2023年12月29日发(作者:)
防火墙用户手册
USG6550防火墙
用户手册
i / 51
防火墙用户手册
目 录
前 言 ................................................................................................................... 错误!未定义书签。
1 查看类 .............................................................................................................................................. 1
1.1 查看设备运行状态 ..................................................................................................................................................... 1
1.2 查看接口流量 ............................................................................................................................................................. 6
1.3 查看ESN和系列号(USG6000) ............................................................................................................................... 10
1.4 查看ESN和系列号(USG9500) ............................................................................................................................... 11
1.5 查看光模块信息 ....................................................................................................................................................... 12
1.6 查看会话表 ............................................................................................................................................................... 13
1.7 查看日志 ................................................................................................................................................................... 16
1.8 查看报表 ................................................................................................................................................................... 17
1.9 查看VPN状态 ......................................................................................................................................................... 18
2 配置类 ............................................................................................................................................ 21
2.1 创建新的管理员 ....................................................................................................................................................... 21
2.2 修改管理员密码 ....................................................................................................................................................... 23
2.3 修改Web服务端口号 .............................................................................................................................................. 24
2.4 更新License .............................................................................................................................................................. 24
2.5 备份配置文件 ........................................................................................................................................................... 27
2.6 配置IP-MAC绑定 ................................................................................................................................................... 28
2.7 配置NAT .................................................................................................................................................................. 29
3 故障类 ............................................................................................................................................ 33
3.1 恢复管理员密码 ....................................................................................................................................................... 33
3.2 恢复出厂配置 ........................................................................................................................................................... 34
3.3 恢复配置文件 ........................................................................................................................................................... 36
3.4 升级特征库 ............................................................................................................................................................... 37
3.5 升级系统软件 ........................................................................................................................................................... 44
3.6 采集故障信息 ........................................................................................................................................................... 44
4 附录 ................................................................................................................................................ 47
4.1 危险操作一览表 ....................................................................................................................................................... 47
ii / 51
防火墙用户手册
1
关于本章
1.1 查看设备运行状态
介绍查看设备运行状态的相关操作。
1.2 查看接口流量
介绍查看接口流量的相关操作。
1.3 查看ESN和系列号(USG6000)
通过display esn命令可以查看设备及各部件的ESN。
1.4 查看ESN和系列号(USG9500)
通过display esn命令可以查看设备及各部件的ESN。
1.5 查看光模块信息
通过display esn interface命令可以查看光模块信息。
1.6 查看会话表
查看类
会话表是设备转发报文的关键表项。所以当出现业务故障时,通常可以通过Web查看会话表信息,大致定位发生故障的模块或阶段。
1.7 查看日志
1.8 查看报表
介绍查看报表的相关操作。
1.9 查看VPN状态
1.1 查看设备运行状态
介绍查看设备运行状态的相关操作。
1 / 51
防火墙用户手册
通过Web方式查看设备部件状态
选择“面板 > 设备资源信息”,查看CPU使用率、内存使用率、CF卡使用率,如图1-1所示。
图1-1 设备资源信息
参数
CPU使用率
说明
以标度盘和百分比显示当前CPU的使用情况。当仪表盘指针移到黄色区域,表示当前CPU使用率达到预警状态。当仪表盘指针移到红色区域,表示当前CPU使用率达到警告状态。
CPU使用率代表当前设备处理业务的繁忙程度,如果CPU使用率一直居高不下,可能是设备处理能力达到极限,不满足当前网络的部署需求,建议更换高处理性能的设备。
内存使用率 以标度盘和百分比显示当前内存的使用情况。当仪表盘指针移到黄色区域,表示当前内存使用率达到预警状态。当仪表盘指针移到红色区域,表示当前内存使用率达到警告状态。
以标度盘和百分比显示当前CF卡的使用情况。当仪表盘指针移到黄色区域,表示当前CF卡使用率达到预警状态。当仪表盘指针移到红色区域,表示当前CF卡使用率达到警告状态。
在软件或特征库等升级前,请确定剩余空间大小是否可存放待升级的文件。如果空间不足,需要清理无用文件以保证存储空间满足新需要。
CF卡使用率
通过CLI方式查看设备部件状态
查看设备状态。通常在发现某单板运行不正常时查看该单板状态。
USG6380's Device status:
Slot Sub Type Online Power Register Status Role
2 / 51
防火墙用户手册
-------------------------------------------------------------------------------
0 - RPU Present PowerOn Registered Normal Master
1 - FIBA Present PowerOn Registered Normal NA
5 - PWR Present PowerOn Registered Normal NA
7 - FAN Present PowerOn Registered Normal NA
USG9560's Device status:
Slot # Type Online Register Status Primary
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 LPU Present Registered Normal NA
2 SPU Present Registered Normal NA
6 LPU Present Registered Normal NA
