目录
第1章系统维护管理 ............................................................................................................... 1-1
1.1 系统维护管理介绍 ............................................................................................................. 1-1
1.2 配置文件管理..................................................................................................................... 1-1
1.2.1 配置文件内容及格式............................................................................................... 1-1
1.2.2 查看防火墙的当前配置和起始配置 ......................................................................... 1-1
1.2.3 修改和保存当前配置............................................................................................... 1-2
1.2.4 擦除配置文件.......................................................................................................... 1-2
1.2.5 配置文件使用.......................................................................................................... 1-3
1.3 维护调试............................................................................................................................ 1-4
1.3.1 配置防火墙名称和系统时钟 .................................................................................... 1-4
1.3.2 正则表达式的使用................................................................................................... 1-4
1.3.3 系统状态信息收集................................................................................................... 1-7
1.3.4 网络连接的测试工具............................................................................................... 1-7
1.3.5 系统调试功能.......................................................................................................... 1-9
1.4 补丁软件升级................................................................................................................... 1-11
1.4.1 补丁软件升级........................................................................................................ 1-11
1.5 信息中心功能................................................................................................................... 1-12
1.5.1 信息中心简介........................................................................................................ 1-12
1.5.2 信息中心配置........................................................................................................ 1-12
1.5.3 显示终端的配置 .................................................................................................... 1-17
1.5.4 信息中心配置举例................................................................................................. 1-17
1.6 日志维护.......................................................................................................................... 1-19
1.6.1 日志简介 ............................................................................................................... 1-19
1.6.2 二进制流日志配置................................................................................................. 1-21
1.6.3 日志维护的显示和调试 ......................................................................................... 1-22
1.6.4 日志典型配置举例................................................................................................. 1-22
1.7 VPN Manager适配 .......................................................................................................... 1-25
1.7.1 VPN Manager简介................................................................................................ 1-25
1.7.2 Eudemon防火墙上的VPN Manager适配 ............................................................ 1-26第2章文件管理 ...................................................................................................................... 2-1
2.1 文件系统............................................................................................................................ 2-1
