技术支持文档中心安全推荐产品USG故障处理技术指导

防火墙常用维护操作

常用维护操作

常用维护操作

概述

本文档介绍了华为防火墙日常使用过程中的一些维护操作,包括信息查看类、配置类和故障处理类。

使用须知

  • 使用前建议您了解华为防火墙基础知识和熟悉防火墙基本操作。
  • 本文档以华为USG6000E/USG6000系列防火墙产品V600R007/V500R005版本为例。不同产品和版本的实现可能会有差异。
  • 本文档中FW是防火墙的缩写。
  • 本文档中使用到的公网IP地址均为示意,不指代任何实际意义。

查看类

查看设备运行状态

介绍查看设备运行状态的相关操作。

通过Web方式查看设备部件状态

选择面板 > 设备资源信息,查看CPU使用率、内存使用率、CF卡使用率,如图1-1所示。

图1-1 设备资源信息

参数

说明

CPU使用率

以标度盘和百分比显示当前CPU的使用情况。当仪表盘指针移到黄色区域,表示当前CPU使用率达到预警状态。当仪表盘指针移到红色区域,表示当前CPU使用率达到警告状态。

CPU使用率代表当前设备处理业务的繁忙程度,如果CPU使用率一直居高不下,可能是设备处理能力达到极限,不满足当前网络的部署需求,建议更换高处理性能的设备。

内存使用率

以标度盘和百分比显示当前内存的使用情况。当仪表盘指针移到黄色区域,表示当前内存使用率达到预警状态。当仪表盘指针移到红色区域,表示当前内存使用率达到警告状态。

CF卡使用率

以标度盘和百分比显示当前CF卡的使用情况。当仪表盘指针移到黄色区域,表示当前CF卡使用率达到预警状态。当仪表盘指针移到红色区域,表示当前CF卡使用率达到警告状态。

在软件或特征库等升级前,请确定剩余空间大小是否可存放待升级的文件。如果空间不足,需要清理无用文件以保证存储空间满足新需要。

通过CLI方式查看设备部件状态

查看设备状态。通常在发现某单板运行不正常时查看该单板状态。

# 显示USG6000设备的状态信息。

<sysname> display device
USG6380's Device status: 
Slot  Sub Type         Online    Power      Register       Status     Role      
------------------------------------------------------------------------------- 
0     -   RPU          Present   PowerOn    Registered     Normal     Master    
1     -   FIBA         Present   PowerOn    Registered     Normal     NA        
5     -   PWR          Present   PowerOn    Registered     Normal     NA        
7     -   FAN          Present   PowerOn    Registered     Normal     NA

# 显示USG6000E设备的状态信息。

<sysname> display device
USG6655E's Device status: 
Slot  Sub Type         Online    Power      Register       Status     Role 
-------------------------------------------------------------------------------  
0     -   RPU          Present   PowerOn    Registered     Abnormal   Master  
2     -   PWR          Present   PowerOff   Registered     Abnormal   NA   
3     -   PWR          Present   PowerOn    Registered     Normal     NA   
4     -   FAN          Present   PowerOn    Registered     Normal     NA   
5     -   FAN          Present   PowerOn    Registered     Normal     NA   
6     -   FAN          Present   PowerOn    Registered     Normal     NA   
7     -   FAN          Present   PowerOn    Registered     Normal     NA   
12    -   SPUB         Present   PowerOn    Registered     Normal     NA   
13    -   SPUB         Present   PowerOn    Registered     Normal     NA

# 显示USG9500设备的状态信息。

<sysname> display device
USG9560's Device status:   
Slot #    Type       Online    Register      Status      Primary                
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -     
1         LPU        Present   Registered    Normal      NA                     
2         SPU        Present   Registered    Normal      NA                     
6         LPU        Present   Registered    Normal      NA                     
8         SPU        Present   Registered    Normal      NA                     
9         MPU        Present   NA            Normal      Master                 
10        MPU        Present   Registered    Normal      Slave                  
12        SFU        Present   Registered    Normal      NA                     
13        SFU        Present   Registered    Normal      NA                     
14        CLK        Present   Registered    Normal      Master                 
15        CLK        Present   Registered    Normal      Slave                  
16        PWR        Present   Registered    Abnormal    NA                     
17        PWR        Present   Registered    Normal      NA                     
18        FAN        Present   Registered    Normal      NA                     
19        FAN        Present   Registered    Normal      NA