8 SPU Present Registered Normal NA
9 MPU Present NA Normal Master
10 MPU Present Registered Normal Slave
12 SFU Present Registered Normal NA
13 SFU Present Registered Normal NA
14 CLK Present Registered Normal Master
15 CLK Present Registered Normal Slave
16 PWR Present Registered Abnormal NA
17 PWR Present Registered Normal NA
18 FAN Present Registered Normal NA
19 FAN Present Registered Normal NA
项目
Slot
Sub
Type
Online
描述
当前在位设备的槽位号
子卡槽位号
设备类型
设备是否在线
Present表示设备在线
Absent表示设备不在线
Power
设备是否上电
PowerOn表示设备上电
PowerOff表示设备下电
Register
Status
Primary
Role
设备是否注册成功,NA表示FW启动必须运行的设备,没有这些设备FW就不能启动
设备的状态
当前设备是否有备份设备,NA表示该设备没有主备之分
其中Status状态为Abnormal说明状态异常。可能的故障原因为:
1. 设备的该槽位不支持这种接口卡。
2. 接口卡损坏。
3 / 51
防火墙用户手册
3. 背板或主板上的插针损坏,如不正确的单板安装方式导致插针倾斜。
4. 如果是FAN状态为Abnormal,则可能为风扇故障或不在位。
查看设备的健康检查信息
用户在任意视图下执行命令display health命令查看设备的健康检查信息,包括CPU占用率和内存占用率。
# 显示USG9500单板的健康检查信息。
Slot CPU Usage Memory Usage(Used/Total) Simulate CPU
-----------------------------------------------------------------------
9 MPU(Master) 10% 51% 907MB/1746MB None
1 LPU 14% 18% 384MB/2099MB None
2 SPU-CPU0 65% 16% 84MB/500MB 0%
2 SPU-CPU1 64% 16% 84MB/500MB 0%
2 SPU-CPU2 64% 16% 84MB/500MB 0%
2 SPU-CPU3 64% 16% 84MB/500MB 0%
2 SPU-CPU6 2% 15% 61MB/398MB None
6 LPU 16% 18% 386MB/2099MB None
8 SPU-CPU2 65% 16% 84MB/500MB 0%
8 SPU-CPU3 62% 16% 84MB/500MB 0%
8 SPU-CPU6 2% 15% 60MB/398MB None
10 MPU(Slave) 4% 24% 870MB/3602MB None
-----------------------------------------------------------------------
SPU CPU Average Utilization: Management 64% Dateplane 3 %
表1-1 display health命令的输出信息描述
项目
Slot
描述
单板槽位号。
display health verbose命令可以显示从核CPU利用率使用情况。例如
LPU(VCPU0)为多核0号,(VCPU1)为多核1号,以此类推
LPU为单核
CPU Usage
Memory Usage (Used/Total)
CPU利用率。
所有注册状态板的内存使用情况。
Total:单板上当前可用的内存。
Used:单板上可用内存中已经被占用的内存。
# 显示USG6000的健康检查信息。
-------------------------------------------------------------------------------
Slot Card Sensor SensorName Status Current(V) Lower(V) Upper(V)
-------------------------------------------------------------------------------
4 / 51
防火墙用户手册
0 - 0 1.1V_CORE Normal 1.1000 1.0400 1.1500
- 1 3.3V Normal 3.3000 3.1200 3.4500
- 2 2.5V Normal 2.5200 2.3700 2.6100
- 3 1.5V Normal 1.4900 1.4200 1.5700
- 4 1.1V Normal 1.0900 1.0400 1.1500
- 5 0.75V_DDR Normal 0.7400 0.7100 0.7800
- 6 12V Normal 11.8800 11.4000 12.6000
1 - 0 5.0V Normal 4.9500 4.7400 5.2500
- 1 2.5V Normal 2.5000 2.3600 2.6200
- 2 1.0V Normal 0.9900 0.9500 1.0500
- 3 1.8V Normal 1.7800 1.7100 1.8900
- 4 0.9V Normal 0.9000 0.8500 0.9400
- 5 3.3V Normal 3.2800 3.1200 3.4600
- 6 12V Normal 11.9400 11.4000 12.6000
---------------------------------------------------------------
Slot Card Sensor Status Current(C) Lower(C) Upper(C)
---------------------------------------------------------------
0 - 0 Normal 36 0 63
- 1 Normal 51 0 90
1 - 0 Normal 31 0 63
--------------------------------------------------------------------------
PowerID Online Mode State Current(A) Voltage(V) RealPwr(W)
--------------------------------------------------------------------------
5 Present AC Supply 14.2 12 170
6 Absent - - - - -
-------------------------------------------------------------------------------
FanID FanNum Online Register Speed Mode Airflow
-------------------------------------------------------------------------------
FAN0 [3] Present Registered 1 (6880 ) AUTO Left-to-Right
FAN1 [2] Present Registered 1 (6880 ) AUTO Left-to-Right
System Memory Usage Information:
System memory usage at 2015-03-26 16:25:01
-------------------------------------------------------------------------------
Slot Total Memory(MB) Used Memory(MB) Used Percentage Upper Limit
-------------------------------------------------------------------------------
0 3789 2265 59% 95%
-------------------------------------------------------------------------------
System CPU Usage Information:
System cpu usage at 2015-03-26 16:25:01
-------------------------------------------------------------------------------
Slot CPU Usage Upper Limit
-------------------------------------------------------------------------------
0 32% 80%
-------------------------------------------------------------------------------
Disk Usage Information:
System disk usage at 2015-03-26 16:25:02
-------------------------------------------------------------------------------
Slot Device Total Memory(MB) Used Memory(MB) Used Percentage
-------------------------------------------------------------------------------
0 hda1: 1172 725 61%
-------------------------------------------------------------------------------
5 / 51
防火墙用户手册
1.2 查看接口流量
介绍查看接口流量的相关操作。
通过Web方式查看接口流量
选择“面板 > 设备状态图”,将鼠标光标停留在某接口上,可查看该接口的详细信息,如图1-2所示。单击“刷新”后能够查看到接口的最新信息。
图1-2 接口信息
参数
接口状态
说明
显示该接口的物理状态/链路状态。
Up/Line Up:接口物理/链路处于正常启动的状态。
Down/Line Down:接口物理层出现故障。
Administratively Down/Line Down:说明该接口已被禁用。
安全区域
IP地址/掩码
速率
显示该接口所在安全区域。
显示该接口的IP地址及子网掩码。
显示该接口的速率。
6 / 51
防火墙用户手册
参数
模式
输入/出流量
输入/出错包数
说明
显示接口的双工模式。
显示该接口接收/发送的流量大小。
显示该接口接收/发送的流量中的错包数。
通过CLI方式查看接口信息
该命令可以查看接口的IP地址、物理层及协议层状态、接口描述。下面以USG6370系列为例。
GigabitEthernet1/0/1 current state : UP
Line protocol current state : UP
GigabitEthernet1/0/1 current firewall zone : untrust
Description:Huawei, USG6370 Series, GigabitEthernet1/0/1 Interface
Route Port,The Maximum Transmit Unit is 1500 bytes, Hold timer is 10
Internet Address is 10.1.2.1/24
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101
Media type is twisted pair, loopback not set, promiscuous mode not set
100Mb/s-speed mode, full-duplex mode, link type is auto negotiation
Max-bandwidth : 100000 Kbps
Last physical up time : -
Last physical down time : 2015-05-07 20:33:13
Current system time: 2015-05-11 10:08:18
Last 300 seconds input rate 8 bytes/sec, 0 packets/sec
Last 300 seconds output rate 8 bytes/sec, 0 packets/sec
Input: 1149 packets, 99478 bytes
12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses
0 overruns, 0 runts, 0 jumbos, 0 FCS errors
0 length errors, 0 code errors, 0 align errors
0 fragment errors, 0 giants, 0 jabber errors
0 dribble condition detected, 0 other errors
Output: 1104 packets, 94646 bytes
7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses
0 underruns, 0 runts, 0 jumbos, 0 FCS errors
0 fragment errors, 0 giants, 0 jabber errors