2.1.1 文件系统简介.......................................................................................................... 2-1
2.1.2 目录操作 ................................................................................................................. 2-1
2.1.3 文件操作 ................................................................................................................. 2-1
2.1.4 存储设备操作.......................................................................................................... 2-2
2.1.5 文件系统提示方式................................................................................................... 2-2
2.1.6 文件系统使用举例................................................................................................... 2-2
2.2 FTP配置............................................................................................................................ 2-3
2.2.1 FTP简介 ................................................................................................................. 2-3
2.2.2 FTP服务器配置....................................................................................................... 2-4
2.2.3 FTP服务器的显示和调试........................................................................................ 2-5
2.2.4 FTP连接典型举例................................................................................................... 2-5
2.3 TFTP配置.......................................................................................................................... 2-9
2.3.1 TFTP简介 ............................................................................................................... 2-9
2.3.2 TFTP协议配置........................................................................................................ 2-9
2.4 XModem协议配置 ........................................................................................................... 2-10
2.4.1 XModem协议简介................................................................................................. 2-10
2.4.2 XModem协议配置................................................................................................. 2-11第3章NTP配置 ..................................................................................................................... 3-1
3.1 NTP协议简介 .................................................................................................................... 3-1
3.2 NTP协议配置 .................................................................................................................... 3-2
3.2.1 配置NTP工作模式................................................................................................. 3-2
3.2.2 配置NTP身份验证功能.......................................................................................... 3-6
3.2.3 配置NTP验证密钥................................................................................................. 3-6
3.2.4 配置指定密钥是可信的 ........................................................................................... 3-7
3.2.5 配置本地发送NTP消息的接口............................................................................... 3-7
3.2.6 配置NTP主时钟 .................................................................................................... 3-7
3.2.7 配置禁止/允许接口接收NTP消息 .......................................................................... 3-8
3.2.8 配置对本地防火墙服务的访问控制权限.................................................................. 3-8
3.2.9 配置本地允许建立的sessions数目........................................................................ 3-9
3.3 NTP显示与调试................................................................................................................. 3-9
3.4 NTP典型配置举例 ........................................................................................................... 3-10
3.4.1 配置NTP服务器 .................................................................................................. 3-10