项目

描述

Slot

当前在位设备的槽位号

Sub

子卡槽位号

Type

设备类型

Online

设备是否在线

  • Present表示设备在线
  • Absent表示设备不在线

Power

设备是否上电

  • PowerOn表示设备上电
  • PowerOff表示设备下电

Register

设备是否注册成功,NA表示启动必须运行的设备,没有这些设备就不能启动

Status

设备的状态

Primary

Role

当前设备是否有备份设备,NA表示该设备没有主备之分

其中Status状态为Abnormal说明状态异常。可能的故障原因为:

  1. 设备的该槽位不支持这种接口卡。
  2. 接口卡损坏。
  3. 背板或主板上的插针损坏,如不正确的单板安装方式导致插针倾斜。
  4. 如果是FAN状态为Abnormal,则可能为风扇故障或不在位。

查看设备的健康检查信息

用户在任意视图下执行命令display health命令查看设备的健康检查信息,包括CPU占用率和内存占用率。

# 显示USG9500单板的健康检查信息。
<sysname> display health
Slot                CPU Usage  Memory Usage(Used/Total)  Simulate CPU           
-----------------------------------------------------------------------         
 9 MPU(Master)         10%           51%  907MB/1746MB          None            
 1 LPU                 14%           18%  384MB/2099MB          None            
 2 SPU-CPU0            65%           16%   84MB/500MB             0%            
 2 SPU-CPU1            64%           16%   84MB/500MB             0%            
 2 SPU-CPU2            64%           16%   84MB/500MB             0%            
 2 SPU-CPU3            64%           16%   84MB/500MB             0%            
 2 SPU-CPU6             2%           15%   61MB/398MB           None            
 6 LPU                 16%           18%  386MB/2099MB          None            
 8 SPU-CPU2            65%           16%   84MB/500MB             0%            
 8 SPU-CPU3            62%           16%   84MB/500MB             0%            
 8 SPU-CPU6             2%           15%   60MB/398MB           None            
10 MPU(Slave)           4%           24%  870MB/3602MB          None            
-----------------------------------------------------------------------         
SPU CPU Average Utilization: Management 64% Dateplane 3 %
表1-1 display health命令的输出信息描述

项目

描述

Slot

单板槽位号。

display health verbose命令可以显示从核CPU利用率使用情况。例如
  • LPU(VCPU0)为多核0号,(VCPU1)为多核1号,以此类推
  • LPU为单核

CPU Usage

CPU利用率。

Memory Usage (Used/Total)