0 collisions, 0 late collisions
0 ex. collisions, 0 deferred, * other errors
Input bandwidth utilization : 0%
Output bandwidth utilization : 0%
显示信息
GigabitEthernet1/0/1
current state : UP
说明
显示该接口的物理状态。
UP:接口物理层处于正常启动的状态。
DOWN:接口物理层出现故障。建议做如下检查:
−
−
线缆是否连接到正确的接口
使用speed命令修改了接口速率,且两端不一致。
7 / 51
防火墙用户手册
显示信息 说明
−
−
使用duplex命令修改了双工模式,且两端不一致。
更换连接线缆,确认是否线缆故障。
Administratively down:说明该接口下执行了shutdown命令,可以通过undo shutdown取消配置。
Line protocol current
state : UP
显示该接口的协议状态。
UP:接口的协议层正常启动。
DOWN:接口的链路或协议层出现故障。
UP (s):当逻辑接口状态为UP后。
GigabitEthernet1/0/1
current firewall zone :
untrust
Description :
Route Port
显示该接口所属安全区域。
Description后边显示该接口的Description信息,该信息可以使用description进行配置和修改。
说明该接口的端口类型为路由端口,如果显示为Switch
Port则说明为交换端口。端口类型可以使用portswitch命令进行切换。
接口的最大传输单元(MTU)。长度大于接口MTU的报文,将会被分片后再发送。如果IP报文内设置了不分片,大于接口MTU的报文会被丢弃。
通常在设备之间可以建立连接,但是无法传输数据(比如FTP可以登录但传输不了文件)时,检查接口MTU是否设置过小。
The Maximum Transmit
Unit is
Hold timer is
Internet Address is
报文的生命周期。报文如果在生命周期内没有被发送出去,则将被丢弃。
接口的IP地址和掩码,可以是静态配置或者通过DHCP等动态方式获取到的IP地址。如果没有IP地址则显示“Internet protocol processing : disabled”。
接口发送的Ethernet帧的格式。Ethernet_2为缺省的帧格式。Ethernet在接收帧时,可以识别如下几种帧格式:
IP Sending Frames'
Format is
Ethernet_2
Ethernet_SNAP
802.2
802.3
Hardware address is
Media type is twisted
pair
full-duplex mode
接口的硬件地址,即接口MAC地址。
显示线缆类型是双绞线。
显示该接口的双工模式是全双工。以太网两端的双工模式需要一致。
8 / 51
防火墙用户手册
显示信息
link type
Max-bandwidth
Last physical up time
Last physical down time
Current system time
Last 300 seconds
input/output
Input
说明
显示接口的双工模式为自协商模式,如果用户手工指定为half/full显示为force link。
接口可用的最大带宽是1000000Kbps,使用speed命令会影响显示的带宽。
接口上次状态为UP的时间。
接口上次状态为UDOWN的时间。
当前系统时间。
该接口最近5分钟的报文收发速率,可以观察到接口的近期报文发送统计,在发生故障的第一时间查看效果比较明显。
接收报文的统计信息。
unicasts:单播报文数。
broadcasts:广播报文数。
multicasts:组播报文数。
pauses:接收到Pause帧个数。
overruns:当接口的接收速率超过接收队列的处理能力时,设备丢弃的报文数。
runts:超短报文数。
jumbos:在jumbo使能的情况下,大于1518字节小于jumbo的最大长度的帧。
FCS errors:接收到长度正常,但CRC校验错误的帧的个数。
length errors:802.3以太网报文结构中,长度字段(length field)不在46至1500字节范围内的报文数。
code errors:编码错误的报文数。
align errors:对齐错误的报文数。
fragment errors:接收长度小于64字节,且CRC不正确的报文数。
giants:超长报文数。
jabber errors:大于1518字节的CRC错误报文数。
dribble condition detected:报文经过CRC校验后出现4bit数据的非正常报文数。
other errors:其他错误报文数和丢失报文数。
output
发送报文的统计信息。
unicasts:单播报文数。
broadcasts:广播报文数。
9 / 51
防火墙用户手册
显示信息 说明
multicasts:组播报文数。
pauses:发送Pause帧的个数。
underruns:当接口的发送速率超过了发送队列的处理能力,被丢弃的报文数。
runts:超短报文数。
jumbos:在jumbo使能的情况下,大于1518字节小于jumbo的最大长度的帧的个数。
FCS errors:发送CRC校验错误,长度正常的帧的个数。
fragment errors:发送长度小于64字节,且CRC不正确的报文数。
giants:超长报文数。
jabber errors:大于1518字节的CRC错误的报文数。
collisions:碰撞错误,发送报文的时候正好碰到冲突检测。
late collisions:后碰撞错误,发送报文时(还没有发送完毕),发生冲突检测。
ex. collisions:超期错误,一个报文因为发生超过16次碰撞仍然没有发送成功,报文丢弃。
deferred:延迟发送,发送的时候进行延迟,不包含碰撞错误。
other errors:其他错误报文数。
1.3 查看ESN和系列号(USG6000)
通过display esn命令可以查看设备及各部件的ESN。
查看设备ESN
用户可以通过查看设备的后面板获取设备ESN编号,以USG6306/6308/6330/6350/6360机型为例,ESN位置如图1-3所示。
图1-3 USG6306/6308/6330/6350/6360后面板
10 / 51
防火墙用户手册
# 查看USG6000的ESN。
ESN of master:210235G6QD2xxxxxxxx
1.4 查看ESN和系列号(USG9500)
通过display esn命令可以查看设备及各部件的ESN。
查看背板ESN
用户可以登录到设备在任意视图下执行命令display esn,查看设备的ESN编号。
ESN of master:210235G6QD10xxxxxxxx
其中210235G6QD10xxxxxxxx为背板的ESN编号。
查看设备部件ESN
用户在任意视图下执行命令display esn all,查看设备各部件的ESN编号。
Slot-Pic Type S/N P/N
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
1 LPU 21xxxxxxxx 0305xxxx
1 -1 ETH_24xGF_B_CARD 030PMN10xxxxxxxx 0303xxxx
2 SPU 210305G09Q10xxxxxxxx 0305xxxx
2 -0 SPU_CARD_TYPE_SPCB 210305G09S10xxxxxxxx 0305xxxx
2 -1 SPU_CARD_TYPE_SPCB 02G36N10xxxxxxxx 0302xxxx
6 -0 LAN_WAN_6x10GF_B_CARD 030QDE10xxxxxxxx 0303xxxx
6 -1 ETH_24xGF_B_CARD 030PMN10xxxxxxxx 0303xxxx
8 SPU 210305G09Q10xxxxxxxx 0305xxxx
8 -1 SPU_CARD_TYPE_SPCB 02G36N10xxxxxxxx 0302xxxx
9 MPU 030KSR10xxxxxxxx 0303xxxx
10 MPU 210305G08N10xxxxxxxx 0305xxxx
17 PWR 21021205606Txxxxxxxx 0212xxxx
18 FAN 21021205626Txxxxxxxx 0212xxxx
19 FAN 21021205626Txxxxxxxx 0212xxxx
/ BackPlane 210235G6QD10xxxxxxxx 0235xxxx
项目
Slot-Pic
描述
槽位号。
如为子卡,则增加显示子卡号,例如1-0表示1号槽位0号子卡。
Type
表示板卡类型。
如为子卡,则表示子卡类型。
11 / 51
防火墙用户手册
项目
S/N
P/N
描述
ESN编号信息。
ITEM编号信息。
1.5 查看光模块信息
通过display esn interface命令可以查看光模块信息。
用户在任意视图下执行命令display esn interface,查看USG6000各接口光模块的ESN编号。
Interface VendorName PN SN Date
Certified
GigabitEthernet1/0/4 huawei 3410xxxx PR31xxx 2014-01-17 YES
GigabitEthernet1/0/5 huawei 0231xxxx AD1342xxxxx 2013-10-23 YES
GigabitEthernet3/0/0 FINISAR CORP. FTLF1619xxxxx-HW PR7xxxx
2014-02-21 NO
GigabitEthernet3/0/1 HG GENUINE MXPD-xxxMD HA140xxxxxxxx
2014-02-08 NO
GigabitEthernet3/0/2 JDSU PLRXPLVCSxxxxHW CE06xxxxx 2014-02-08 NO
GigabitEthernet3/0/3 OCLARO,INC TRSxxxxEN-SP01 T14Dxxxxx
2014-04-10 NO
GigabitEthernet3/0/4 SOURCEPHOTONICS FTMxxxxCSL40GHW E5C20xxxxx
2014-04-14 NO
GigabitEthernet3/0/5 SumitomoElectric SPPxxxxZR-H1 42D710Nxxxxx
2014-02-12 NO
GigabitEthernet3/0/6 NEOPHOTONICS PTxxxx-51-EW-KHW A01146xxxxx
2014-01-24 NO
GigabitEthernet3/0/7 SOURCEPHOTONICS FTM-xxxxC-SL50G E4620xxxxx
2014-03-08 NO
用户在任意视图下执行命令display esn interface,查看USG9500各接口光模块的ESN编号。
Interface VendorName PN SN
Date
GigabitEthernet3/1/0 FINISAR CORP. FTLX1471Dxxxx-HW ASCxxxx
2014-12-19
GigabitEthernet3/1/4 AVAGO HBCU-xxxxR AN09xxxxx
D 2009-03-03
项目
Interface
描述
光模块所属接口。
12 / 51
防火墙用户手册
项目
VendorName
PN
SN
Date
Certified
描述
光模块制造商的名称。
光模块的产品编号。
光模块的ESN编号。
光模块的出厂日期。
标示该光模块是否为华为定制的。
“YES”表示是华为定制的,“VendorName”会显示为“HUAWEI”。
“NO”表示非华为定制的。针对该接口执行display interface命令时,显示信息中会有如下提示:
Note: The transceiver installed is not certified by Huawei
Enterprise Business Group
1.6 查看会话表
会话表是设备转发报文的关键表项。所以当出现业务故障时,通常可以通过Web查看会话表信息,大致定位发生故障的模块或阶段。
当某个业务发生问题,例如流量不通或者断断续续时,通过查看会话表可以得出以下信息:
如果该项业务已经建立了正确的会话表项,并且根据安全策略允许了该业务的转发。如果业务此时仍然不通,有以下几种可能原因:
−
−
−
−
−
−
出接口发生了硬件故障(例如接口卡损坏,网线接触不良等)
下行设备丢弃了相关报文
路由配置有错误
出接口发送的报文有错误
其他业务层面的丢包(例如带宽管理、攻击防范功能导致的丢包)
其他配置方面的问题
由于上游设备的问题或者是路由配置的问题,导致报文没有正确转发到FW上
设备上配置的安全策略不允许该报文的转发,例如安全策略动作被配置为“拒绝”,源IP被加入了黑名单等
入接口发生了硬件故障(例如接口卡损坏,网线接触不良等)
攻击防范方面,除黑名单之外,可能还有其他功能导致丢包
带宽管理功能可以限制会话数,当会话数超过阈值时,导致会话无法建立而直接丢包
如果该项业务没有建立会话表项,有以下几种可能原因:
−
−
−
−
−
13 / 51
防火墙用户手册
−
其他配置方面的问题
通过Web方式查看会话表的方法如下:
1. 选择“监控 > 会话表”。
2. 显示“会话表”界面,查看会话表信息。
会话表在某一时间段的显示如下:
单击“详细信息”对应的字段
协议
源虚拟系统/目的虚拟系统
源安全区域/目的安全区域
源地址/目的地址
NAT源地址/NAT目的地址
源端口/目的端口
NAT源端口/NAT目的端口
生命周期
剩余时间
出接口
出接口MAC地址
下一跳
安全策略
用户名
应用
通过命令行方式查看会话表的方法如下:
1. 执行命令system-view,进入系统视图。
2. 执行以下命令查看IPv4会话表信息。
−
,可以查看会话表的详细信息。具体字段含义如下:
含义
会话表的协议类型。
会话表的源虚拟系统和目的虚拟系统。
会话表的源安全区域/目的安全区域。
会话表的源IP地址/目的IP地址。
会话进行NAT转换后的源地址/目的地址。
会话表的源端口/目的端口。
会话进行NAT转换后的源端口/目的端口。
会话表总的存活时间。
会话表剩余的存活时间。
会话的出接口。
会话的出接口MAC地址。
会话的下一跳IP地址。
会话命中的安全策略。
会话表的用户名。
会话表的应用类型。
display firewall session table [ verbose ] [ all-systems | vsys vys-name ] [ source-zone source-zone | destination-zone destination-zone | { default-policy | policy
14 / 51
防火墙用户手册
policy-name } | source-cpe start-ipv6-address [ to end-ipv6-address ] | source
{ inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | destination-cpe start-ipv6-address [ to end-ipv6-address ] |
destination { inside start-ip-address [ to end-ip-address ] | global start-ip-address
[ to end-ip-address ] } | slot slot-id cpu cpu-id | protocol { id | tcp | udp | sctp |
icmp | ah | esp | gre } | application application-name | source-port { inside port-number | global port-number } | destination-port { inside port-number | global
port-number } | interface { interface-name | interface-type interface-number } |
service service-type | vlan vlan-id | created-in time | long-link | user user-name |
{ local | remote } ]
*
−
display firewall session table [ verbose ] session-id session-id
在双机热备的组网环境中,可以通过选择local或remote参数,按需要查看本端设备或对端设备的会话表信息。
由于通常情况下设备上的会话表数目很大,逐条查看非常困难。所以该条命令中提供多个参数可以选择需要查看的会话表的类型,有效利用这些参数可以减少查看会话表时显示的条目,缩短定位问题的时间。
在不使用verbose的情况下,会显示简要会话表项,格式如下:
Current Total Sessions : NUM
TYPE VPN:SRCVPN --> DSTVPN SRCIP --> DSTIP
在使用verbose的情况下,会显示详细会话表项,以USG6000为例,格式如下:
Current Total Sessions : NUM
TYPE VPN:SRCVPN --> DSTVPN ID: ID-NUMBER
Zone: SRCZONE--> DSTZONE Remote TTL: TOTALTIME Left: LEFTTIME
Interface: OUTINTERFACE Nexthop: IP-ADDRESS MAC: MACADDRESS
<-- packets:NUMBER bytes:BYTES --> packets:NUMBER bytes:BYTES
SRCIP --> DSTIP PolicyName: POLICYNAME
各个参数含义如表1-2所示。其中斜体参数会根据实际情况显示不同内容。
表1-2 会话表项参数含义
参数
TYPE
VPN:SRCVPN -->
DSTVPN
ID: ID-NUMBER
SRCIP --> DSTIP
含义
该会话的协议类型,可能出现的情况与display firewall
session table命令中的protocol参数的取值范围相同。
该会话的源VPN实例名称和目的VPN实例名称。
该会话的ID号。
该会话的源IP地址、源端口号、目的IP地址、目的端口号。
地址的格式是::porty],其中portx和porty分别是源和目的端口号。括号内为NAT转换后地址。如果没有进行NAT转换,则不显示括号内的内容。
Zone: SRCZONE-->
DSTZONE
Remote
该会话的源安全区域名称和目的安全区域名称。
双机热备场景下,当该会话是由主机备份过来的会话,会显15 / 51
防火墙用户手册
参数 含义
示此标记。
TTL: TOTALTIME
Left: LEFTTIME
Interface:
OUTINTERFACE
Nexthop: IP-ADDRESS
MAC:
MACADDRESS
会话表项总的存活时间。
会话表项剩余的存活时间。
报文出接口的接口号。
报文下一跳的IP地址。
报文下一跳的MAC地址。
<-- packets:NUMBER
收到的报文数统计以及字节数统计。
bytes:BYTES
--> packets:NUMBER
发送的报文数统计以及字节数统计。正常情况下应该与收到bytes:BYTES
的报文数以及字节数相同,如果变少,说明存在丢包的情况。
PolicyName:
POLICYNAME
3. 执行命令display firewall ipv6 session table [ verbose ] [ all-systems | vsys vsys ]
[ source-zone source-zone | destination-zone destination-zone| { default-policy | policy
policy-name } | source start-ipv6-address [ to end-ipv6-address ] | destination start-ipv6-address [ to end-ipv6-address ] | application application-type | protocol { id | tcp |
udp | icmp | ah | esp | gre } | service service-type | source-port port-number |
destination-port port-number | interface { interface-name | interface-type interface-number } | vlan vlan-id | created-in time | long-link | user user-name | { local | remote }
| slot slot-id cpu cpu-id]
*,查看IPv6会话表信息。
报文匹配的策略名称。
1.7 查看日志
无硬盘场景下查看日志
用户以系统管理员账号或审计管理员账号登录设备,仅可以在设备无硬盘时查看以下类型日志:
系统日志
业务日志
此外,还可以查看到设备产生的告警信息。
对于USG6650/6660/6670/6680,无论硬盘是否在位,均显示以上类型日志。
步骤 1 选择“监控 > 日志”。
16 / 51
防火墙用户手册
步骤 2 选择指定日志类型。
----结束
有硬盘场景下查看日志
用户以系统管理员账号登录设备,可以在设备有硬盘时查看以下类型日志:
流量日志
威胁日志
URL日志
内容日志
操作日志
用户活动日志
策略命中日志
邮件过滤日志
用户以审计管理员账号登录设备,还可以在设备有硬盘时查看审计日志。
USG9500仅支持上述日志中的流量日志。
对于USG6650/6660/6670/6680,无论硬盘是否在位,均显示以上类型日志。
仅审计管理员有权限查看审计日志。
步骤 1 选择“监控 > 日志”。
步骤 2 选择指定日志类型。
步骤 3 可选: 单击“导出”,将流量日志以CSV格式导出到管理员的PC中。
----结束
1.8 查看报表
介绍查看报表的相关操作。
背景信息
当管理员向FW提交查询某类别报表的请求时,日志系统将本地硬盘或内存中存储的对应类别日志数据进行统计分析和加工形成报表。
日志产生较多时,建议为设备配置硬盘,以免旧的日志被新的日志覆盖导致日志信息丢失。
FW支持的报表类别如下:
流量报表
威胁报表
URL报表
17 / 51
防火墙用户手册
策略命中报表
文件过滤报表
内容过滤报表
USG9500仅支持以上报表中的流量报表。
操作步骤
步骤 1 选择“监控 > 报表”。
步骤 2 选择报表类别。下面以“流量报表”为例。
对于USG6000:选择“源地址”、“目的地址”、“应用”、“应用类别”、“应用子类别”、“用户”、“源地区”、“目的地区”、“虚拟系统”、“地址类型”或“带宽策略”。
对于USG9500:选择“应用”、“应用类别”或“应用子类别”。
步骤 3 在“时间范围”复选框或“自定义”时间区域中选择需要查询的报表时间。
步骤 4 单击“查询”,显示不同维度的流量趋势和流量排行。
将鼠标置于流量趋势图中折线发生角度变化的点上,显示此点对应的时刻和维度的流量数值。
未识别的用户和应用信息不计入流量统计。
步骤 5 可选: 单击“导出”,可将流量报表以CSV格式导出到管理员PC中。
----结束
1.9 查看VPN状态
查看IPSec状态
通过Web方式查看IPSec状态:
1. 选择“网络 > IPSec > 监控”。
2. 在“IPSec监控列表”中将显示当前正在协商和已经协商成功的IPSec隧道列表。在列表中会显示每个隧道的名称、状态、本端地址、对端地址、算法、协商数据流、持续时间以及发送接受速率等信息。
通过CLI方式查看IPSec状态:
执行display ike sa查看IPSec隧道的建立的情况。
执行display ipsec sa查看IPSec隧道的详细情况。
执行display ipsec statistics查看IPSec报文的统计信息。
18 / 51
防火墙用户手册
查看L2TP状态
通过Web方式查看L2TP状态:
1. 选择“网络 > L2TP > 监控”。
2. 单击“刷新”,查看已建立的L2TP隧道信息如下。
参数
本地通道ID
对端通道ID
本端地址
对端地址
端口
会话数
对端名称
切断
说明
系统随机为本条隧道分配的ID号。与对端设备中的“对端通道ID”一致。
对端设备的隧道ID号。与对端设备中的“本端通道ID”一致。
本端建立隧道的IP地址。
隧道对端的IP地址。
隧道对端的UDP端口号。如果本端为LAC,则对端的UDP端口号为固定值1701。
此隧道上的会话数目。
对端的隧道名称。
手动断开隧道连接。
单击指定L2TP通道对应的,可断开该隧道的连接,同时清除该隧道上的所有控制连接与会话连接。
通过CLI方式查看L2TP状态:
执行display l2tp tunnel查看L2TP隧道信息。
执行display l2tp session查看IPSe会话信息。
执行display l2tp statistics查看L2TP报文的统计信息。
查看GRE状态
通过Web方式查看GRE状态:
1. 选择“网络 > GRE > 监控”。
2. 单击“刷新”,查看GRE隧道信息。
表1-3 监控GRE隧道信息参数说明
参数
【GRE报文转发统计解封装】
入报文数
说明
表示以下信息为通过GRE隧道解封装的报文的统计信息。
通过GRE隧道接收的报文数(报文如果被分片,分片后19 / 51
防火墙用户手册
参数 说明
的报文仍然算作一个报文)。
入字节数
入报文总数
版本信息错误数
隧道校验错误数
识别关键字错误数
【GRE报文转发统计加封装】
出报文数
出字节数
出报文错误数
GRE隧道嵌套错误
完成GRE封装并进行发送的报文数
通过GRE隧道接收的总字节数。
通过GRE隧道接收的报文总数(报文如果被分片,则按照分片后的数量进行统计)。
由于版本信息导致的错误数。
由于隧道校验和计算导致的错误数。
由于两端的隧道识别关键字不一致导致的错误数。
表示以下信息为通过GRE隧道加封装的报文的统计信息。
通过GRE隧道发送的报文数。
通过GRE隧道发送的总字节数。
发送失败的报文总数。
由于隧道嵌套导致的错误总数。
正确进行了GRE封装并正常发送的报文数。
20 / 51
防火墙用户手册
2
关于本章
2.1 创建新的管理员
介绍创建新的管理员的操作过程。
2.2 修改管理员密码
介绍修改管理员密码的操作过程。
2.3 修改Web服务端口号
介绍修改Web服务端口号的操作过程。
2.4 更新License
配置类
当设备上原有License到期后,需要重新申请、加载和激活新的License。
2.5 备份配置文件
为保证配置文件的安全性,请定期将设备的当前配置文件备份到管理员PC。
2.6 配置IP-MAC绑定
2.7 配置NAT
介绍配置NAT的操作过程。
2.1 创建新的管理员
介绍创建新的管理员的操作过程。
缺省情况下,FW上已经提供了系统管理员admin和审计管理员audit-admin,还可以根据实际需要创建新的管理员。
使用Web创建新的管理员
使用Web界面创建新的管理员的操作过程如下:
21 / 51
防火墙用户手册
1. (可选)新建管理员角色。
缺省情况下,FW上已经存在系统管理员system-admin角色、配置管理员device-admin角色、配置管理员(监控)device-admin(monitor)角色、审计管理员audit-admin角色。创建管理员时,可以直接把缺省的角色赋予管理员,也可以根据需要创建新的角色。
a. 选择“系统 > 管理员 > 管理员角色”。
b. 单击“新建”,创建新的角色。例如,创建名称为“service-admin”的角色,该角色对网络、策略和对象拥有读写权限,对其他配置项无权限。
名称
描述
权限控制项
策略、对象、网络
面板、监控、系统
c.
a.