3.4.2 配置NTP对等体举例 ........................................................................................... 3-12
3.4.3 配置NTP广播模式............................................................................................... 3-13
3.4.4 配置NTP组播模式............................................................................................... 3-14
3.4.5 配置带身份验证的NTP服务器模式 ..................................................................... 3-16第4章SNMP配置 .................................................................................................................. 4-1
4.1 协议简介............................................................................................................................ 4-1
4.1.1 SNMP协议介绍....................................................................................................... 4-1
4.1.2 SNMP版本及支持的MIB ........................................................................................ 4-1
4.2 SNMP配置 ........................................................................................................................ 4-3
4.2.1 启动或关闭SNMP Agent服务................................................................................ 4-3
4.2.2 使能或禁止SNMP协议的相应版本........................................................................ 4-3
4.2.3 配置团体名(Community Name) ......................................................................... 4-4
4.2.4 配置/删除SNMP组 ................................................................................................ 4-4
4.2.5 添加/删除用户......................................................................................................... 4-5
4.2.6 配置管理员的标识及联系方法(sysContact) ....................................................... 4-5
4.2.7 允许/禁止发送Trap报文 ........................................................................................ 4-6
4.2.8 配置本地设备的引擎ID........................................................................................... 4-6
4.2.9 配置Trap目标主机的地址...................................................................................... 4-7
4.2.10 配置防火墙位置(sysLocation).......................................................................... 4-7
4.2.11 指定发送Trap的源地址 ....................................................................................... 4-7
4.2.12 视图信息配置........................................................................................................ 4-8
4.2.13 配置消息包的最大值............................................................................................. 4-8
4.2.14 配置Trap报文的消息队列的长度......................................................................... 4-8
4.2.15 配置Trap报文的保存时间.................................................................................... 4-9
4.3 SNMP显示和调试.............................................................................................................. 4-9
4.4 SNMP典型配置举例........................................................................................................ 4-10第5章RMON配置.................................................................................................................. 5-1
5.1 RMON简介........................................................................................................................ 5-1
5.2 RMON配置........................................................................................................................ 5-3
5.2.1 使能/禁止RMON接口统计..................................................................................... 5-3
5.2.2 统计表的配置.......................................................................................................... 5-3
5.2.3 历史控制表的配置................................................................................................... 5-4
5.2.4 事件表的配置.......................................................................................................... 5-4
