h3c-bims]bims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号[h3c-bims]bims source ip-address 10.255.x.x（网网关）/配置BIMS设备发送报文时携带的源地址[h3c-bims]bims interval 10 /配置触发访问BIMS中心的间隔时间(分钟) [h3c-bims]bims boot request /配置设备上电启动完成时访问BIMS中心[h3c-bims]bims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E0/4作为分支机构的外网CE口：[h3c]int Ethernet 0/4 /进入E0/4端口配置视图[h3c-Ethernet0/4]ip address x.x.x.x x.x.x.x WAN口 /配置CE地址[h3c-Ethernet0/4]quit /返回上一层配置静态路由：[h3c] ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址[h3c] ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上[h3c] ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问：[h3c]local-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added.[h3c-luser-pingan]service-type ssh /设置用户可以使用的服务类型[h3c-luser-pingan]password cipher pingan /配置用户的密码[h3c-luser-pingan]quit /返回上一层[h3c]rsa local-pair creat /产生本地RSA密钥对The range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulus[default = 1024]: /(直接回车)配置本地RSA密匙对的长度Generating keys….....++++++[h3c] ssh user pingan authentication-type password /为SSH用户配置验证方式[h3c]user-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图[h3c-ui-vty0-4]authentication-mode scheme /设置所在用户界面验证方式[h3c-ui-vty0-4]protocol inbound ssh /设置所在用户界面支持的协议[h3c-ui-vty0-4]quit /返回上一层[h3c]super password cipher pingan /配置切换用户级别的口令[h3c]snmp-agent /网管snmp配置(共7行)[h3c]snmp-agent local-engineid 000007DB7FD19[h3c]snmp-agent community read Ragga0ck3rd0M[h3c]snmp-agent community write Raggawall0p3R[h3c]snmp-agent sys-info version all[h3c]snmp-agent target-host trap address udp-domain 61.129.61.50 params securitynameRagga0ck3rd0M v2c[h3c]snmp-agent trap source Ethernet0/4查看当前设备使用的版本信息：[H3C]display version /显示当前设备使用的版本信息H3C Comware Software Comware software, Version 3.40, Release 5102P02Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd. All rights reserved.Without the owner's prior written consent, no decompiling nor reverse-engineering shall be allowed.H3C SecPath F100-C uptime is 0 week, 0 day, 3 hours, 58 minutesCPU type: Mips IDT RC32365 150MHz 64M bytes SDRAM Memory 8M bytes Flash MemoryPcb Version:2.0 Logic Version:1.0 BootROM Version:1.17[SLOT 0] 5FE (Hardware)2.0, (Driver)2.0, (Cpld)1.0[SLOT 1] 1SE (Hardware)1.0, (Driver)1.0, (Cpld)1.0保存配置：<h3c>save /将设备的配置进行保存The current configuration will be written to the device. Are you sure? [Y/N]:yPlease input the file name(*.cfg)[config.cfg](To leave the existing filename unchanged, press the enter key): (直接回车 )五、H3C SecPath F100-C 防火墙测试手册1、设备接线图配置完成后，保持设备接线图中的局域网PC至少有一台接在上面,具体设备接线图如下：H3C SecPath F100-C塑料外壳型号H3C SecPath F100-CII铁盒外壳型号2、检查验证广域网线及CN2线路连通性1)当按上述图接好后，首先通过超级终端登陆到设备中，然后使用下面的命令：<h3c>ping x.x.x.x /(x.x.x.x为当地电信PE地址)<h3c>ping –a x.x.x.x 10.16.111.156 /(-a后x.x.x.x为ICMP的源IP地址，即各分支机构网网关)查看这两个地址是否能ping通，如果<h3c>ping –a x.x.x.x 10.16.111.156 不通，则登陆设备来检查配置，同时按如下步骤测试线路连通性：2)用一台PC直接连接电信线路；3)将此电脑配置成分支机构的CE地址，不设置网关；4)使用电脑的ping命令：开始运行输入cmd ping 分支机构所在地电信PE地址，查看是否能够成功ping通。

V7局点版本（包括AC、本体和分体）升级到B64D004SP11版本升级指导版本号：1.0.0目录1.范围 (1)1.1.总体测试示意图 (1)2.测试设备以及软件列表 (1)2.1.测试设备列表 (1)3.使用设备版本信息 (1)4.升级步骤 (4)5.注意事项 (10)1. 范围本文档用于指导V7局点版本（包括AC、本体和分体）升级到B64D004SP11版本。

1.1.总体测试示意图测试环境如图1-1所示。