单击“确定”。
选择“系统 > 管理员 > 管理员”。
读写
无
service-admin
policy_object_network_readwrite_and_other_modules_none
2. 新建管理员。
b. 单击“新建”,创建新的管理员。例如,创建名称为“webadmin”的管理员,密码为“Myadmin@123”,并为该管理员赋予“service-admin”角色。
用户名
认证类型
密码
角色
信任主机
高级
服务类型
c. 单击“确定”。
WEB
webadmin
本地认证
Myadmin@123
service-admin
10.3.0.0/24
配置完成后,管理员使用“webadmin”和密码“Myadmin@123”,可以登录Web界面。
使用CLI创建新的管理员
使用CLI命令行创建新的管理员的操作过程如下:
1. 为管理员配置信任主机。
22 / 51
防火墙用户手册
[FW] acl 2001
[FW-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
[FW-acl-basic-2001] quit
2. (可选)新建管理员角色。
缺省情况下,FW上已经存在系统管理员system-admin角色、配置管理员device-admin角色、配置管理员(监控)device-admin(monitor)角色、审计管理员audit-admin角色。创建管理员时,可以直接把缺省的角色赋予管理员,也可以根据需要创建新的角色。
3. 新建管理员。
例如,创建名称为“vtyadmin”的管理员,密码为“Myadmin@123”,并为该管理员赋予缺省的“system-admin”角色。
[FW] aaa
[FW-aaa] manager-user vtyadmin
[FW-aaa-manager-user-vtyadmin] password
Enter Password:
Confirm Password:
[FW-aaa-manager-user-vtyadmin] service-type telnet
[FW-aaa-manager-user-vtyadmin] acl-number 2001
[FW-aaa-manager-user-vtyadmin] quit
[FW-aaa] bind manager-user vtyadmin role system-admin
[FW-aaa] quit
配置完成后,管理员使用“vtyadmin”和密码“Myadmin@123”,可以登录CLI命令行。
2.2 修改管理员密码
介绍修改管理员密码的操作过程。
为了保证账号的安全,要求管理员必须定期修改自己账号的密码。管理员修改密码的操作如下:
Please input current password: //输入旧密码
Please input new password: //输入新密码
Please confirm new password: //再次输入新密码
Info: Your password has been changed. Save the change to survive a reboot.
另外,FW提供了密码修改功能。开启密码修改功能后,当管理员登录FW时,FW会根据管理员以及密码的状态,提示进行相应的操作:
当该管理员账号在开启密码修改功能后初次登录时,FW会提示该管理员必须修改密码,然后才能登录成功。
当该管理员的密码有效期小于等于10天时,FW会提示密码将要过期,管理员可以选择修改密码或者不修改密码。
当该管理员的密码已过期时,FW会提示该管理员必须修改密码,然后才能登录成功。
开启密码修改功能,并配置密码有效期为60天的操作如下:
23 / 51
防火墙用户手册
[FW] aaa
[FW-aaa] manager-user password-modify enable
[FW-aaa] manager-user password valid-days 60
2.3 修改Web服务端口号
介绍修改Web服务端口号的操作过程。
缺省情况下,FW打开了80端口和8443端口,当管理员使用Web浏览器访问80端口时,FW会自动将管理员的访问重定向到8443端口,使管理员通过HTTPS方式登录。
FW支持修改HTTP和HTTPS的端口号。
修改HTTP端口号
修改HTTP端口号的操作过程如下:
[FW] undo web-manager enable
Disable http server successfully !
[FW] web-manager enable port 8888
Enable http server successfully !
配置完成后,管理员使用Web浏览器访问8888端口(),FW会自动将管理员的访问重定向到HTTPS使用的端口,使管理员通过HTTPS方式登录。
修改HTTPS端口号
修改HTTPS端口号的操作过程如下:
[FW] undo web-manager security enable
Disable http security-server successfully !
[FW] web-manager security enable port 9999
Enable http security-server successfully !
配置完成后,管理员使用Web浏览器访问9999端口(),即可通过HTTPS方式登录FW。
2.4 更新License
当设备上原有License到期后,需要重新申请、加载和激活新的License。
通过Web方式手动激活License
续购License后,您获得了License授权证书,还需申请License文件(*.dat)才能使用受License控制的功能。License文件必须以“.dat”作为扩展名,不支持中文。
1. 获取激活密码。
24 / 51
防火墙用户手册
在发货附件中找到License授权证书,并获取激活密码(Activation Password),如图2-1所示。
License授权证书以纸面件(A4大小)或CD件的方式随产品一起提供给客户。
图2-1 License授权证书
2. 获取设备序列号ESN(Equipment Serial Number)。
登录到设备后,选择“面板”,在“系统信息”中的“设备序列号”中获得。
3. 通过License自助服务系统获取License文件。
请登录,然后按照系统帮助或者提示信息获取License文件。
如果为多台设备申请License,请确保每台设备的激活密码与ESN一一对应。
如果您无法及时获取到License文件,请联系客户服务处理,电话为400-822-9999。
4. 对于因扩容或新增使用受License控制的其他功能,需要再次获取License文件。请仍然按照上述步骤操作。
License中心会自动将原有License与新增特性的License合并,生成一个新License文件。
5. 登录Web界面,选择“系统 > License管理”。
6. 在“License激活方式”中选择“本地手动激活”。
7. 单击“浏览”,选择待上传的License文件。
8. 单击“激活”,激活当前License文件。
通过Web方式自动激活License
USG9500不支持在线自动激活License。
在线自动激活过程无需申请License文件(*.dat)。
在线自动激活需要配置DNS服务器并开启DNS服务。
25 / 51
防火墙用户手册
1. 获取授权编码。
在发货附件中找到License授权证书,并获取激活密码(Activation Password),如图2-1所示。
License授权证书以纸面件(A4大小)或CD件的方式随产品一起提供给客户。
2. 登录Web界面,选择“系统 > License管理”。
3. 在“License激活方式”中选择“在线自动激活”。
4. 依次输入“License中心域名”和“License授权编码”。
License中心域名为。
License授权编码:请填写License授权证书上的授权编码。
5. 单击“激活”,设备自动激活License。
通过命令行方式激活License
1. 获取激活密码(Activation Password)。
在发货附件中找到License授权证书,并获取激活密码,如图2-1所示。
License授权证书以纸面件(A4大小)或CD件的方式随产品一起提供给客户。
2. 获取ESN。
登录到设备后在任意视图下执行命令display esn获得。
USG9500支持使用主控板ESN和背板ESN申请License。推荐使用背板ESN申请License。使用display esn命令可查询背板ESN。
3. 通过License自助服务系统获取License文件。
请登录,然后按照系统帮助或者提示信息获取License文件。
如果为多台设备申请License,请确保每台设备的激活密码与ESN一一对应。
如果您无法及时获取到License文件,请联系客户服务处理,电话为400-822-9999。
4. 对于因扩容或新增使用受License控制的其他功能,需要再次获取License文件。请仍然按照上述步骤操作。
License中心会自动将原有License与新增特性的License合并,生成一个新License文件。
5. 上传License文件。
a. 执行命令dir,查看是否有足够存储空间存放License文件。
如何上传License文件放入存储设备的根目录,请参见“传输文件”。
6. 激活License。
a. 执行命令system-view,进入系统视图。
激活License后,可以通过命令display license,查看License的信息。
b. 执行命令license active ,手动激活指定的License文件。
b. License文件后缀为*.dat,请存放于存储器的根目录下。
26 / 51
防火墙用户手册
2.5 备份配置文件
为保证配置文件的安全性,请定期将设备的当前配置文件备份到管理员PC。
背景信息
用户对设备所做的修改会即时生效,但不会自动保存到配置文件中,这些修改在设备断电后会丢失,所以在完成所有修改后请通过“系统 > 配置文件管理”保存配置或使用save命令保存配置。本节所做的备份工作针对的是配置文件。
前提条件
设备的当前配置正确且已保存。
维护周期
每周
操作方法-Web
1. 选择“系统 > 配置文件管理”。
2. 单击“当前配置”中的“导出”。
3. 单击“保存”,在终端上选择一个路径存放导出的配置文件。
操作方法-CLI
以设备作为为例,介绍如何备份配置文件。
鉴于SFTP协议比有更高的安全保证,建议采用SFTP进行文件传输。
1. 在PC上启动FTP服务器应用程序,设置好配置文件的存放路径、FTP服务器IP地址、端口号、FTP用户名和密码。
2. 配置设备的接口IP地址、接口安全区域及安全策略,确保与PC网络连通,可以正常使用FTP协议传输文件。
3. 登录FTP服务器。
Trying 10.110.24.254 ...
Press CTRL+K to abort
Connected to 10.110.24.254.
220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user //WFTPD为本地FTP服务器程序。
User(10.135.86.164:(none)):admin123 //输入用户名。
331 Give me your password, please
Enter password: //输入用户密码。
230 Logged in successfully
[ftp]
27 / 51
防火墙用户手册
4. 备份配置文件。
[ftp] put
200 Port command successful.
150 Opening data connection for .
226 ok
FTP: 1257 byte(s) sent in 0.03 second(s) 40.55Kbyte(s)/sec.