5.2.5 告警表的配置.......................................................................................................... 5-5
5.2.6 扩展告警表的配置................................................................................................... 5-5
5.3 RMON显示和调试............................................................................................................. 5-6
5.4 RMON典型配置举例 ......................................................................................................... 5-7
5.5 RMON故障诊断与排除.................................................................................................... 5-10第6章RMON2配置................................................................................................................ 6-1
6.1 RMON2简介...................................................................................................................... 6-1
6.2 RMON2配置...................................................................................................................... 6-1
6.2.1 协议目录表的配置................................................................................................... 6-1
6.2.2 主机控制表的配置................................................................................................... 6-3
6.3 RMON2显示和调试........................................................................................................... 6-4
6.4 RMON2典型配置举例 ....................................................................................................... 6-4
6.5 RMON2故障诊断与排除.................................................................................................... 6-7
第1章系统维护管理
1.1 系统维护管理介绍
系统维护管理主要包括以下几项内容:
●配置文件管理
●系统状态信息的收集和维护调试简单工具的使用
●补丁升级管理
●系统信息中心的维护管理
●日志的维护和管理
1.2 配置文件管理
1.2.1 配置文件内容及格式
配置文件为一文本文件,其格式如下:
●以命令格式保存。
●为了节省空间,只保存非缺省的参数(各配置参数的缺省值请详见以后各章
节)。
●命令的组织以命令视图为基本框架,同一命令视图的命令组织在一起,形成一
节,节与节之间通常用空行或注释行隔开(以#开始的为注释行)。空行或注
释行可以是一行或多行。
●节的顺序安排通常为:全局配置、物理接口配置、逻辑接口配置、路由协议配
置等。
●以return为结束。
1.2.2 查看防火墙的当前配置和起始配置
防火墙上电时,从默认存储路径中读取配置文件进行防火墙的初始化工作,因此该
配置文件中的配置称为起始配置,如果默认存储路径中没有配置文件,则防火墙用
缺省参数初始化。与起始配置相对应,防火墙运行过程中正在生效的配置称为当前
配置。
请在所有视图下进行下列操作。
表1-1查看防火墙配置
说明:
配置文件的显示格式与保存格式相同。
1.2.3 修改和保存当前配置
用户通过命令行接口可以修改防火墙当前配置,为了使当前配置能够作为防火墙下
次上电时的起始配置,需要用save命令保存当前配置到默认存储设备中,形成配
置文件。
请在用户视图下进行下列操作。
表1-2保存当前配置
1.2.4 擦除配置文件
用reset saved-configuration命令可以擦除防火墙当前存储设备中的配置文件,
配置文件被擦除后,防火墙下次上电将采用缺省的配置参数进行初始化,在以下几
种情况时,需要擦除存储设备中的配置文件:
●在防火墙软件升级之后,可能会引起防火墙软件和配置文件不匹配。
●发现配置文件遭到破坏,如加载了错误的配置文件。
擦除配置文件后,可用save命令保存当前配置为新的配置文件。
请在用户视图下进行下列操作。
表1-3擦除存储设备中的配置文件
1.2.5 配置文件使用
1. 配置下次启动时的系统软件文件名
请在用户视图下进行下列配置。
表1-4配置下次启动时的系统软件文件名
缺省情况下,配置主控板下次启动时使用的系统软件文件名。
2. 配置下次启动时的配置文件名
请在用户视图下进行下列配置。
表1-5配置下次启动时的配置文件名
cfgfile是配置文件的文件名,其扩展名为.cfg或.zip,且存储于存储设备的根目录下。
3. 查看启动使用的文件信息
在完成上述配置后,在所有视图下执行display命令可以显示配置文件的运行情况,
通过查看显示信息验证配置的效果。
表1-6查看启动使用的文件信息
4. 比较配置文件
请在用户视图下进行下列操作。
表1-7比较配置文件
1.3 维护调试
1.3.1 配置防火墙名称和系统时钟
请在系统视图下进行sysname命令的操作。请在用户视图下进行clock命令的操
作。
表1-8系统基本配置及管理
1.3.2 正则表达式的使用
1. 正则表达式的介绍
正则表达式是一种可用于模式匹配和替换的工具,它的功能强大,使用也很灵活。
在实际应用中,正则表达式已经超出了某种语言或某个系统的局限,成为人们广为
接受的概念和功能。
在使用正则表达式时,用户需要根据一定的规则构建匹配模式,然后将匹配模式与
目标对象进行匹配。最简单的正则表达式不包含任何元字符,例如,可以规定一个
正则表达式hello,它只匹配字符串“hello”。
为帮助用户灵活地构建匹配模式,正则表达式提供了一些具有特殊含义的专用字符,
也称为“元字符”(metacharacter),用来规定其它字符在目标对象中的出现模式。
下表是对元字符的使用描述。
表1-9元字符描述
例如:
^ip:匹配以字符串“ip”开始的目标对象。
ip$:匹配以字符串“ip”结束的目标对象。
2. 正则表达式的使用
当有大量信息输出时,可以通过正则表达式来选择需要显示的内容,过滤掉不关心的内容。
(1) 在命令中指定过滤方式
进行过滤输出时,有三种类型的过滤可供选择,在支持正则表达式的命令中,这三种选择的表达方式为| { begin | exclude | include } regular-expression:
●begin:输出以匹配指定正则表达式的行开始的所有行。
●exclude:输出不匹配指定正则表达式的所有行。
●include:只输出匹配指定正则表达式的所有行。
(2) 在分屏显示时指定过滤方式
当输出的内容非常多,并采用分屏显示时,可以在分屏提示符“---- More ----”中指定过滤类型:
●/regular-expression:输出以匹配指定正则表达式的行开始的所有行。
●-regular-expression:输出不匹配指定正则表达式的所有行。
●+regular-expression:只输出匹配指定正则表达式的所有行。
例如:查看当前配置信息
#
sysname Eudemon
#
controller E3 0/1/0
e1 1 channel-set 1 timeslot-list 1-31