所有注册状态板的内存使用情况。

  • Total:单板上当前可用的内存。
  • Used:单板上可用内存中已经被占用的内存。
# 显示USG6000的健康检查信息。
<sysname> display health
------------------------------------------------------------------------------- 
 Slot  Card  Sensor SensorName       Status  Current(V)  Lower(V)    Upper(V)   
------------------------------------------------------------------------------- 
 0     -     0      1.1V_CORE        Normal  1.1000      1.0400      1.1500     
       -     1      3.3V             Normal  3.3000      3.1200      3.4500     
       -     2      2.5V             Normal  2.5200      2.3700      2.6100     
       -     3      1.5V             Normal  1.4900      1.4200      1.5700     
       -     4      1.1V             Normal  1.0900      1.0400      1.1500     
       -     5      0.75V_DDR        Normal  0.7400      0.7100      0.7800     
       -     6      12V              Normal  11.8800     11.4000     12.6000    
 1     -     0      5.0V             Normal  4.9500      4.7400      5.2500     
       -     1      2.5V             Normal  2.5000      2.3600      2.6200     
       -     2      1.0V             Normal  0.9900      0.9500      1.0500     
       -     3      1.8V             Normal  1.7800      1.7100      1.8900     
       -     4      0.9V             Normal  0.9000      0.8500      0.9400     
       -     5      3.3V             Normal  3.2800      3.1200      3.4600     
       -     6      12V              Normal  11.9400     11.4000     12.6000    
---------------------------------------------------------------                 
 Slot  Card  Sensor   Status   Current(C)  Lower(C)    Upper(C)                 
---------------------------------------------------------------                 
 0     -     0        Normal   36          0           63                       
       -     1        Normal   51          0           90                       
 1     -     0        Normal   31          0           63                       
--------------------------------------------------------------------------      
 PowerID  Online  Mode   State      Current(A)   Voltage(V)   RealPwr(W)        
--------------------------------------------------------------------------      
 5        Present AC     Supply     14.2         12           170               
 6        Absent  -      -          -            -            -                 
------------------------------------------------------------------------------- 
     FanID   FanNum   Online   Register      Speed       Mode      Airflow      
------------------------------------------------------------------------------- 
     FAN0    [3]      Present  Registered    1  (6880 )  AUTO      Left-to-Right
     FAN1    [2]      Present  Registered    1  (6880 )  AUTO      Left-to-Right
 System Memory Usage Information:                                               
 System memory usage at 2015-03-26 16:25:01                                     
------------------------------------------------------------------------------- 
 Slot     Total Memory(MB)   Used Memory(MB)   Used Percentage   Upper Limit    
------------------------------------------------------------------------------- 
  0          3789               2265              59%               95%         
------------------------------------------------------------------------------- 
 System CPU Usage Information:                                                  
 System cpu usage at 2015-03-26 16:25:01                                        
------------------------------------------------------------------------------- 
       Slot              CPU Usage             Upper Limit                      
------------------------------------------------------------------------------- 
        0                  32%                    80%                           
------------------------------------------------------------------------------- 
 Disk Usage Information:                                                        
 System disk usage at 2015-03-26 16:25:02                                       
------------------------------------------------------------------------------- 
  Slot      Device    Total Memory(MB)     Used Memory(MB)    Used Percentage   
------------------------------------------------------------------------------- 
   0        hda1:         1172                725                61%            
-------------------------------------------------------------------------------
表1-2 USG6000 display health命令的输出信息描述

项目

描述

Slot

槽位号

Card

子卡槽位号

Sensor

电压传感器编号

SensorName

电压传感器名称

Status

电压告警级别

  • Normal:正常。
  • Minor:轻微。
  • Major:严重。
  • Fatal:致命。

Current(V)

电压值,单位为V

Lower(V)

最低电压值,单位为V

Upper(V)

最高电压值,单位为V

Sensor

温度传感器编号

Status

温度告警级别

  • Normal:正常。
  • Minor:轻微。
  • Major:严重。
  • Fatal:致命。

Current(C)

温度值,单位为C

Lower(C)

最低温度值,单位为C

Upper(C)

最高温度值,单位为C

PowerID

电源模块编号

Online

电源模块是否在位

  • Present:电源模块在位。
  • Absent:电源模块不在位。

Mode

工作模式

  • AC:交流供电。
  • DC:直流供电。

State

电源模块状态

  • Supply:供电状态。
  • NotSupply:不供电状态。

Current(A)

电流值,单位为A

Voltage(V)

电压值,单位为V

RealPwr(W)

实际功率,单位为W

FanID

风扇模块编号

FanNum

风扇数目

Online

风扇模块是否在位。

  • Present:风扇模块在位。
  • Absent:风扇模块不在位。

Register

风扇模块是否注册。

  • Registered:风扇模块已注册。
  • Unregistered:风扇模块未注册。

Speed

风扇的速度

Mode

风扇模块的调速模式。

  • AUTO:自动调速。
  • MANUAL:手动调速。

Airflow

气流走向,Left-to-Right表示左进右出。

Total Memory(MB)

