
Нотификация фсб на маршрутизатор ar502gr-l-d-h с установленной версией по v200r007c00spc900pwe и запасные части к нему
Вы можете бесплатно проконсультироваться по телефону 8 (499) 112-48-35 узнать о сроках выдачи, стоимости.
huawei ar120-s_firmware v200r007c00spc900
huawei ar120-s_firmware v200r007c00spca00
huawei ar120-s_firmware v200r007c00spcb00
huawei ar120-s_firmware v200r007c00spcc00
huawei ar1200_firmware v200r007c00spc900
huawei ar1200_firmware v200r007c00spc900pwe
huawei ar1200_firmware v200r007c00spca00
huawei ar1200_firmware v200r007c00spcb00
huawei ar1200_firmware v200r007c00spcb00pwe
huawei ar1200_firmware v200r007c00spcc00
huawei ar1200-s_firmware v200r007c00spc900
huawei ar1200-s_firmware v200r007c00spcb00
huawei ar1200-s_firmware v200r007c00spcc00
huawei ar150_firmware v200r007c00spc900
huawei ar150_firmware v200r007c00spc900pwe
huawei ar150_firmware v200r007c00spcb00
huawei ar150_firmware v200r007c00spcb00pwe
huawei ar150_firmware v200r007c00spcc00
huawei ar150-s_firmware v200r007c00spc900
huawei ar150-s_firmware v200r007c00spcb00
huawei ar150-s_firmware v200r007c00spcc00
huawei ar160_firmware v200r007c00spc900
huawei ar160_firmware v200r007c00spc900pwe
huawei ar160_firmware v200r007c00spcb00
huawei ar160_firmware v200r007c00spcb00pwe
huawei ar160_firmware v200r007c00spcc00
huawei ar200_firmware v200r007c00spc900
huawei ar200_firmware v200r007c00spc900pwe
huawei ar200_firmware v200r007c00spcb00
huawei ar200_firmware v200r007c00spcb00pwe
huawei ar200_firmware v200r007c00spcc00
huawei ar200-s_firmware v200r007c00spc900
huawei ar200-s_firmware v200r007c00spcb00
huawei ar200-s_firmware v200r007c00spcc00
huawei ar2200_firmware v200r007c00spc900
huawei ar2200_firmware v200r007c00spc900pwe
huawei ar2200_firmware v200r007c00spca00
huawei ar2200_firmware v200r007c00spcb00
huawei ar2200_firmware v200r007c00spcb00pwe
huawei ar2200_firmware v200r007c00spcc00
huawei ar2200-s_firmware v200r007c00spc900
huawei ar2200-s_firmware v200r007c00spcb00
huawei ar2200-s_firmware v200r007c00spcc00
huawei ar3200_firmware v200r007c00
huawei ar3200_firmware v200r007c00spc900
huawei ar3200_firmware v200r007c00spc900pwe
huawei ar3200_firmware v200r007c00spca00
huawei ar3200_firmware v200r007c00spcb00
huawei ar3200_firmware v200r007c00spcb00pwe
huawei ar3200_firmware v200r007c00spcc00
huawei ar3600_firmware v200r007c00spc900
huawei ar3600_firmware v200r007c00spc900pwe
huawei ar3600_firmware v200r007c00spcb00
huawei ar3600_firmware v200r007c00spcb00pwe
huawei ar3600_firmware v200r007c00spcc00
huawei ar510_firmware v200r007c00spc900
huawei netengine16ex_firmware v200r007c00spc900
huawei netengine16ex_firmware v200r007c00spcb00
huawei netengine16ex_firmware v200r007c00spcc00
huawei srg1300_firmware v200r007c00spc900
huawei srg1300_firmware v200r007c00spcb00
huawei srg1300_firmware v200r007c00spcc00
huawei srg2300_firmware v200r007c00spc900
huawei srg2300_firmware v200r007c00spcb00
huawei srg2300_firmware v200r007c00spcc00
huawei srg3300_firmware v200r007c00spc900
huawei srg3300_firmware v200r007c00spcb00
huawei srg3300_firmware v200r007c00spcc00
uawei AR3200 products with versions of V200R007C00SPC900, V200R007C00SPCa00, V200R007C00SPCb00, V200R007C00SPCc00, V200R009C00SPC500 have an improper authentication vulnerability. Attackers need to perform some operations to exploit the vulnerability. Successful exploit may obtain certain permissions on the device.