#
controller T3 1/1/0
#
interface Ethernet0/2/0
description Don't change the configuration please
ip address 10.110.98.137 255.255.255.0
#
interface Ethernet1/0/0
#
interface Ethernet1/2/0
#
interface Serial0/1/0/1:1
link-protocol ppp
ip address 100.110.1.1 255.255.255.0
#
interface Pos0/0/0
#
interface NULL0
当出现分屏提示符“---- More ----”时,用户可以手工输入正则表达式,对待显示的内容进行过滤,在本例中,指定只输出含有字符串“interface”的行:
---- More ----
+interface 由用户手工输入
filtering
interface LoopBack0
user-interface con 0
user-interface vty 0 14
1.3.3 系统状态信息收集
利用display命令可以收集系统状态信息,根据功能可以划分为以下几类:
●显示系统配置信息的命令
●显示系统运行状态的命令
有关各协议和各种接口的display命令请参见相关章节。下面只介绍一些有关系统
的display命令。
请在所有视图下进行下列操作。
表1-10系统display命令
1.3.4 网络连接的测试工具
1. ping
ping主要用于检查网络连接及主机是否可达。
请在所有视图下进行操作。
表1-11ping命令
各选项及参数意义详见命令参考手册ping命令章节。
命令执行结果输出包括:
●对每一ping报文的响应情况,如果超时到仍没有收到响应报文,则输出
“Request time out”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等。
●最后的统计信息,包括发送报文数、接收报文数、未响应报文百分比和响应时
间的最小、最大和平均值。
ping 202.38.160.244 : 56 data bytes, press CTRL-C to break
Reply from 202.38.160.244 : bytes=56 sequence=1 ttl=255 time = 1ms
Reply from 202.38.160.244 : bytes=56 sequence=2 ttl=255 time = 2ms
Reply from 202.38.160.244 : bytes=56 sequence=3 ttl=255 time = 1ms
Reply from 202.38.160.244 : bytes=56 sequence=4 ttl=255 time = 3ms
Reply from 202.38.160.244 : bytes=56 sequence=5 ttl=255 time = 2ms
--202.38.160.244 ping statistics--
5 packets transmitted
5 packets received
0% packet loss
round-trip min/avg/max = 1/2/3 ms
2. tracert
tracert用于测试数据包从发送主机到目的地所经过的网关,它主要用于检查网络连接是否可达,以及分析网络什么地方发生了故障。
tracert的执行过程是:首先发送一个TTL为1的数据包,因此第一跳发送回一个ICMP错误消息以指明此数据包不能被发送(因为TTL超时),之后此数据包被重新发送,TTL为2,同样第二跳返回TTL超时,这个过程不断进行,直到到达目的地。执行这些过程的目的是记录每一个ICMP TTL超时消息的源地址,以提供一个IP数据包到达目的地所经历的路径。
请在所有视图下进行下列操作。
表1-12tracert命令
该命令各选项及参数意义详见命令手册tracert命令章节。
下面是应用tracert分析网络情况的例子。
traceroute to https://www.sodocs.net/doc/6c7763905.html, (35.1.1.48), 30 hops max, 56 byte packet
1 https://www.sodocs.net/doc/6c7763905.html, (128.3.112.1) 19 ms 19 ms 0 ms
2 https://www.sodocs.net/doc/6c7763905.html, (128.32.216.1) 39 ms 39 ms 19 ms
3 https://www.sodocs.net/doc/6c7763905.html, (128.32.136.23) 39 ms 40 ms 39 ms
4 https://www.sodocs.net/doc/6c7763905.html, (128.32.168.22) 39 ms 39 ms 39 ms
5 128.32.197.4 (128.32.197.4) 40 ms 59 ms 59 ms
6 131.119.2.5 (131.119.2.5) 59 ms 59 ms 59 ms
7 129.140.70.13 (129.140.70.13) 99 ms 99 ms 80 ms
8 129.140.71.6 (129.140.71.6) 139 ms 239 ms 319 ms
9 129.140.81.7 (129.140.81.7) 220 ms 199 ms 199 ms
10 https://www.sodocs.net/doc/6c7763905.html, (35.1.1.48) 239 ms 239 ms 239 ms
从上面结果可以看出从源主机到目的地都经过了哪些网关,这对于网络分析是非常
有用的。
traceroute to https://www.sodocs.net/doc/6c7763905.html, (18.26.0.115), 30 hops max
1 https://www.sodocs.net/doc/6c7763905.html, (128.3.112.1) 0 ms 0 ms 0 ms
2 https://www.sodocs.net/doc/6c7763905.html, (128.32.216.1) 19 ms 19 ms 19 ms
3 https://www.sodocs.net/doc/6c7763905.html, (128.32.216.1) 39 ms 19 ms 19 ms
4 https://www.sodocs.net/doc/6c7763905.html, (128.32.136.23) 19 ms 39 ms 39 ms
5 https://www.sodocs.net/doc/6c7763905.html, (128.32.168.22) 20 ms 39 ms 39 ms
6 128.32.197.4 (128.32.197.4) 59 ms 119 ms 39 ms
7 131.119.2.5 (131.119.2.5) 59 ms 59 ms 39 ms
8 129.140.70.13 (129.140.70.13) 80 ms 79 ms 99 ms
9 129.140.71.6 (129.140.71.6) 139 ms 139 ms 159 ms
10 129.140.81.7 (129.140.81.7) 199 ms 180 ms 300 ms
11 129.140.72.17 (129.140.72.17) 300 ms 239 ms 239 ms
12 * * *
13 128.121.54.72 (128.121.54.72) 259 ms 499 ms 279 ms
14 * * *
15 * * *
16 * * *
17 * * *
18 https://www.sodocs.net/doc/6c7763905.html, (18.26.0.115) 339 ms 279 ms 279 ms
从上述结果中可以看出从源主机到目的主机经过了哪些网关,以及哪些网关出现了
故障。
1.3.5 系统调试功能
系统的命令行接口提供了种类丰富的调试功能,对于防火墙所支持的各种协议和功
能,基本上都提供了相应的调试功能,可以帮助用户对错误进行诊断和定位。
调试信息的输出可以由两个开关控制:
● 协议调试开关,控制是否输出某协议的调试信息。 ●
屏幕输出开关,控制是否在某个用户屏幕上输出调试信息。
二者关系如下图所示。
调试信息
协议调试开关
ON
OFF
ON
图1-1 调试信息输出示意图