总内存大小,单位为MB

Used Memory(MB)

已使用的内存大小,单位为MB

Used Percentage

已使用的内存使用率

Upper Limit

内存的告警阈值

CPU Usage

CPU使用率

Upper Limit

CPU的告警阈值

Device

存储设备

Total Memory(MB)

总内存大小,单位为MB

Used Memory(MB)

已使用的内存大小,单位为MB

Used Percentage

已使用的内存使用率
# 显示USG6000E单板的健康检查信息。
<sysname> display health
-------------------------------------------------------------------------------   
Slot  Card  Sensor SensorName       Status  Current(V)  Lower(V)    Upper(V)    
-------------------------------------------------------------------------------   
0     -     0      12V              
Normal  0.0000      0.0000      0.0000      
---------------------------------------------------------------                   
Slot  Card  Sensor   Status   Current(C)  Lower(C)    Upper(C)                  
---------------------------------------------------------------                   
0     -     0        Normal   48          0           110                              
      -     1        Normal   49          0           110                       
--------------------------------------------------------------------------        
PowerID  Online  Mode   State      Current(A)   Voltage(V)   RealPwr(W)         
--------------------------------------------------------------------------        
2        Present AC     Supply     5            12           60                  
3        Present AC     Supply     5            12           60                 
-------------------------------------------------------------------------------       
    FanID   FanNum   Online   Register      Speed       Mode      Airflow       
-------------------------------------------------------------------------------       
    FAN0    [1]      Present  Registered    0  (6840 )  AUTO      Left-to-Right  
System Memory Usage Information:                                                 
System memory usage at 2000-02-08 08:05:21                                      
-------------------------------------------------------------------------------   
Slot     Total Memory(MB)   Used Memory(MB)   Used Percentage   Upper Limit     
-------------------------------------------------------------------------------    
 0          3818               1865              48%               90%          
-------------------------------------------------------------------------------   
System CPU Usage Information:                                                    
System cpu usage at 2000-02-08 08:05:21                                         
-------------------------------------------------------------------------------         
      Slot              CPU Usage             Upper Limit                       
-------------------------------------------------------------------------------          
       0                  71%                    80%                            
-------------------------------------------------------------------------------   
Disk Usage Information:                                                          
System disk usage at 2000-02-08 08:05:21                                        
-------------------------------------------------------------------------------    
Slot      Device    Total Memory(MB)     Used Memory(MB)    Used Percentage    
-------------------------------------------------------------------------------     
0        hda1:         1561                1008               64%             
-------------------------------------------------------------------------------
表1-3 USG6000E display health命令的输出信息描述

项目

描述

Slot

槽位号

Card

子卡槽位号

Sensor

电压传感器编号

仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625E、USG6630E/6650E、USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E支持该参数。

SensorName

电压传感器名称

仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625E、USG6630E/6650E、USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E支持该参数。

Status

电压告警级别

  • Normal:正常。
  • Minor:轻微。
  • Major:严重。
  • Fatal:致命。

仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625E、USG6630E/6650E、USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E支持该参数。

Current(V)

电压值,单位为V

仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625E、USG6630E/6650E、USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E支持该参数。

Lower(V)

最低电压值,单位为V

仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625E、USG6630E/6650E、USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E支持该参数。

Upper(V)

最高电压值,单位为V

仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625E、USG6630E/6650E、USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E支持该参数。

Sensor

温度传感器编号

Status

温度告警级别

  • Normal:正常。
  • Minor:轻微。
  • Major:严重。
  • Fatal:致命。

Current(C)

温度值,单位为C

Lower(C)

最低温度值,单位为C

Upper(C)

最高温度值,单位为C

PowerID

电源模块编号

Online

电源模块是否在位

  • Present:电源模块在位。
  • Absent:电源模块不在位。

Mode

工作模式

  • AC:交流供电。
  • DC:直流供电。

State

电源模块状态

  • Supply:供电状态。
  • NotSupply:不供电状态。

Current(A)