后续操作
将配置文件备份到用户PC后,请对比用户PC上配置文件大小是否与设备上一致。如果不一致,可能是在文件备份过程中出现异常,请重新备份。
2.6 配置IP-MAC绑定
通过Web方式配置IP-MAC绑定
1. 选择“策略 > 安全防护 > IP-MAC绑定”。
2. 在“配置IP-MAC地址绑定”界面中,开启地址绑定功能。
a. 选中“启用”对应的复选框。
b. 单击“应用”。
3. 在“IP-MAC地址绑定列表”界面中,配置MAC和IP地址绑定。
a. 单击“新建”。
b. 配置IP-MAC地址绑定的各参数。
IP地址 地址绑定关系中的IP地址。
当IP地址是目的IP地址时,主要指受保护的主机IP地址;当IP地址是源IP地址时,主要指发起连接的(可能是攻击)的主机IP地址,而且可能是虚假的IP地址。
多次配置同一IP地址到地址绑定关系中,后配置的表项覆盖原有表项。同一个MAC地址可以同多个不同的IP地址关联。
MAC地址 地址绑定关系中的MAC地址。
某IP地址的主机真实的MAC地址或任意指定的MAC地址。
VLAN ID
描述
4. 单击“应用”。
IP地址所属VLAN的编号。
IP-MAC地址绑定的描述信息。
28 / 51
防火墙用户手册
通过CLI方式配置IP-MAC绑定
1. 执行命令system-view,进入系统视图。
2. 执行命令firewall mac-binding enable,开启MAC和IP地址绑定功能。
只有开启地址绑定功能后,设备才会对报文进行IP地址和MAC地址绑定关系的比较,并对不符合绑定关系的报文进行过滤。
3. 配置IP和MAC绑定。
−
执行命令firewall mac-binding ip-address mac-address [ vpn-instance vpn-instance-name ] [ vid vlan-id ] [ description description-text ] ,在已知IP地址和MAC对应关系下手工建立绑定关系。
在接口上对指定的网段发起ARP探测并进行IP和MAC绑定。
−
仅USG6000支持该功能。
i. 执行命令interface interface-type interface-number,进入接口视图。支持本功能的接口必须是已经配置了IP地址的三层接口,包括:以太网接口及其子接口、Eth-Trunk接口及其子接口以及VLANIF接口。
系统默认打开免费ARP学习功能,系统自动匹配该接口IP地址对应的MAC地址。如需关闭,执行命令undo gratuitous-arp learn enable。
ii. 执行命令ip-address ip-address { mask | mask-length } [ sub ],配置接口的IP地址。
iii. 可选: 执行命令arp scan [ start-ip-address to end-ip-address ],开启地址解析协议ARP(Address Resolution Protocol)自动扫描的功能,对接口IP地址所在网段的所有IP地址发送ARP请求报文,学习相应的ARP表项。
仅USG6000支持该命令。
iv. 可选: 执行命令gratuitous-arp send enable [ interval time-interval ],通过接口定期向客户端发送免费ARP,可以更新主机的网关ARP表项,使得客户端ARP表项中记录的是正确的网关MAC地址。
v. 执行命令quit,返回系统视图。
vi. 执行命令firewall mac-binding interface interface-type interface-number,将该接口下所有动态ARP全部绑定。
用户也可根据实际情况将指定接口下的部分ARP绑定,通过display arp interface命令查看指定接口下的ARP表项,然后再执行命令firewall mac-binding将要绑定的ARP表项逐条进行绑定。
2.7 配置NAT
介绍配置NAT的操作过程。
如图2-2所示,某公司在网络边界处部署了FW作为安全网关。为了使私网中的Web服务器能够对外提供服务,需要在FW上配置NAT Server功能。另外,和Web服务器同在一个安全区域,并且IP地址同在一个网段的PC也需要访问Web服务器。由于公29 / 51
防火墙用户手册
司希望PC可以使用公网地址访问Web服务器,因此还需要在FW上配置源NAT功能。
除了公网接口的IP地址外,公司还向ISP申请了两个公网IP地址,其中1.1.1.10作为内网服务器对外提供服务的地址,1.1.1.11作为PC的地址转换后的公网地址。
图2-2 配置NAT组网图
使用Web配置NAT
使用Web配置NAT的操作过程如下:
此处仅给出了NAT的相关配置。
1. 选择“策略 > NAT策略 > 服务器映射”。
2. 单击“新建”,配置服务器映射(NAT Server)。
名称
公网地址
私网地址
指定协议
协议
公网端口
私网端口
3. 单击“确定”。
4. 选择“策略 > NAT策略 > 源NAT > NAT地址池”。
5. 单击“新建”,配置NAT地址池。
地址池名称
IP地址范围
允许端口地址转换
addressgroup1
1.1.1.11
选中
TCP
8080
80
policy_web
1.1.1.10
10.2.0.7
30 / 51
防火墙用户手册
6. 单击“确定”。
7. 选择“策略 > NAT策略 > 源NAT > 源NAT”。
8. 单击“新建”,配置NAT策略。
名称
NAT类型
源安全区域
目的类型
目的安全区域
转换前
源地址
转换后
转换方式
地址池
9. 单击“确定”。
配置完成后,Internet上的用户可以通过访问内部的Web服务器,PC也可以通过访问Web服务器。
地址池中的地址
addressgroup1
10.2.0.6/32
policy_nat1
NAT
dmz
目的安全区域
dmz
使用CLI配置NAT
使用CLI配置NAT的操作过程如下:
此处仅给出了NAT的相关配置。
1. 配置NAT Server。
[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7
www
2. 配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11
[FW-address-group-addressgroup1] quit
3. 配置NAT策略。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone dmz
[FW-policy-nat-rule-policy_nat1] destination-zone dmz
[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
31 / 51
防火墙用户手册
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
配置完成后,Internet上的用户可以通过访问内部的Web服务器,PC也可以通过访问Web服务器。
32 / 51
防火墙用户手册
3
关于本章
3.1 恢复管理员密码
介绍恢复管理员密码的操作过程。
3.2 恢复出厂配置
3.3 恢复配置文件
介绍恢复配置文件的操作过程。
3.4 升级特征库
故障类
恢复出厂配置可将配置信息恢复至出厂时的缺省配置。恢复出厂配置将导致当前配置丢失,操作前请确认是否需要备份配置。
介绍升级特征库的常用维护操作。升级特征库可以提升设备对入侵行为、病毒、应用识别、IP信誉、恶意域名和IP地址所属地区的检测能力和检测效率。
3.5 升级系统软件
管理员通过更换系统软件来升级设备,本节介绍升级系统软件的常用维护方法。
3.6 采集故障信息
介绍设备发生故障时,采集相关故障信息的方法。
3.1 恢复管理员密码
介绍恢复管理员密码的操作过程。
如果某个管理员遗忘了密码,可以使用其它高权限的管理员账号登录设备,然后修改密码。例如,管理员admin1的密码遗忘,此时可以由管理员admin登录设备,然后修改admin1的密码,操作过程如下:
[FW] aaa
[FW-aaa] manager-user admin1
33 / 51
防火墙用户手册
[FW-aaa-manager-user-admin1] password
Enter Password:
Confirm Password:
[FW-aaa-manager-user-admin1] quit
3.2 恢复出厂配置
恢复出厂配置可将配置信息恢复至出厂时的缺省配置。恢复出厂配置将导致当前配置丢失,操作前请确认是否需要备份配置。
通过“系统 > 配置文件管理”或display startup命令查看当前配置文件是否为。如果是,请确认是否需要另行备份,因为当恢复出厂配置后,设备会以出厂状态的启动,不会保存之前已经做过修改的。
登录设备恢复出厂配置-Web
仅USG6000和NGFW Module支持该功能。
1. 选择“系统 > 配置文件管理”。
2. 单击“恢复出厂配置”。
3. 可选: 备份当前配置。
a. 选中“备份配置文件”。
b. 在“文件名”中,输入备份配置文件的文件名(包括扩展名)。
4. 单击“确定”,设备以缺省配置重新启动。
登录设备恢复出厂配置-CLI
1. 可选: 保存当前配置文件。
The current configuration will be written to the device.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the
Save the configuration successfully.
2. 清除设备当前启动的配置文件。
The action will delete the saved configuration in the device.
The configuration will be erased to reconfigure. Continue? [Y/N]: y
3. 重启设备,无需保存当前配置。
System will reboot! Do you want to save the running configuration? [Y/N]:n
System will reboot! Continue? [Y/N]:y
之后设备会使用出厂时的缺省配置启动。
34 / 51
防火墙用户手册
登录BootROM菜单恢复出厂配置
仅USG6000和NGFW Module支持该功能。
1. 通过Console口连接设备。在设备启动过程中,看到提示信息Press Ctrl+B to
enter 3时按下Ctrl+B,输入BootROM密码(缺省值为O&m15213)后,进入扩展段BootROM主菜单。
“BootROM”在USG6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL中称为“BootLoader”。关键操作没有区别。
2. 选择<6> Reset Factory Configuration。
Press Ctrl+B to enter 3
Password:********
For the sake of security, please modify the original password.
====================< Extend Main Menu >====================
| <1> Boot System |
| <2> Set Startup Application Software and Configuration |
| <3> |
| <4> Load and |
| <5> Modify Bootrom Password |
| <6> Reset Factory Configuration |
| <0> Reboot |
| ---------------------------------------------------------|
| Press Ctrl+T to Enter Manufacture |
| Press Ctrl+Z to Enter |
============================================================
Enter your choice(0-6):6
无法登录设备时使用RST按钮恢复出厂配置
仅USG6000和NGFW Module支持该功能。而USG9500主控板上对应的RESET按钮只有复位设备的功能,并没有恢复出厂配置的功能。
当管理员配置错误导致无法登录FW时,可以使用面板上的RST按钮让设备使用缺省的配置完成启动。
1. 在FW没有上电前先按住面板上的RST按钮。
2. 将设备上电,等待大约3~5秒,当面板上的MODE或SYS指示灯出现闪烁时,松开RST按钮。
之后设备会使用出厂时的缺省配置启动。
35 / 51
防火墙用户手册
3.3 恢复配置文件
介绍恢复配置文件的操作过程。
前提条件
已备份过设备的配置文件。
维护周期
每周
操作方法-Web
以USG6000为例,USG9500分为主用主控板和备用主控板,操作方法基本相同。
1. 选择“系统 > 配置文件管理”。
2. 单击“选择”,显示“配置文件管理”界面。
3. 单击“上传”,显示“上传文件”界面。
4. 单击“浏览”,选择备份过的配置文件。
5. 单击“导入”,上传配置文件。
上传配置文件成功后,返回“配置文件管理”界面,对应文件显示在列表中。
6. 单击,将对应的配置文件设置为下次启动时的配置文件。
操作方法-CLI
以设备作为为例,介绍如何恢复配置文件。
鉴于SFTP协议比有更高的安全保证,建议采用SFTP进行文件传输。
1. 在PC上启动FTP服务器应用程序,设置好配置文件的存放路径、FTP服务器IP地址、端口号、FTP用户名和密码。
2. 配置设备的接口IP地址、接口安全区域及安全策略,确保与PC网络连通,可以正常使用FTP协议传输文件。
3. 登录FTP服务器。
Trying 10.110.24.254 ...