可以在用户视图下执行debugging 和undo debugging 命令,在所有视图下执行display debugging 命令。打开显示终端的操作请参见“1.5.3 显示终端的配置”。
表1-13 调试开关的打开、关闭和显示
具体调试命令的使用和调试信息的格式介绍参见相关章节。 说明:
由于调试信息的输出会影响防火墙运行效率,请勿轻易打开调试开关,尤其慎用debugging all 命令,在调试结束后,应关闭全部调试开关。
1.4 补丁软件升级
1.4.1 补丁软件升级
1. 补丁软件升级的配置
当用户下载到新的补丁后,可以通过patch load命令将补丁加载到防火墙;可以通
过patch active和patch deactive命令使补丁处于活动、非活动状态;可以通过patch
delete命令删除一些不需要的补丁;可以通过patch run命令使防火墙运行该补丁。
请在系统视图下进行下列配置。
表1-14补丁软件升级
2. 补丁软件升级的显示
防火墙的flash中可能有多个补丁。当需要查看flash中的补丁信息时,可以通过如
下命令进行。
请在系统视图下进行下列配置。
表1-15补丁软件升级的显示
1.5 信息中心功能
1.5.1 信息中心简介
信息中心是防火墙主体软件中不可或缺的一部分,它作为防火墙的信息枢纽而存在。
信息中心接管大多数的信息输出,并且能够进行细致的分类,从而能够有效地进行
信息筛选。它通过与debug程序的结合,为网络管理员和开发人员监控网络运行情
况和诊断网络故障提供了强有力的支持。
系统的信息中心具有以下一些特性:
●信息中心共有三类信息:log类(日志类信息)、trap类(告警类信息)、debug
类(调试类信息)。
●信息按重要性划分为八种等级,可按等级进行信息过滤。
●系统支持十个通道,其中前六个通道(通道0~通道5)有缺省通道名,并且
这六个通道缺省的与六个输出方向相关联,可以通过命令改变通道名,也可以
改变通道与输出方向之间的关联。
●支持控制台(console)、Telnet终端和哑终端(monitor)、日志缓冲区
(logbuffer)、日志主机(loghost)、告警缓冲区(trapbuffer)、SNMP六
个方向的信息输出。
●系统由众多的协议模块、单板驱动程序、配置模块构成,信息可按来源模块进
行划分,可按模块进行信息过滤。
●信息在输出时可以进行中英文选择。
●每个信息的头部由固定的部分组成,包括时间戳、信息来源的模块、信息级别、
信息来源的槽号、信息摘要等。
总之,信息中心的主要工作就是将各种模块的三种类型的信息,按照八种重要程度,
根据用户的配置输出到十个信息通道中去,然后将这十个信息通道再定位到六个输
出方向上去。
1.5.2 信息中心配置
1. 开启/关闭信息中心的功能
请在系统视图下进行下列配置。
表1-16开启/关闭信息中心功能
说明:
信息中心缺省情况下处于开启状态。在信息中心开启时,由于信息分类、输出的原因,特别是在处理信息较多时,对系统性能有一定的影响。
2. 信息通道的命名
请在系统视图下进行下列配置。
表1-17信息通道的命名
channel-number是通道号,取值为0~9,即系统有10个通道。channel-name是通道名,最长为30个字符,首字符不能为数字,不支持“-”、“/”和“\”等字符。
通道0~5系统指定了缺省名,如下表:
表1-18通道的缺省名
3. 信息严重等级(severity)
信息中心按信息的严重等级或紧急程度划分为八个等级,在按等级来进行信息过滤时,采用的规则是:禁止严重等级大于所配置阈值的信息输出。越紧急的信息报文,其严重等级阈值越小,emergencies表示的等级为1,debugging为8。因此,当配置严重等级阈值为debugging时,所有的信息都会输出。
表1-19syslog定义的严重等级(severity)
# 配置将snmp通道中的IP协议模块的日志类信息打开,且允许严重等级阈值小于等于warning级别的信息输出。
[Eudemon] info-center source ip channel snmpagent log level warnings
4. 定义信息通道的内容
请在系统视图下进行下列配置。
表1-20定义信息通道的内容
module-name是模块名。default代表信息通道中的缺省记录。level配置信息级别,禁止信息级别大于所配置的severity的信息输出。severity是信息级别。channel-number是要配置的信息通道号。channel-name是要配置的信息通道名。
对每个信息通道设有一条缺省记录,它的模块名为default,但对于不同信息通道,此记录对日志、告警、调试类信息的缺省配置值可能不同。当某一个模块在此通道中没有明确的配置记录时,使用这条缺省的配置记录。
注意:
同时有多个Telnet用户或哑终端用户时,各个用户之间共享一些配置参数,其中包括按模块过滤配置,中英文选择,严重等级阈值,某一个用户改变这些配置时,在别的用户端也有所反映。
5. 信息的输出
目前,防火墙主体软件的信息中心可以在六个方向输出各种信息:
●通过Console口向本地控制台输出信息。
●向远程Telnet终端输出信息,此功能有助于远程维护。
●在防火墙内部分配适当大小的日志缓冲区,用于记录信息。
●配置日志主机,信息中心直接将信息发往日志主机,并在其上以文件的形式保
存起来,供随时查看。
●在防火墙内部分配适当大小的告警缓冲区,用于记录信息。
●向SNMP Agent输出信息。
每个输出方向通过配置命令指定所需要的通道,所有信息经过指定通道的过滤,发送到相应的输出方向;可根据需要配置输出方向所使用的通道,以及配置通道的过滤信息,完成各类信息的过滤以及重定向。
请在系统视图下进行下列配置。
表1-21输出信息
目前,系统对每个输出方向缺省分配一个信息通道,它们是
输出方向信息通道号缺省的信息通道名
控制台0 console
监视终端 1 monitor
日志主机 2 loghost
告警缓冲区 3 trapbuffer
日志缓冲区 4 logbuffer
snmp 5 snmpagent
说明:
六个输出方向的配置相互独立,但首先需要开启信息中心,配置才会生效。
6. 配置发送日志信息的源地址
请在系统视图下进行下列配置。
表1-22配置发送信息的源地址
1.5.3 显示终端的配置
显示终端的配置就是控制是否在某个用户屏幕上输出信息中心发送的
debug/log/trap信息。
请在用户视图下进行下列配置。
表1-23显示终端的配置
此命令只影响输入命令的当前终端的显示。
在undo terminal monitor(显示终端关闭)的情况下,相当于执行undo terminal
debugging,undo terminal logging,undo terminal trapping命令,所有的调
试/日志/告警信息在本终端都不显示;在terminal monitor为打开的情况下,可以
分别使用terminal debugging/undo terminal debugging,terminal
logging/undo terminal logging,terminal trapping/undo terminal trapping打
开或关闭调试/日志/告警信息。
1.5.4 信息中心配置举例
1. 控制台信息输出配置举例
# 开启信息系统。
[Eudemon] info-center enable
# 配置控制台日志输出,允许PPP模块的日志输出,严重等级限制为emergencies~
debugging。
[Eudemon] info-center console channel console
[Eudemon] info-center source ppp channel console log level debugging
# 打开PPP模块的调试开关
2. 向日志主机(UNIX工作站)输出日志信息配置举例
(1) 防火墙
(2) 侧配置如下
防火墙操作手册 ----USG6550(V100R001)
1.安装前的准备工作 在安装USG前,请充分了解需要注意的事项和遵循的要求,并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时,不当的操作可能会引起人身伤害或导致USG损坏,请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前,请检查安装环境是否符合要求,以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具,请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全,在安装、操作和维护设备时,请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项,并不代表所应遵守的所有安全事项,只作为所有安全注意事项的补充。 2)当地法规和规范