AC---------Switch-------WT1020（若干）-------WTU430（若干）图1-1 测试组网图2. 测试设备以及软件列表2.1.测试设备列表表5-1 测试辅助设备列表3. 使用设备版本信息初始版本：AC版本：[H3C]dis version H3C Comware Software, Version 7.1.064, Demo 5104 Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C WX5510E uptime is 0 weeks, 0 days, 0 hours, 41 minutes Last reboot reason : User soft rebootBoot image: cfa0:/wx5510-cmw710-boot-d5104.bin Boot image version: 7.1.064, Demo 5104 Compiled Jun 04 2015 15:26:02System image: cfa0:/wx5510-cmw710-system-d5104.bin System image version: 7.1.064, Demo 5104 Compiled Jun 04 2015 15:26:02[H3C]probe [H3C-probe]display system internal version H3C WX5510E V500R001B64D003 Comware V700R001B64D003 [H3C-probe]本体WT1020版本：[H3C]dis versionH3C Comware Software, Version 7.1.064, Alpha 2102Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C WT1020 uptime is 0 weeks, 0 days, 0 hours, 7 minutesLast reboot reason : User soft rebootBoot image: flash:/wt1020-cmw710-boot-a2102.binBoot image version: 7.1.064, Alpha 2102Compiled Jun 15 2015 18:44:55System image: flash:/wt1020-cmw710-system-a2102.binSystem image version: 7.1.064, Alpha 2102Compiled Jun 15 2015 18:44:55[H3C]probe[H3C-probe]display system internal versionH3C WT1020 V200R001B64D003Comware V700R001B64D003[H3C-probe]分体WTU430版本：[H3C]display versionH3C Comware Software, Version 7.1.064, Beta 2104Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.WTU430 uptime is 0 weeks, 0 days, 0 hours, 1 minuteLast reboot reason : Memory exhausted rebootBoot image: flash:/wa4300s-boot.binBoot image version: 7.1.064, Beta 2104Compiled Jun 15 2015 18:42:00System image: flash:/wa4300s-system.binSystem image version: 7.1.064, Beta 2104Compiled Jun 15 2015 18:42:00[H3C]probe[H3C-probe]display system internal versionWTU430 V200R001B64D003Comware V700R001B64D003[H3C-probe]升级后版本：AC版本：[H3C]display version H3C Comware Software, Version 7.1.064, Customer 5107P11 Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved. H3C WX5510E uptime is 0 weeks, 0 days, 1 hour, 20 minutes Last reboot reason : User soft rebootBoot image: cfa0:/wx5510-cmw710-boot-e5107p11.bin Boot image version: 7.1.064, Customer 5107P11 Compiled Aug 04 2015 18:40:33 System image: cfa0:/wx5510-cmw710-system-e5107p11.bin System image version: 7.1.064, Customer 5107P11 Compiled Aug 04 2015 18:40:33[H3C]probe [H3C-probe]display system internal version H3C WX5510E V500R001B64D004SP11 Comware V700R001B64D004 [H3C-probe]本体WT1020版本：[H3C]display versionH3C Comware Software, Version 7.1.064, ESS 2107P11Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C WT1020 uptime is 0 weeks, 0 days, 0 hours, 2 minutesLast reboot reason : Power onBoot image: flash:/wt1020-boot.bin Boot image version: 7.1.064, ESS 2107P11 Compiled Aug 04 2015 18:40:33 System image: flash:/wt1020-system.bin System image version: 7.1.064, ESS 2107P11 Compiled Aug 04 2015 18:40:33[H3C]probe [H3C-probe]display system internal version H3C WT1020 V200R001B64D004SP11 Comware V700R001B64D004 [H3C-probe]分体WTU430版本：[H3C]display version H3C Comware Software, Version 7.1.064, ESS 2107P11 Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.WTU430 uptime is 0 weeks, 0 days, 0 hours, 15 minutes Last reboot reason : User soft rebootBoot image: flash:/wa4300s-boot.bin Boot image version: 7.1.064, ESS 2107P11 Compiled Aug 04 2015 18:40:33 System image: flash:/wa4300s-system.bin System image version: 7.1.064, ESS 2107P11 Compiled Aug 04 2015 18:40:33[H3C-probe]display system internal version WTU430 V200R001B64D004SP11 Comware V700R001B64D004 [H3C-probe]4. 升级步骤1. B64D004SP11的AC版本中打包了AP版本（wa4300s.ipe/wt1020.ipe/wa4300.ipe/wa2610.ipe），升级前确保AC的cfa0:下不存在相同文件名的AP版本文件；2. 