电流值,单位为A

Voltage(V)

电压值,单位为V

RealPwr(W)

实际功率,单位为W

FanID

风扇模块编号

FanNum

风扇数目

Online

风扇模块是否在位。

  • Present:风扇模块在位。
  • Absent:风扇模块不在位。

Register

风扇模块是否注册。

  • Registered:风扇模块已注册。
  • Unregistered:风扇模块未注册。

Speed

风扇的速度

Mode

风扇模块的调速模式。

  • AUTO:自动调速。
  • MANUAL:手动调速。

Airflow

气流走向,Left-to-Right表示左进右出。

Total Memory(MB)

总内存大小,单位为MB

Used Memory(MB)

已使用的内存大小,单位为MB

Used Percentage

已使用的内存使用率

Upper Limit

内存的告警阈值

CPU Usage

CPU使用率

Upper Limit

CPU的告警阈值

Device

存储设备

Total Memory(MB)

总内存大小,单位为MB

Used Memory(MB)

已使用的内存大小,单位为MB

Used Percentage

已使用的内存使用率

查看接口流量

介绍查看接口流量的相关操作。

通过Web方式查看接口流量

选择面板 > 设备状态图,将鼠标光标停留在某接口上,可查看该接口的详细信息,如图1-2所示。单击“刷新”后能够查看到接口的最新信息。

图1-2 接口信息

参数

说明

接口状态

X/Y,X表示接口物理层状态,分为Physical UP(物理链路正常)和Physical DOWN(物理链路不正常);Y表示接口网络层状态,分为 Protocol UP(网络连接正常)和Protocol DOWN(网络无连接)。

安全区域

显示该接口所在安全区域。

IP地址/掩码

显示该接口的IP地址及子网掩码。

速率

显示该接口的速率。

模式

显示接口的双工模式。

输入/出流量

显示该接口接收/发送的流量大小。

输入/出错包数

显示该接口接收/发送的流量中的错包数。

通过CLI方式查看接口信息

该命令可以查看接口的IP地址、物理层及协议层状态、接口描述。

# 显示USG6000E/USG6000/USG9500的接口信息。

<sysname> display interface xxx 
xxx security zone : trust
xxx current state : UP  
Line protocol current state : UP   
Description :  Interface Route Port
The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)    
Internet Address is 10.1.1.1/24      
IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a106-0e5b 
Media type is twisted pair, loopback not set, promiscuous mode not set  
1000Mb/s-speed mode, full-duplex mode, link type is auto negotiation   
Max-bandwidth : 1000000 kbps    
Last physical up time   : -     
Last physical down time : 2018-01-16 20:33:13      
Current system time: 2018-01-17 10:08:18 
Top 3 input bit rate: 672688 bits/sec at 2018-01-15 11:11:41
                      20872 bits/sec at 2018-01-15 11:11:40    
                      17456 bits/sec at 2018-01-14 19:23:00    
Top 3 output bit rate: 672000 bits/sec at 2018-01-15 11:11:41    
                      19568 bits/sec at 2018-01-15 11:11:40     
                      9064 bits/sec at 2018-01-14 11:11:53    
Top 3 input packet rate: 8008 packets/sec at 2018-01-15 11:11:41   
                      248 packets/sec at 2018-01-15 11:11:40     
                      216 packets/sec at 2018-01-14 11:11:56   
Top 3 output packet rate: 8000 packets/sec at 2018-01-15 11:11:41  
                      232 packets/sec at 2018-01-15 11:11:40   
                      80 packets/sec at 2018-01-14 11:11:53
Last 300 seconds input rate 2619  bytes/sec, 16  packets/sec    
Last 300 seconds output rate 28627  bytes/sec, 26  packets/sec      
    Input: 277618 packets, 46890659 bytes                 
          275866 unicasts, 1740 broadcasts, 12 multicasts, 0 pauses     
          0 overruns, 0 runts, 0 jumbos, 0 FCS errors       
          0 length errors,  0 code errors, 0 align errors       
          0 fragment errors,  0 giants, 0 jabber errors     
          0 dribble condition detected,  0 other errors      
    Output: 303774 packets, 157242945 bytes        
          285539 unicasts, 6 broadcasts, 18229 multicasts, 0 pauses    
          0 underruns, 0 runts, 0 jumbos, 0 FCS errors    
          0 fragment errors, 0 giants, 0 jabber errors       
          0 collisions, 0 late collisions      
          0 ex. collisions, 0 deferred, * other errors
表1-4 display interface命令输出信息描述