Exploitability : 3.9 / Impact
: 5.9
Attack Vector
Vector : AV:N/AC:L/Au:N/C:P/I:P/A:P
Exploitability : 10.0 / Impact
: 6.4
- ar3200_firmware
- ar3200
Данная статья будет полезна системным администраторам, планирующим работать с сетевым оборудованием Huawei, а так же ИТ-специалистам, перед которыми стоит задача разработки собственных решений на базе стандартных платформ. В ней будет приведено подробное описание настройки устройства посредством командной строки (CLI).
Я получил для тестирования и изучения продукт компании Huawei Enterprise – Huawei AR169W-P-M9. Как следует из описания на сайте производителя – это устройство объединяет в себе полный набор услуг, в том числе маршрутизации, коммутации, безопасности и беспроводного доступа, а также содержит в себе открытую сервисную платформу (OSP, которая по сути является x86 компьютером), которая может обеспечить практически любой функционал, доступный на x86-платформе.
Если все упростить – то это полноценный роутер корпоративного уровня с интегрированным гипервизором на базе x86 архитектуры и все это размером с толстую книгу. Рассмотрим устройство поближе. Основные характеристики с сайта производителя ниже.
Следующие операционные системы могут быть установлены на сервисный модуль OSP:
• Windows Server 2003 32bit,• Windows Server 2008 R1 32bit,• Windows Server 2008 R2 64bit,• Windows 7 32bit sp1,• Windows 8.x• Red Hat Enterprise 6.5,• Red Hat Enterprise 7.0,• SUSE Enterprise 11 SP1,• Fedora Core 20,• Debian Wheezy.После более детального изучения устройства, я набросал следующую структурную схему устройства:

Как можно увидеть, устройство условно состоит из двух частей:
В своей практике я часто имею дело с сетевым оборудованием Huawei, считаю, что достаточно хорошо знаю его архитектуру, операционную систему VRP и CLI. Но когда я узнал о существовании такого «гибрида», мне стало интересно – на каком уровне в нем происходит интеграция x86 и VRP? Как будет выглядеть с точки зрения роутера гипервизор? И как будут выглядеть сетевые ресурсы роутера с точки зрения установленной на сервисную платформу x86-ой операционной системы? И интерес, в первую очередь, свяазан с открывающимися вариантами решений различных типовых задач – ведь по сути в одной коробке уже есть почти все, вот к примеру варианты использования:

На рисунке 3 – базовая схема подключения дополнительного офиса к главному. Устройство в дополнительном офисе решает задачу выхода в Интернет, раздачу Wi-Fi, предоставление IP-телефонии, коммутацию четырех устройств, а также до двух серверов для задач, которые нужно решать локально.Второй вариант:

Решение для общественного транспорта. Устройство будет раздавать интернет пассажирам, которое оно будет получать посредством 3G/4G, а также транслировать рекламу посредством HDMI-интерфейса и подключенному к нему монитору и колонке. Или, например, определяя местоположение по GPS, проводить экскурсию пассажирам. Для этого, конечно же, на гостевой ОС должно быть запущено соответствующее приложение. Стоит так же заметить, что для данного применения уместнее использовать промышленный вариант серии AR 500, который выполнен в специальном корпусе, защищающем устройство от тряски.
Думаю, что вариантов применения можно придумать множество, эти варианты первые, что пришли мне в голову.
Первичные настройки роутера.Пароль по умолчанию на консоль (параметры консоли стандартные, как у Cisco: 9600baud, без контроля четности):
1) Прописываем IP адрес для VlanInterface1, в котором по умолчанию находятся порты LAN-свича GE0-GE4, а также маршрут по умолчанию:
2) Настраиваем доступ по SSH к устройству, предвариетльно создав пользователя и сгенерировав ключи rsa:
3) Далее, пункт опциональный – обновление ПО до последней версии. Перед началом работы с любым устройством крайне рекомендуется обновится до самой последней версии ПО.Проверим, какая версия ПО VRP сейчас стоит на роутере:
Как можно заметить, версия ПО VRP этого роутера V200R007C00SPC600PWE. Условно расшифровать можно, как версия 200, релиз 007, номер в релизе 00, service pack 600. Буквы PWE означают Payload without encryption, что означает, что в данной версии ПО отключено стойкое шифрование с длинной ключа выше 56 бит. Если этих букв нет в названии ПО, то устройство будет поддерживать стойкое шифрование.
