2024年4月11日发(作者:)

锐捷WALL 1600系列老防火墙

管理证书更新指导【命令行方式】

(V1.3)

第一章 背景说明

锐捷WALL 1600系列老防火墙的原管理证书已于2016年9月3日过期。过期后将无法通过

WEB(HTTPS)方式管理防火墙,命令行(SSH/TELNET/串口)的方式仍然可以正常管理。所

以超过9月3日后,就需要采用命令行方式更新防火墙证书。具体操作详见“命令行方式更

新指导”章节。

涉及的型号:

WALL120

WALL 160、160A/T/M/S/E

WALL 1600、1600A/T/M/S/E/P

特别说明:

1、涉及型号不在以上列表中无需更新(型号的数字、字母完全匹配),例如:WALL 1600-

SI、WALL 1600E-V等都无需更新。

2、管理证书过期仅影响WEB(HTTPS)的管理,其它防火墙功能不影响,正常使用。

3、由于WALL 60采用不一样的软件架构,同时产品生命周期已达10年,所以此次无新证

书更新。推荐您继续采用命令行管理方式。如需WEB方式管理,可临时将WALL 60的系统

时间和管理电脑时间调至2016年9月3日之前(命令范例:systime set 2015/9/1

18:50:00)。

第二章 获取最新的管理证书

版本、最新管理证书和命令行方式更新指导可通过锐捷官网获取。

下载链接:

/fw/rj/57193

所需的升级文件:

1、 防火墙证书更新版本:

,MD5:7163b0fe6ab8834dcc1852fd0294fd1b

2、 管理电脑新证书:

admin2015.p12,MD5:BC58478E37AD781B4EBEA5C857A18D3F

第三章 命令行方式更新指导

以下以SecureCRT工具(推荐此工具)、SSH登陆方式为例。当然采用TELNET或串口的方

式也是可以的;但需要注意采用TELNET方式,需要提前建立放通TELNET协议的安全策略才

可以登陆。

说明:

1、由于升级包仅13K,且升级后无需重启;所以可以采用外网环境登陆升级。如条件允许,

仍建议内网方式升级。

2、如SSH管理未打开,需要使用串口,通过以下命令打开:firewall>mngmode ssh on。

3、如果各网口的SSH、TELNET均没有开发,就必须使用串口方式进行升级。

步骤一:采用SecureCRT工具登陆防火墙

说明:防火墙默认用户名:admin,密码:firewall

步骤二:使用rcvfile命令传输版本文件:

注意:如果升级的防火墙版本为:Software Version: 5.21.10.2337,需要将pkg升级包文

件名改短,如:后再导入。

1、进入CLI界面, 输入rcvfile命令行,就会弹出zmodem的传输窗口,选择RG-WALL-

并添加。

添加后,pkg文件将出现在“欲发送的文件”窗口中,最后点击确定。

如果没有回显具体信息,可再输入rcvfile命令。此时将会确定传输的结果。操作日志如

下:

firewall>rcvfile

开始 zmodem 传输. 按 Ctrl+C 取消.

firewall>

firewall>

firewall>rcvfile

开始 zmodem 传输. 按 Ctrl+C 取消.

Transferring ...

100% 13 KB 13 KB/s 00:00:01 0 错误

?

firewall>

2、使用sysupdate命令升级软件版本,确认successed升级成功提示;

无需重启防

火墙。

firewall>sysupdate

Upgrade succeeded.

3、使用sysupdate disp命令查看升级记录;查看升级记录升级后版本号不变,并有升级

描述“Update System 20150115”。

firewall>sysupdate disp

Date Version Description

2016/09/03 17:28:11 5.2.12.0RGZ Update System 20150115

2013/01/23 11:37:39 5.2.12.0RGZ Update System 20130122

2012/12/03 15:13:27 5.2.12.0RGY Update System 20121126

2012/11/22 17:13:48 5.2.12.0RGX Update System 20121121

2012/11/07 01:59:51 5.2.12.0RGV Update System 20121102

2010/07/14 10:30:30 5.2.12.0RGF BUILD TIME: Wed Jul 14 10:30:30 CST 2010

步骤三:管理主机导入新管理证书

防火墙升级,需要使用新的管理证书才能登录防火墙。双击admin2015.p12文件,按向导

提示进行安装。注意选择本地计算机,证书密码为:123456。按默认选择下一步,下一步

完成导入。

步骤四、采用新证书管理防火墙

1、在电脑浏览器里输入X.X.X.X:6666;弹出证书后选择2015-2025年证书,如

下图,点击确定。

说明:新老证书可以并存。

2、点击继续浏览

3、输入用户名:admin,输入密码:firewall(默认)

第四章 常见问题

1、推荐IE8以下的浏览器,高版本的IE需要修改为兼容模式(见网上指导资料:

/article/);

2、如采用第三方浏览器,如遨游,同样需要修改为兼容模式(各浏览器切换指导资料:

/orderking/subsystem_salesmanage/public/

);

3、WIN 10操作系统浏览器默认关闭SSL 2.0和3.0,需要手工启用,操作路径:Internet选

型>>高级

说明:如是WALL 60的管理,建议取消TLS 1.0/1.1/1.2。

4、该系列防火墙默认出厂管理配置如下:

 管理口为MGT口,或为最左、右边的电口;默认管理IP:192.168.10.100

 默认管理主机(电脑)IP:192.168.10.200,未启用“管理主机不受限”,其它的管理

IP是无法管理的。

 管理HTTPS(WEB)端口:6666,默认管理链接:192.168.10.100:6666

 串口波特率:9600,串口各选项配置如下。注意不要勾选任何“流控制”选项。

 默认用户名和密码:admin、firewall

5、启用某IP的的管理功能

防火墙默认只有MGT口开启了管理功能,也可将其他接口开启管理功能,方便管理。

配置步骤:菜单>>网络管理>>接口IP>>编辑,勾选用于管理

6、串口命令行下快速启用“管理主机不受限、允许多人管理”,便于快速登录设备管理。

 管理主机不受限的作用:任意的IP地址都可以管理防火墙;但会降低一定的管理

安全性。

启用的命令:firewall>mnghost limitless on

 允许多人管理的作用:允许多个管理员同时管理,如串口、WEB同时管理。

启用的命令:firewall>mngacct multi on

7、密码恢复

密码丢失的处理方法:通过console口或telnet/SSH,在命令行下输入

用户名:rescue 、密码:rescue

设置新的密码,再用新密码进入即可。(配置不会丢失。)

8、管理员解锁

防火墙的管理员密码输入三次错误后账号将被锁定,此时需要解锁后才能继续管理。

方法1.重启防火墙

方法2.使用console线登陆

输入用户名密码,此用户名密码与web登陆的密码一致。(若确实是忘记密码,请先进

行密码恢复操作)

如下图所示,在RG-WALL160M>后输入:mngacct unlock admin ,回车后,无需重启,

直接在web上用正确的密码登陆即可。