项目

描述

security zone

显示接口安全区域。仅USG9500支持该参数。

current state
显示接口的物理状态。
  • UP:接口物理层处于正常启动的状态。
  • DOWN:接口物理层出现故障。
  • Administratively down:如果网络管理员在该接口执行shutdown命令,将显示状态为Administratively down。

Line protocol current state
显示该接口的链路协议状态。
  • UP:接口的链路协议处于正常的启动状态。
  • DOWN:接口的链路协议层出现故障,或者没有在此接口配置IP地址。
  • UP (spoofing):表示该接口的链路协议状态spoofing特性,也就是该接口的链路协议状态永远是Up。

Description

对接口的说明。该说明信息便于用户了解该接口的作用。

The Maximum Transmit Unit

接口的最大传输单元(MTU)。例如以太网接口或串口的缺省值是1500字节。长度大于MTU的报文,将会被分片后再发送。如果设置了不准分片,会被丢弃。

Hold timer is

报文的生命周期。报文如果在生命周期内没有被发送出去,则将丢弃。

Internet Address is

接口的IP地址和子网掩码。

IP Sending Frames' Format is

接口发送的Ethernet帧的格式。

Hardware address is

接口的MAC地址。

Max-bandwidth

接口最大带宽。

Last physical up time

接口上次状态为UP的时间。

Last physical down time

接口上次状态为DOWN的时间。

Current system time

当前系统时间。

Top 3 input bit rate

接口上每秒输入比特数Top3。

Top 3 output bit rate

接口上每秒输出比特数Top3。

Top 3 input packet rate

接口上每秒输入报文数Top3。

Top 3 output packet rate

接口上每秒输出报文数Top3。

Last 300 seconds input/output rate

最近300秒内接收/发送的报文平均速率。时间段可以通过set flow-stat interval配置。

Input
接口收到的总报文数和总字节数,包括以下的报文类型:
  • unicasts:单播报文。
  • broadcasts:广播报文。
  • multicasts:组播报文。
  • pauses:接收的pause帧数。
  • overruns:溢出被丢弃的报文。
  • runts:长度小于 64 字节、格式正确且包含有效的CRC 字段的帧。
  • jumbos:在jumbo使能的情况下,字节数大于1518(报文如果带vlan,字节数大于1522)小于jumbo的最大长度的帧。
  • FCS errors:接收到的CRC 校验错误、长度正常的包数量。
  • length errors:标准以太帧中的长度域中的数值与实际的包长(46~1500)字节不相符情况下统计的数据包长度错误的包数量。
  • code errors:有效载波后面带有无效的数据的包数量。
  • align errors:传送的包中存在不完整的字节(包括前导码和帧间隙)包数量。
  • fragment errors:接收长度小于64字节,且CRC不正确的包数量。
  • giants:字节长度在 1519-16383字节,接收到的超长报文。
  • jabber errors:在jumbo使能的情况下,对于CRC错误的报文来说,只有大于jumbo的最大长度的帧才会统计到jabber中。
  • dribble condition detected:正常报文CRC后出现4bite数据。
  • other errors:其它错误包统计数量。