操作设备时,应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员,必须先经严格培训,了解各种安全注意事项,掌握正确的操作方法之后,方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件(包括软件)必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险,禁止将安全特低电压(SELV)电路端子连接到通讯网络电压(TNV)电路端子上。 禁止裸眼直视光纤出口,以防止激光束灼伤眼睛。 操作设备前,应穿防静电工作服,佩戴防静电手套和手腕,并去除首饰和手表等易导电物体,以免被电击或灼伤。 如果发生火灾,应撤离建筑物或设备区域并按下火警警铃,或者拨打火警电话。任何情况下,严禁再次进入燃烧的建筑物。
华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2 Telnet配置 配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。
[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit
Eudemon 200防火墙操作指导 本文网址:https://www.sodocs.net/doc/6c7763905.html,/152970 复制 Prepared by 拟制 赵强 Date 日期 2003/09/08 Reviewed by 评审人 Date 日期 Approved by 批准 Date 日期 Authorized by 签发 Date 日期 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究
(REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only)(REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用) Revision record 修订记录 Date 日期 Revision V ersion 修订 版本 CR ID / Defect ID CR号 Section Number 修改 章节 Change Description 修改描述 Author 作者 2003-09-10 1.00 initial 初稿完成 赵强 Distribution List 分发记录 Copy No. Holder's Name & Role 持有者和角色 Issue Date 分发日期 1 yyyy-mm-dd
Catalog 目录 1 Introduction 简介 (7) 1.1 目的 (7) 1.2 范围 (7) 1.3 发布对象 (7) 2 Eudemon200防火墙的特点 (8) 2.1 基于状态的防火墙 (8) 2.2 安全域概念介绍 (8) 2.2.1 防火墙的域 (8) 2.2.2 域间概念 (10) 2.2.3 本地域(Local) (10) 2.3 防火墙的模式 (11) 2.3.1 概述 (11) 2.3.2 路由模式 (11) 2.3.3
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
配置路由模式下主备备份方式的双机热备份举例 组网需求 Eudemon 1000E作为安全设备被部署在业务节点上。其中上下行设备均是交换机,Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备,且均工作在路由模式下。 网络规划如下: ?需要保护的网段地址为10.100.10.0/24,与Eudemon 1000E的GigabitEthernet 0/0/1接口相连,部署在Trust区域。 ?外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连,部署在Untrust区域。 ?两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。 其中,各安全区域对应的VRRP组虚拟IP地址如下: ?Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。 ?Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。 ?DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。 组网图如图1所示。 图1 路由模式下主备备份方式的双机热备份配置举例组网图 数据规划
操作步骤 1.在Eudemon 1000E A上完成以下基本配置。 # 配置GigabitEthernet 0/0/1的IP地址。
华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。
华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echo request和echo reply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。 Global:表示在做NAT时转换后的IP。 Inside:表示在做NAT时转换前的IP。 使用示例
目录 第1章防火墙概述 ..................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介............................................................................................................. 1-6 1.3.1 Eudemon产品系列 .................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介................................................................................ 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................. 1-8第2章 Eudemon防火墙配置基础 .............................................................................................. 2-1 2.1 通过Console接口搭建本地配置环境 .................................................................................. 2-1 2.1.1 通过Console接口搭建 ............................................................................................. 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .................................................................. 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通.................................................... 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建 ................................................................................................... 2-7 2.2.2 通过Telnet方式搭建................................................................................................. 2-9 2.2.3 通过SSH方式搭建 ................................................................................................. 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31