将所有WTU430加入到AP-Group，并关闭版本升级功能#配置WTU430和WT1020，使之与AC关联；[H3C]display wlan ap all Total number of APs: 2 Total number of connected APs: 2 Total number of connected configured APs: 2 Total number of connected auto APs: 0 Total number of connected anchor APs: 0 Maximum AP capacity: 356 Remaining AP capacity: 354AP information State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad C = Config, DC = DataCheck, R = Run, M = Master, B = BackupAP name AP ID State Model Serial ID --------------------------------------------------------------------------------wt1020 1 R/M WT1020 DPPMWWB123456 wtu430 2 R/M WTU430 219801A0SS9154G00006[H3C]# 配置ap-group，并将所有WTU430加入到ap-group（根据Serial-id添加）[H3C]wlan ap-group ag[H3C-wlan-ap-group-ag]serial-id 219801A0SS9154G00006[H3C-wlan-ap-group-ag].....# 关闭AP版本升级功能[H3C-wlan-ap-group-ag]firmware-upgrade disable3. 通过tftp或ftp，将AC版本上传到AC；<H3C>tftp 70.70.1.10 get wx5510.ipe Press CTRL+C to abort.% Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 175M 100 173M 0 0 1001k 0 0:02:57 0:02:57 --:--:-- 962k Writing file...Done.<H3C>dir wx5510.ipe Directory of cfa0: 0 -rw- 184257536 Aug 12 2015 15:01:42 wx5510.ipe4088468 KB total (2958716 KB free)<H3C>4.手动生成map文件，通过tftp或ftp上传到AC，并在AC上所有WTU430添加map-configuration命令<H3C>tftp 70.70.1.10 get mp.txt Press CTRL+C to abort. % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 159 100 159 0 0 8369 0 --:--:-- --:--:-- --:--:-- 79500 Writing file...Done.<H3C>system-view[H3C]wlan ap wtu430[H3C-wlan-ap-wtu430]map-configuration ? STRING [drive][path][file name] cfa0: Device name slot1#cfa0: Device name[H3C-wlan-ap-wtu430]map-configuration cf [H3C-wlan-ap-wtu430]map-configuration cfa0:/mp.txt [H3C-wlan-ap-wtu430]di this # wlan ap wtu430 model WTU430 serial-id 219801A0SS9154G00006 map-configuration cfa0:/mp.txt hybrid-remote-ap enable vlan 1 radio 1 channel 149 radio enable service-template 1 vlan 200 service-template 2 vlan 31 radio 2 channel 1 radio enable service-template 1 vlan 200 service-template 2 vlan 31 # returnmp.txt文件格式：system-viewvlan 2800 to 2900 《--创建所有业务vlanint g1/0/1port link-type trunkport trunk permit vlan all5.指定AC启动文件，保存配置后重启<H3C>boot-loader file cfa0:/wx5510.ipe all main Verifying the file cfa0:/wx5510_0805.ipe on slot 1..........Done. H3C WX5510E images in IPE: wx5510-cmw710-boot-e5107p11.bin wx5510-cmw710-system-e5107p11.bin This command will set the main startup software images. Continue? [Y/N]:y Add images to slot 1. File cfa0:/wx5510-cmw710-boot-e5107p11.bin already exists on slot 1. File cfa0:/wx5510-cmw710-system-e5107p11.bin already exists on slot 1. Overwrite the existing files? [Y/N]:y Decompressing file wx5510-cmw710-boot-e5107p11.bin tocfa0:/wx5510-cmw710-boot-e5107p11.bin......................................... .............Done. Decompressing file wx5510-cmw710-system-e5107p11.bin tocfa0:/wx5510-cmw710-system-e5107p11.bin..............................Done.Verifying the file cfa0:/wx5510-cmw710-boot-e5107p11.bin on slot 1.......Done. Verifying the file cfa0:/wx5510-cmw710-system-e5107p11.bin on slot 1....Done. The images that have passed all examinations will be used as the main startup softwareimages at the next reboot on slot 1.Decompression completed. Do you want to delete cfa0:/wx5510.ipe now? [Y/N]:n <H3C>save The current configuration will be written to the device. Are you sure? [Y/N]:y Please input the file name(*.cfg)[cfa0:/xm.cfg] (To leave the existing filename unchanged, press the enter key): cfa0:/xm.cfg exists, overwrite? [Y/N]:y Validating file. Please wait... Saved the current configuration to mainboard device successfully.