На момент написания статьи самая свежая доступная версия V200R007C00SPC900, ее можно найти на поиском по ключевым словам “AR 169 OSP”:
В случае, если файл будет недоступен для скачивания (пиктограмма в виде замка около названия файла), то следует обратиться к вашему партнеру, через которого приобреталось оборудование.Скачиваем файл с AR169-OSP-V200R007C00SPC900.cc и выкладываем его на TFTP-сервер. Я использую для этих целей бесплатный tftpd64 для Windows. Мой tftp-сервер располагается в той же сети, что и VLAN1 у роутера. Адрес tftp-сервера 172.31.31.250.
Далее, для скачивания файла нужно выйти в пользовательский режим (с треугольными скобками ) и дать команду на скачивание файла с tftp сервера:
Должно начаться скачивание файла на встроенную flash-память. После скачивания, из этого же режима проверим содержимое flash командой dir и убедимся, что все скачалось.
Далее, чтобы при следующей перезагрузке устройства грузилось уже новая версия ПО, нужно в этом же пользовательском режиме дать команду с явным указанием этого нового файла:
Далее, после перезагрузки по команде display version убедимся, что роутер загрузился с новой версией прошивки V200R007C00SPC900.
4) Переходим к созданию виртуальной машины.
Виртуальная машина создается в интерфейсе CLI роутера в режиме virtual-environment.Сперва проверим, включен ли DHCP на виртуальных интерфейсах GE0/0/5 и GE0/0/6 которые связывают роутер и плату OSP.
Для этого посмотрим конфигурацию всего устройства:
В моем случае это было настроено по умолчанию, но в случае, если DHCP на этих интерфейсах не настроен (по крайней мере в мануале про это написано), следует его включить:
Так же на этом этапе можно сменить адреса вашей виртуальной сети, если эти адреса чем то не устраивают, в данном случае сетевые карты виртуальных машин будут в одном адресном пространстве GigabitEthernet0/0/5, т.е. в данном случае 192.168.2.0 /24. Я оставлю как есть.
Ниже схема того, как взаимосвязаны между собой роутер (MCU) и плата x86 (OSP):
Как видно из рисунка 5, GE5/0/0/5 является интерфейсом связи с MCU и OSP, и первый выданный по DHCP адрес должен будет получить интерфейс br0 виртуального свича. Проверим, какой адрес выдался из пула адресов интерфейса Gi0/0/5:
Таким образом, адрес 192.168.2.254 будет основной точкой входа в нашу виртуальную среду, именно к нему нужно обращаться для перехода в режим виртуальной среды платы OSP следующей командой:
Я поднял FTP-сервер FileZilla на машине с адресом 172.31.31.250, подключенным к LAN-свичу нашего устройства, т.е. к VLAN1:

Далее, создаем пустой виртуальный диск размером 30Гб для будущей операционной системы:
Формируем OVA-файл из ISO с параметрами нашей будущей виртуальной машины:
• Первым параметром будет название создаваемого ova-файла без расширения, т.е. win81;• Параметро iso – наш win81.iso файл, который был скачен ранее;• Параметр disk – название диска, созданного нами командой blank-disk, т.е. disk1• Cpu – указываем количество процессоров от 1 до 4.• Memory – количество оперативной памяти в гигабайтах, в данном случае 2800 Мб (в случае если используем extend-description в предыдущей команде, то больше памяти поставить нельзя).• Network-card – количество сетевый карт виртуальной машины, в данном случае 1.• Network-card-type – тип виртуальной карты, возможны три варианта: e1000, rpl8139 и virtio. Рекомендованный тип для Windows – e1000.• Extend-description – важный параметр, который регламентирует расширеные настройки виртуальной машины, такие как дополнительный жесткий диск, serial interface, HDMI и Audio, а также USB. Если не описывать эти параметры, то виртуальная машина «не увидит» допольнительный жетский диск, который можно установить в наше устроство и т.п.