华为USG6300系列云管理防火墙 移动化、大数据、ICT融合造成企业网络规模越来越庞大,组网越来越复杂,网络管理和维护投入的成本越来越高。在此背景下,华为推出了云管理网络解决方案,它以SDN技术为支撑,包括云管理平台和全系列云化网络设备两部分,具备云化网络管理、网络设备即插即用、业务配置自动化、运维自动化可视化和网络大数据分析等优势,能够显著解决传统网络面临的难题。 云管理平台由华为企业公有云运营,或者由MSP、运营商自行建设和运营,租户只需支付防火墙硬件和云管理License费用即可使用云管理平台提供的各种业务,网络建设和维护都由云管理平台运营方提供,大大节省了企业资金和人力投入。 华为USG6300系列是配套华为云管理解决方案的防火墙产品,它支持传统防火墙管理和云管理“双栈”模式,适合为小型企业、企业分支、连锁机构等提供基于云管理的安全上网服务。 产品图 USG6305USG6305-W USG6310S USG6310S-W USG6310S-WL USG6320 USG6370/6380/6390USG6306/6308/6330/6350/6360
应用场景 ? 云管理平台部署于华为公有云或MSP 公有云,为用户提供防火墙维护管理界面。防火墙位于 SMB 、分支、园区出口,为用户提供有线无线上网服务。用户仅需购买防火墙及云管理License 即可通过云管理平台实现全网设备的规划和维护管理。对于用户并发接入数不高、站点分布较分散,不具备网络专业技术能力的中小企业,云管理网络解决方案具有明显的优势。 支持双栈管理模式,网络平滑演进 ? USG6300系列防火墙支持传统模式和云模式两种管理模式切换,缩短网络改造升级周期,将网络 改造升级对用户业务的影响降到最低,保障用户体验。 云管理平台MSP 维护人员 Internet USG6300 USG6300 USG6300
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。 现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照处理方式进行分类。 防火墙按照处理方式可以分为以下三类: 包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。
第一部分华为防火墙基本初始化 LAB1 子接口初始化一、实验拓扑
二、基本配置 SW: [SW]vlan 2 [SW-vlan2]description Untrust [SW-vlan2]vlan 3 [SW-vlan3]description Trust [SW-vlan3]vlan 4 [SW-vlan4]description DMZ [SW]int g0/0/9 [SW-GigabitEthernet0/0/8]port link-type access [SW-GigabitEthernet0/0/8]port default vlan 3 [SW-GigabitEthernet0/0/8]int g0/0/3 [SW-GigabitEthernet0/0/3]port link-type access [SW-GigabitEthernet0/0/3]port default vlan 3 [SW]int g0/0/9 [SW-GigabitEthernet0/0/9]port link-type trunk [SW-GigabitEthernet0/0/9]port trunk allow-pass vlan 1 2 4 [SW]int g0/0/1 [SW-GigabitEthernet0/0/1]port link-type access [SW-GigabitEthernet0/0/1]port default vlan 2 [SW-GigabitEthernet0/0/1]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access [SW-GigabitEthernet0/0/2]port default vlan 4 三、防火墙配置 system-view Enter system view, return user view with Ctrl+Z. [SRG] [SRG]sysname HWFW [HWFW]int g0/0/0 [HWFW-GigabitEthernet0/0/0]alias Trust ===配置接口描述[HWFW-GigabitEthernet0/0/0]ip add 192.168.1.10 24 [HWFW]int g0/0/1.2 [HWFW-GigabitEthernet0/0/1.2]vlan-type dot1q 2 ====封装VLAN [HWFW-GigabitEthernet0/0/1.2]alias Untrust [HWFW-GigabitEthernet0/0/1.2]ip add 202.100.1.10 24 [HWFW-GigabitEthernet0/0/1.2]interface GigabitEthernet0/0/1.4 [HWFW-GigabitEthernet0/0/1.4]alias DMZ [HWFW-GigabitEthernet0/0/1.4]vlan-type dot1q 4 [HWFW-GigabitEthernet0/0/1.4]ip add 172.16.1.10 24 测试: [HWFW]ping -c 2 192.168.1.1 19:26:33 2014/05/26
目录 第1章防火墙概述.................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介 ............................................................................................................ 1-6 1.3.1 Eudemon产品系列.................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介............................................................................... 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................ 1-8第2章 Eudemon防火墙配置基础............................................................................................ 2-1 2.1 通过Console接口搭建本地配置环境................................................................................. 2-1 2.1.1 通过Console接口搭建............................................................................................ 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通............................................................... 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通 ................................................ 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建.................................................................................................. 2-7 2.2.2 通过Telnet方式搭建............................................................................................... 2-9 2.2.3 通过SSH方式搭建................................................................................................ 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31