Press CTRL+K to abort
Connected to 10.110.24.254.
220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user //WFTPD为本地FTP服务器程序。
User(10.135.86.164:(none)):admin123 //输入用户名。
331 Give me your password, please
Enter password: //输入用户密码。
230 Logged in successfully
[ftp]
36 / 51
防火墙用户手册
4. 恢复配置文件。
[ftp] get
200 Port command successful.
150 Opening data connection for .
226 ok
FTP: 1257 byte(s) received in 0.03 second(s) 40.65Kbyte(s)/sec.
[ftp] bye
5. 激活配置文件。
Info: Succeeded in setting the configuration for booting system.
3.4 升级特征库
介绍升级特征库的常用维护操作。升级特征库可以提升设备对入侵行为、病毒、应用识别、IP信誉、恶意域名和IP地址所属地区的检测能力和检测效率。
前提条件
升级特征库前,请确认已购买并成功激活支持特征库升级服务的License。
升级特征库前,需要确认设备根目录的剩余空间是否满足条件。各特征库升级所需空间如下表所示。
空间
≥190MB
说明
USG6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL需要不少于10MB的空间。
USG6310/6320/6510-SJJ需要不少于50MB的空间。
特征库
反病毒特征库(AV-SDB)
恶意域名库
IP信誉库
≥10MB
≥80MB
说明
USG6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL与USG6310/6320/6510-SJJ不支持IP信誉库。
入侵防御特征库(IPS-SDB)
应用识别特征库(SA-SDB)
背景信息
≥30MB
≥10MB
37 / 51
防火墙用户手册
通过升级特征库,可以提升设备的检测能力和检测效率。FW支持对入侵防御特征库、反病毒特征库、应用识别特征库、IP信誉特征库和恶意域名特征库进行在线升级或本地升级,支持对地区识别特征库进行本地升级。
升级的场景如下:
1. 本地升级:管理员从安全中心平台()获取特征库文件,然后手动上传到FW上进行升级。
2. 在线升级:
−
−
直接升级:FW直接通过Internet连接安全中心平台进行升级。
通过代理服务器升级:FW通过代理服务器连接安全中心平台进行升级。
在线升级的方法有2种:
1. 定时升级:FW在每天的固定时间点升级特征库。管理员首次保存配置信息后,系统会自动设定一个随机的升级时间。
2. 立即升级:管理员可以在任意时间升级特征库,无需等到定时升级的固定时间点。
本地升级和在线升级均支持通过Web和CLI方式进行操作。
通过Web方式在线升级特征库
步骤 1 选择“系统 > 升级中心”。
步骤 2 单击“升级中心地址”。
步骤 3 在弹出的“升级服务器配置”窗口中配置升级中心地址。
参数
升级中心地址
说明
输入设备升级时需要访问的服务器地址,可以是IP地址或域名形式。默认采用通过华为安全中心平台升级,域名为。
说明
配置华为安全中心平台的域名后,必须配置DNS来解析域名,具体操作请参见配置DNS-Web。
如果采用通过其他升级服务器升级,则需要将服务器地址改为其他升级服务器的地址。
端口
源IP获取方式
服务器端口,默认为80。
指定升级请求报文源地址的获取方式。
自动获取:系统根据升级服务器的IP地址查找路由,并使用出接口的IP地址作为在线升级请求报文的源地址。
指定接口:该接口的IP地址和VPN实例将作为在线升级请求报文的源地址和VPN实例。
如果FW通过VPN实例连接外网,则该接口必须绑定相应的VPN实例名称,否则会导致升级失败。
38 / 51
防火墙用户手册
参数 说明
需注意的是指定接口并不一定是升级请求报文的出接口,系统发出升级请求报文时,都是通过查找路由决定出接口的。
指定源IP地址:手动输入在线升级请求报文的源地址,并确保FW可以收到响应报文。
如果FW通过VPN实例连接外网,则指定源IP地址后,必须在“CLI控制台”中配置命令update host
source ip ip-address vpn-instance vpn-instance,配置视图为系统视图。其中,ip-address为“指定源IP地址”中填写的值,vpn-instance为相应的VPN实例名称。
本项的使用说明如下:
指定接口不能绑定虚拟系统,否则会导致升级失败。
当接口下存在多个IP地址时,建议配置“指定源IP地址”。否则,可能无法正常在线升级。
本命令配置完成后,设备将在出接口所属的VPN实例内进行URL远程查询。
对于USG9500来说,管理口GigabitEthernet 0/0/0不能用于URL远程查询。所以使用USG9500的管理口进行升级时,URL远程查询功能不生效。
说明
通过代理服务器连接升级中心
地址
如果设备不能直接访问升级中心,可以勾选此项,配置代理服务器进行升级。
当设备不能通过Internet直接连接到升级中心时,可以通过代理服务器连接到升级中心进行升级。代理服务器地址可以是IP地址或域名形式。
说明
配置代理服务器的域名后,必须配置DNS来解析域名,具体操作请参见配置DNS-Web。
端口
用户名
密码
步骤 4 单击“确定”。
代理服务器的端口。
登录代理服务器的用户名和密码。
步骤 5 配置定时升级或立即升级特征库。
定时升级
a. 在待升级特征库所在行勾选“定时升级”复选框,开启定时升级。
b. 在待升级特征库所在行单击“定时升级时间”,设置定时升级的时间。
参数 说明
39 / 51
防火墙用户手册
参数
定时升级时间
说明
设置升级的周期和时间点。请根据网络的实际情况选择定时升级的时间,避免与实际业务抢占网络资源。
下面为各特征库升级时间的建议值,请根据网络的实际情况进行调整:
入侵防御特征库:每周升级一次
反病毒特征库:每天升级一次
应用识别特征库:每周升级一次
IP信誉特征库:每天升级一次
恶意域名特征库:每天升级一次
动作 设置下载特征库后的动作:
仅下载:设备定期下载特征库至指定路径,但不进行安装。
下载并安装:设备定期下载并安装特征库,您不需要再手动进行安装。缺省情况下,系统采用下载并安装的方式升级特征库。
c. 单击“确定”,完成定时升级时间的配置。
d. 当选择“下载并安装”时,升级成功后,可以看到“状态”为“在线升级成功”。同时“当前版本”显示为最新版本号,“上一版本”显示为升级前的版本号。
当选择“仅下载”时,“状态”显示为“下载成功”后,还需单击“立即安装”,状态显示为“加载成功”即表示升级成功。
如果状态显示为“正在升级重试,请稍候”,则表示特征库文件已下载到本地,但由于内存不足而没有安装成功,系统将定时尝试重新安装。
单击“重新安装”,可立即进行安装操作。
单击“终止升级”,可停止重试安装。如果状态显示为“系统内存不足,请稍后重试”,可稍等一段时间后单击“重新安装”。
定时升级的过程中,如果FW的正常业务受到影响,可以终止升级。等待网络环境改善后再启动特征库升级服务。
立即升级
a.
c.