Но есть важное ограничение, налагаемое CLI устройства – команда целиком не может быть длиннее 256 символов, а параметры подключения USB или HDMI превышают это ограничение.Для этого случае в руководстве описан способ создание OVA-файла офф-лайн, то есть не на данном устройстве, а на вашей linux-машине. Здесь я не буду приводить это описание и буду использовать только один короткий параметр для подключения внешнего диска: «-hdb /dev/external_disk». Так же важное замечание при
И так, ova-файл сформирован, можно приступать к инсталляции виртуальной машины из этой сборки:
Виртуальная машина проинсталлирована, далее зайдем в режим управления виртуальной машины, пропишем номер порта (например 8) по которому она в дальнейшем будет доступна по VNC viewer:
После чего можно виртуальную машину активировать и стартовать:
Проверим состояние виртуальной машины следующей командой, а также запомним имя ее виртуального интерфейса (veth), оно нам пригодится в следующем шаге:
Из данного вывода видно, что виртуальная машина win81 находится в запущенном состоянии, использует в качестве основного жесткого диска disk1 емкостью 30720 Мб, количество памяти 2800 Мб и ее виртуальный сетевой интерфейс называется win81_eth. Следующим шагом свяжем этот интерфейс с системой роутинга самого роуетера:
Для этого создаем виртуальный интерфейс veth2 для HostOS:
Добавляем виртуальный интерфейс Host OS к виртуальному свичу vSwitch:
Все, работы по созданию виртуальной машины завершены, можно приступать к ее инсталляции и непосредственной работе с ней. Для этого будем использовать бесплатный VNC Viewer, предварительно скачав его с сайта разработчика (RealVNC).
В качестве адреса указываем наш виртуальный интерфейс 192.168.2.254:8 — и порт 8, который мы настроили чуть выше. В настройках соединения, в разделе Expert следует обязательно сделать параметр FullColor = true, в противном случае ничего работать не будет:
Процесс инсталляции Windows ничем не отличается от обычного, поэтому я пропущу этот момент, будем считать, что Windows успешно установился и запущен. Сразу же проверим, что у нас с сетевыми настройками:
Как видно, DHCP выдал адрес 192.168.2.253 и мы можем пинговать шлюз 192.168.2.1. Таким образом, сетевая карта установилась нормально и виртуальная машина взаимодействует с роутером. Осталось выпустить виртуальную машину в интернет (настроить NAT на роутере) и, например, «прокинуть» порт снаружи для доступа по RDP к виртуальной машине (в этом случае крайне желательно настроить на сетевой карте виртуальной машины статический адрес из сети 192.168.2.0/24, а не оставлять его динамическим):
Создадим Access-list для фильтрации хостов, которым нужно предоставить доступ в интернет, в данном случае всю сеть 192.168.2.0 /24 :
Подключим к интерфейсу GigabitEthernet0/0/4 (WAN) кабель от провайдера, пусть нам выделен статический адрес 195.19.XX.XX, шлюз по умолчанию 195.19.XX.1:
Сделаем трансляцию порта с внешнего 33389 на внутренний 3389 хоста нашей виртуальной машины 192.168.2.254
Настроим маршрут по умолчанию в Интернет:
Обязательно сохраним конфигурацию:
На этом базовые настройки можно считать завершенными, была поднята одна виртуальная машина с гостевой ОС Windows 8.1, проведено обновление ПО устройства, сделан доступ в интернет и трансляция порта снаружи для доступа к ОС посредством протокола RDP.
вход в режим конфигурирования
вернуться на уровень назад
команда отрицания (аналогично no в cisco)
настройка пароля доступа по консольному порту
настройка пароля доступа через виртуальный терминал
port link-type access
port link-type trunk
port trunk allow-pass vlan
port link-type hybrid
создание L3 интерфейса
Eth-trunk 1 — создали LAG группу
eth-trunk 1 -забиндили интерфейс
// переход интерфейса к L3
LACP(link aggregation control protocol)
int Eth-trunk 1 — создали LAG группу
mode lacp-static -выбрали режим
stp mode stp
активируется глобально и на интерфейсе
вручную указываем корень в топологии
stp root primary
stp root secondary
вручную указываем bridge priority
display stp brief
display stp instance 0 brief
stp mode rstp
выключает edge порт при получении bpdu
stp root-protection (включается на портах корневого коммутатора, при получении лучшего bpdu порт переходит в состояние —
используется на клиентских портах
stp edged-port enable
stp bpdu-filter enable (не отправляет и не принимает bpdu)
stp loop-protection (технология защиты от петель в моменты реконвергенции stp. если порт перестает получать bpdu он не переходит в состояние forwarding, а переходит в состояние
stp mode mstp
instance 1 vlan 2 to 10
instance 1 vlan 11 to 20
display stp region-configuration
создаем статический маршрут
создаем маршрут по умолчанию
ip route-static 0.0.0.0 0.0.0.0
анонс маршрута по умолчанию через rip
выключаем автоматическую суммаризацию маршрутов
суммаризация маршрутов на интерфейсе
rip summary-address 172.16.0.0 255.255.0.0.