<H3C>reboot Start to check configuration with next startup configuration file, pleasewait.........DONE!This command will reboot the device. Continue? [Y/N]:y6.AC完成升级后，开始自动对所有WT1020设备进行升级；[H3C]dis wlan ap all Total number of APs: 2 Total number of connected APs: 1 Total number of connected manual APs: 1 Total number of connected auto APs: 0 Total number of connected anchor APs: 0Maximum supported APs: 512 Remaining APs: 511 Fit APs activated by license: 256 Remaining fit APs: 256 WTUs activated by license: 100 Remaining WTUs: 99AP information State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad C = Config, DC = DataCheck, R = Run, M = Master, B = BackupAP name AP ID State Model Serial ID --------------------------------------------------------------------------------wt1020 1 I WT1020 DPPMWWB123456 wtu430 2 R/M WTU430 219801A0SS9154G00006[H3C]%Aug 6 15:50:22:461 2015 H3C CWS/6/CWS_IMG_DOWNLOAD_START: AP wt1020 startedto download the image file wt1020.ipe.%Aug 6 15:50:58:659 2015 H3C CWS/6/CWS_IMG_DOWNLOAD_COMPLETE: Downloading theimage file wt1020.ipe for AP wt1020 through the CAPWAP tunnel is complete.7.待所有WT1020升级成功后，修改本体工作模式，并在ap-group视图下开启ap版本升级功能，然后所有WT1020断电重启；[H3C]wlan ap wt1020 model WT1020[H3C-wlan-ap-wt1020]wt version 1 [H3C-wlan-ap-wt1020]di this # wlan ap wt1020 model WT1020 serial-id 219801A0TA9156Q00013 wt version 1 vlan 1 gigabitethernet 1 gigabitethernet 2 gigabitethernet 3 gigabitethernet 4 # return [H3C-wlan-ap-wt1020]quit[H3C]wlan ap-group ag [H3C-wlan-ap-group-ag]firmware-upgrade enable [H3C-wlan-ap-group-ag]quit8.WT1020重启后，WTU430开始自动升级[H3C]%Aug 6 16:40:34:565 2015 H3C CWS/4/CWS_AP_DOWN: CAPWAP tunnel to AP wtu430went down. Reason: Neighbor dead timer expired. %Aug 6 16:40:34:569 2015 H3C APMGR/6/APMGR_AP_OFFLINE: AP wtu430 went offline. Statechanged to Idle.%Aug 6 16:40:36:945 2015 H3C CWS/4/CWS_AP_DOWN: CAPWAP tunnel to AP wt1020 wentdown. Reason: Neighbor dead timer expired.%Aug 6 16:40:36:946 2015 H3C APMGR/6/APMGR_AP_OFFLINE: AP wt1020 went offline. Statechanged to Idle.%Aug 6 16:41:02:525 2015 H3C APMGR/6/APMGR_AP_ONLINE: AP wt1020 went online. Statechanged to Run.%Aug 6 16:41:02:526 2015 H3C CWS/6/CWS_AP_UP: CAPWAP Master tunnel to AP wt1020went up.[H3C]dis wlan ap all Total number of APs: 2 Total number of connected APs: 1 Total number of connected manual APs: 1 Total number of connected auto APs: 0 Total number of connected anchor APs: 0 Maximum supported APs: 512 Remaining APs: 511 Fit APs activated by license: 256 Remaining fit APs: 256 WTUs activated by license: 100 Remaining WTUs: 100AP information State : I = Idle, J = Join, JA = JoinAck, IL = ImageLoad C = Config, DC = DataCheck, R = Run, M = Master, B = BackupAP name AP ID State Model Serial ID --------------------------------------------------------------------------------wt1020 1 R/M WT1020 DPPMWWB123456 wtu430 2 I WTU430 219801A0SS9154G00006[H3C]%Aug 6 16:42:43:929 2015 H3C CWS/6/CWS_IMG_DOWNLOAD_START: AP wtu430 startedto download the image file wa4300s.ipe.%Aug 6 16:43:15:578 2015 H3C CWS/6/CWS_IMG_DOWNLOAD_COMPLETE: Downloading theimage file wa4300s.ipe for AP wtu430 through the CAPWAP tunnel is complete. %Aug 6 16:48:01:638 2015 H3C APMGR/6/APMGR_AP_ONLINE: AP wtu430 went online. Statechanged to Run.%Aug 6 16:48:01:639 2015 H3C CWS/6/CWS_AP_UP: CAPWAP Master tunnel to AP wtu430went up.5. 注意事项1、AC升级后，WX5540E聚合口下配置会丢失，会导致不通，升级到最新版本后需要对聚合口下内容重新配置。