单击待升级项对应的“立即升级”。
升级成功后,可以看到“状态”为“在线升级成功”。同时“当前版本”显示为最新版本号,“上一版本”显示为升级前的版本号。
如果状态显示为“系统内存不足,请稍后重试”,则表示特征库文件已下载到本地,但由于内存不足而没有安装成功,系统将定时尝试重新安装。
b. 单击“确定”。
单击“重新安装”,可立即进行安装操作。
单击“立即升级”,系统将删除已下载的特征库文件,并重新进行升级。
40 / 51
防火墙用户手册
立即升级的过程中,如果FW的正常业务受到影响,可以终止升级。等待网络环境改善后再启动特征库升级服务。
----结束
通过Web方式本地升级特征库
步骤 1 下载升级包。
反病毒特征库、应用识别特征库、恶意域名特征库、IP信誉特征库和入侵防御特征库:从安全中心平台()下载,具体下载升级包的步骤请参见安全中心平台的帮助。
各特征库在安全中心平台上的简称如下所示:
−
−
−
−
−
反病毒特征库:AV
应用识别特征库:SA
恶意域名特征库:CNC
IP信誉特征库:IPRPU
入侵防御特征库:IPS
地区识别特征库目前只支持本地升级。最新的地区识别特征库将不定期发布,您可以从安全中心平台()下载升级文件。特征库在安全中心平台上的简称为REGION。
步骤 2 选择“系统 > 升级中心”。
步骤 3 单击待升级项对应的“本地升级”。
步骤 4 单击“浏览”,选择要升级的文件包。
步骤 5 单击“升级”。
步骤 6 升级成功后,可以看到“状态”为“本地升级成功”。同时“当前版本”显示为最新版本号,“上一版本”显示为升级前的版本号。
----结束
通过CLI方式在线升级特征库
步骤 1 配置升级中心。
1. 执行命令system-view,进入系统视图。
2. 执行命令update server { domain domain-name | ip ip-address } [ port port-number ],配置升级中心的相关信息。
如果升级中心为安全中心平台,则其默认域名为“”。
配置升级中心的域名后,必须配置DNS来解析域名,具体操作请参见步骤3。
步骤 2 可选: 配置代理服务器。
FW通过代理服务器连接升级中心时需要执行此步骤。
1. 执行命令update proxy enable,开启特征库代理升级功能。
41 / 51
防火墙用户手册
2. 执行命令update proxy { domain domain-name | ip ip-address } [ port port-number ]
[ user user-name [ password password ] ],配置代理服务器的域名(或IP地址)和用户名及密码。
如果代理服务器配置了域名,则必须配置DNS来解析域名,具体操作请参见步骤3。
步骤 3 可选: 配置DNS服务器。
1. 执行命令dns resolve,启用DNS服务器的域名解析功能。
2. 执行命令dns server ip-address,配置DNS服务器的IP地址。
步骤 4 可选: 指定在线升级请求报文的源IP地址。
执行命令update host source interface-type interface-number,指定接口的IP地址和VPN实例作为在线升级请求报文的源地址和VPN实例。
执行命令update host source ip ip-address [ vpn-instance vpn-instance ],指定在线升级请求报文的源地址。
当管理员不指定在线升级请求报文的源IP地址时,系统将根据升级服务器的IP地址查找路由,并使用出接口的IP地址作为升级请求报文的源地址。
当接口下存在多个IP地址时,建议通过命令update host source ip ip-address直接指定升级请求报文的源地址,并确保FW可以收到响应报文。否则,可能无法正常在线升级。
如果FW通过VPN实例连接外网,则必须配置本命令,否则将导致升级失败:
当配置update host source interface-type interface-number时,该接口必须绑定相应的VPN实例名称。
当配置update host source ip ip-address时,必须配置vpn-instance vpn-instance。
本命令配置完成后,设备将在出接口所属的VPN实例内进行URL远程查询。
对于USG9500来说,管理口GigabitEthernet 0/0/0不能用于URL远程查询。所以使用USG9500的管理口进行升级时,URL远程查询功能不生效。
步骤 5 配置定时升级或立即升级特征库。
定时升级
a. 执行命令update schedule { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb }
enable,开启特征库定时升级功能。
update schedule [ { daily | weekly { Mon | Tue | Wed | Thu | Fri | Sat | Sun } }
time ]
update schedule { av-sdb | cnc | ips-sdb | sa-sdb } { daily | weekly { Mon | Tue |
Wed | Thu | Fri | Sat | Sun } } time
update schedule ip-reputation { hourly minute | { daily | weekly { Mon | Tue |
Wed | Thu | Fri | Sat | Sun } } time }
定时升级启动后,若因为网速太慢而影响FW的业务性能时,可以执行命令update abort终止特征库升级的操作。等待网络环境改善后再执行命令update online { av-sdb | cnc | ip-reputation |
ips-sdb | sa-sdb }继续下载最新版本的特征库。
b. 配置特征库定时升级的时间。
42 / 51
防火墙用户手册
c. 可选: 缺省情况下,系统下载特征库后会自动安装,管理员也可以设置为下载特征库后手动安装。
update confirm { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb } enable命令用来开启特征库安装确认功能。如果开启了此功能,则需要执行命令update
apply { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb }安装下载的特征库。
立即升级
a. 执行命令update online { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb },立即升级特征库。
立即升级启动后,若因为网速太慢而影响FW的业务性能时,可以执行命令update abort终止特征库升级的操作。等待网络环境改善后再继续下载最新版本的特征库。
b. 可选: 缺省情况下,系统下载特征库后会自动安装,管理员也可以设置为下载特征库后手动安装。
update confirm { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb } enable命令用来开启特征库安装确认功能。如果开启了此功能,则需要执行命令update
apply { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb }安装下载的特征库。
----结束
通过CLI方式本地升级特征库
步骤 1 下载升级包。
反病毒特征库、应用识别特征库、恶意域名特征库、IP信誉特征库和入侵防御特征库:从安全中心平台()下载,具体下载升级包的步骤请参见安全中心平台的帮助。
各特征库在安全中心平台上的简称如下所示:
−
−
−
−
−
反病毒特征库:AV
应用识别特征库:SA
恶意域名特征库:CNC
IP信誉特征库:IPRPU
入侵防御特征库:IPS
地区识别特征库目前只支持本地升级。最新的地区识别特征库将不定期发布,您可以从安全中心平台()下载升级文件。特征库在安全中心平台上的简称为REGION。
步骤 2 将升级包从PC上传到FW的指定目录。
特征库文件为.zip格式,无需解压缩,直接上传到FW即可。
步骤 3 执行命令system-view,进入系统视图。
步骤 4 执行命令update local { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb } file ,进行本地升级。
----结束
43 / 51
防火墙用户手册
3.5 升级系统软件
管理员通过更换系统软件来升级设备,本节介绍升级系统软件的常用维护方法。
背景信息
系统软件必须存放在设备的根目录下,其中:
USG9500的根目录为cfcard1,系统软件文件名以.cc作为扩展名。
USG6000的根目录为hda1,系统软件文件名以.bin作为扩展名。
通过Web方式升级系统软件
步骤 1 选择“系统 > 系统更新”。
步骤 2 单击“选择”,显示系统软件管理界面。
对于USG9500来说,需要分别单击“主用主控板”和“备用主控板”对应的“选择”,设置下次启动时使用的系统软件。
步骤 3 单击“上传”,显示“上传文件”界面。
步骤 4 单击“浏览”,选择待上传的系统软件。
步骤 5 单击“导入”,上传系统软件。
上传系统软件成功后,返回系统软件管理界面,对应文件显示在列表中。
步骤 6 单击,将当前文件设置为下次启动时的系统软件。当变为后,表示设置成功。
步骤 7 选择“系统 > 配置 > 系统重启”。
步骤 8 单击“保存并重启”或“重启”。设备重启后,升级后的系统软件生效。
----结束
通过CLI方式升级系统软件
步骤 1 在用户视图下执行命令startup system-software system-file [ slave-board ],配置设备下次启动时加载的系统软件。
可选参数slave-board只对采用双主控环境的USG9500有效。
步骤 2 执行命令display startup,查看系统当前使用和下次启动后使用的系统软件。
步骤 3 执行命令reboot,重新启动设备。
----结束
3.6 采集故障信息
介绍设备发生故障时,采集相关故障信息的方法。
44 / 51
防火墙用户手册
基本故障信息收集
发生故障时,需要收集故障时间、故障现象等基本故障信息。
需要采集的基础信息如表3-1所示。
表3-1 基本信息采集表
序号
1
2
3
4
5
6
使用命令行收集信息时,可以在控制台(Console口或Telnet终端)上将显示信息拷贝后,粘贴到文本文件中进行记录。
收集项
故障时间
故障现象
故障级别
软件版本
组网信息
已采取的措施
收集方法
记录发生故障的时间,精确到分钟。
收集故障现象并详细记录。
根据故障的范围和严重程度,按照故障定级标准,记录故障的级别。
在可以使用Telnet或Console口登录设备的情况下,在控制台使用display version命令进行收集。
画出组网图。主要包括上下行设备、对接接口等。
记录发生故障后已采取的措施和结果。
设备故障信息收集
需要收集的设备故障信息如表3-2所示。
表3-2 设备故障信息收集表
序号
1
2
3
4
5
6
7
8
9
收集项
设备信息
温度信息
CPU使用信息
路由表信息
日志信息
告警信息
配置信息
设备诊断信息
接口信息
收集方法
使用display device命令进行收集。
使用display temperature slot slot-id命令进行收集。
使用display cpu-usage命令进行收集。
使用display ip routing-table命令进行收集。
使用display logbuffer命令进行收集。
使用display trapbuffer命令进行收集。
使用display current-configuration命令进行收集。
使用display diagnostic-information命令进行收集。
使用display interface命令进行收集。
45 / 51
防火墙用户手册
序号
10
收集项
网络连通信息
收集方法
使用ping命令尝试连接各相邻节点,并记录结果。
在设备状态允许的情况下,建议使用T Protocol)或者FTP( Protocol)将CF卡中保存的历史告警信息和日志信息备份出来。
46 / 51
防火墙用户手册
4
关于本章
4.1 危险操作一览表
介绍在维护过程中,可能导致设备停止运行和业务中断的软硬件问题。
附录
4.1 危险操作一览表
介绍在维护过程中,可能导致设备停止运行和业务中断的软硬件问题。
硬件类危险操作
硬件类危险操作如表4-1所示。
表4-1 硬件类危险操作
操作大类 操作小类 误操作可能引起的后果
在线拔出主控板后,将导致相应模块的业务处理全部中断,使系统出现局部或全局业务阻塞。
当按下单板面板上的“RESET”按钮时,单板将被强行执行硬件复位,该操作仅能由有资质的维护人员在系统出现严重故障的情况下执行。
如果由于误操作按下主控板面板上的“RESET”按钮,将导致主控板复位,其后果与“在线拔出主控板”一样。
人体静电对单板上的电子器件具有很大的危害,维护人员在不戴防静电手腕的情况下拔插单板,很容易使单板遭受静电危害,从而损坏单板或使单板运行不稳定。
单板类操作 在线拔出主控板。
仅USG9500系列支持此类操作。
随意按下主控板面板上的“RESET”按钮。
仅USG9500系列支持此类操作。
在不戴防静电手腕的情况下拔插单板。
47 / 51
发布评论