undo debugging rip 1 or undo debugging all !!!
устанавливает cost на порту для входящих маршрутов
устанавливает cost на порту для исходящих маршрутов
rip split horizon
Ограничение распространения маршрутной информации
undo rip output
undo rip input
интерфейс не передает маршрутную информацию, но принимает и заносит в routing table маршруты
silent int g0/0/0 —
display rip interface verbose
display rip 1 neighbor
можно и без указания id. id учитывается при выборах DR, выбирается по наибольшему адресу
ospf 1 router-id 1.1.1.1
network ip address wildcard-mask
меняем расчет метрики
меняем cost, таймеры,
ospf cost 20
Выключаем OSPF на порту (restrict OSPF operation)
Объявление маршрута последней надежды через OSPF
ip route-static 0.0.0.0 0.0.0.0 loopback 0
disp ospf peer (показывает очень полезную информацию: area, интерфейс и адрес интерфейса, статус соседства, рутер id, master or slave)
disp ospf peer brief
disp ospf 1 int g0/0/0
На ip интерфейсе
vrrp vrid 20 virtual-ip 10.74.10.17
vrrp vrid 20 priority 50
Интерфейс с наибольшим значением priority выбирается в качестве Master (default priority 100).
Установка задержки обратного переключению с backup на master
vrrp vrid 1 preempt-mode timer delay 20
При падении интерфейсаGigabitEthernet1/0/0 vrrp приоритет интерфейса g0/0/0 уменьшается на 40
vrrp vrid 1 track interface GigabitEthernet1/0/0 reduced 40
VRP Basic and Operation, file system
Работа с файловой системой
Для создания директории
Для удаления директории
Для удаления и переименование файла
Для удаления файла без возможности восстановления
Для восстановления файла
Для очистки «корзины»
Удаление файла с конфигурацией
Сброс сохранненой конфигурации
Узнать версию софта
display device slot
Работа с ftp
Подключиться по ftp
Подключиться по tftp
tftp x.x.x.x get example.zip
startup system-software example.zip
ip address x x x x xx
привязываем адрес loopback
Настройка ppp c
ppp authentication-mode chap
display pppoe-server session all
display nat server
diplay nat outbound
interface pool configuration
dhcp select interface
dhcp server dns-list x.x.x.x
dhcp server excluded-ip-address x.x.x.x
dhcp server lease day x
global pool configuration
ip pool pool1
network x.x.x.x mask xx
dhcp select global
sysname dhcp server
network 192.168.1.0 mask 255.255.255.0
ip address 10.10.10.1 255.255.255.252
sysname dhcp relay
dhcp-server 10.10.10.1 0
ip address 192.168.1.1 255.255.255.0
dhcp select relay
rule deny source x.x.x.x wildcard mask
rule permit source x.x.x.x wildcard mask
rule deny tcp source x.x.x.x wildcard mask destination x.x.x.x wildcard mask destination-port eq 21
acl aplication nat
nat address-group 1 x.x.x.x y.y.y.y
rule permit source z.z.z.z wildcard mask
nat outbound 2000 address-group 1
настраиваем способ аутентификации
создаем схему авторизации
создаем схему аутентификации
создаем домен и привязываем схемы аутентификации и авторизации
создаем пользователя в домене и указываем достпные сервисы и привилегии
Если оставить только telnet, то по консольному кабелю не будет доступа в случае аутентификации по AAA
display domain name huawei
Экcпорт маршрутизатор промышленный из стран Таможенного союза
Компания ЭкспортВ поможет разобраться с экспортом. Для примера вы можете узнать производителя — экспортера купить маршрутизатор промышленный оптом из России. Посчитать таможенные платежи, НДС доставку до Азии, Европы, США