output
接口发送的报文数和总字节数,包括以下的报文类型:
  • unicasts:单播报文。
  • broadcasts:广播报文。
  • multicasts:组播报文。
  • pauses:发送的pause帧数。
  • underruns:当接口的发送速率超过了发送队列的处理能力,导致报文被丢弃。
  • runts:长度小于 64 字节、格式正确且包含有效的CRC 字段的帧。
  • jumbos:在jumbo使能的情况下,字节数大于1518(报文如果带vlan,字节数大于1522)小于jumbo的最大长度的帧。
  • FCS errors:发送的CRC 校验错误、长度正常的帧的数量。
  • fragment errors:发送的长度小于64字节,且CRC不正确的包数量。
  • giants:字节长度在 1519-16383字节,发送的超长报文。
  • jabber errors:在jumbo使能的情况下,对于CRC错误的报文来说,只有大于jumbo的最大长度的帧才会统计到jabber中。
  • collisions:冲突帧的数量,冲突帧是指在发送过程中检测到冲突的而停止发送的报文。
  • late collisions:延迟冲突帧的数量,延迟冲突帧是指帧的前512 bits 已经被发送,由于检测到冲突,该帧被延迟发送。
  • ex. collisions:经过16个连续帧冲突之后,再发生冲突时,冲突的次数。如再发生1次冲突,计数为1;如再连续发生2次冲突,计数为2。
  • deferred:延迟报文的数量,延迟报文是指发送前检测到冲突而被延迟发送的报文。
  • other errors:其它错误包统计数量。

查看ESN

ESN是唯一标识设备的数字序列号,在申请License和报修设备时需要提供。获取设备ESN号有以下途径:

通过设备面板查看设备ESN号(USG6000E/USG6000

用户可以通过查看设备的后面板获取设备ESN编号,以USG6000E为例,ESN位置如图1所示。

图1-3 USG6000E后面板

通过CLI查看设备ESN号

在任意视图下执行display esn命令,查看设备ESN号。

<sysname> display esn
 ESN of master:2102358825Z0xxxxxxxx

通过Web查看设备ESN号

登录Web界面,选择“面板”,在设备信息一栏查看设备序列号。

通过外包装查看设备ESN号

当您收到产品未打开包装箱时,可以在包装箱上粘贴的物料标签上查找并获取设备ESN号。

查看设备部件ESN(USG9500

用户在任意视图下执行命令display esn all,查看设备各部件的ESN编号。

<sysname> display esn all
Slot-Pic  Type                     S/N                           P/N            
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 
1         LPU                      210305467910xxxxxxxx          0305xxxx       
1 -1      ETH_24xGF_B_CARD         030PMN10xxxxxxxx              0303xxxx       
2         SPU                      210305G09Q10xxxxxxxx          0305xxxx       
2 -0      SPU_CARD_TYPE_SPCB       210305G09S10xxxxxxxx          0305xxxx       
2 -1      SPU_CARD_TYPE_SPCB       02G36N10xxxxxxxx              0302xxxx       
6 -0      LAN_WAN_6x10GF_B_CARD    030QDE10xxxxxxxx              0303xxxx       
6 -1      ETH_24xGF_B_CARD         030PMN10xxxxxxxx              0303xxxx       
8         SPU                      210305G09Q10xxxxxxxx          0305xxxx       
8 -1      SPU_CARD_TYPE_SPCB       02G36N10xxxxxxxx              0302xxxx       
9         MPU                      030KSR10xxxxxxxx              0303xxxx       
10        MPU                      210305G08N10xxxxxxxx          0305xxxx       
17        PWR                      21021205606Txxxxxxxx          0212xxxx       
18        FAN                      21021205626Txxxxxxxx          0212xxxx       
19        FAN                      21021205626Txxxxxxxx          0212xxxx       
/         BackPlane                210235G6QD10xxxxxxxx          0235xxxx

项目

描述

Slot-Pic

槽位号。

如为子卡,则增加显示子卡号,例如1-0表示1号槽位0号子卡。

Type

表示板卡类型。

如为子卡,则表示子卡类型。

S/N

ESN编号信息。

P/N

ITEM编号信息。

查看光模块信息

通过display esn interface命令可以查看光模块信息。

<sysname> display esn interface
Interface                VendorName          PN                  SN                  Date         Certified
GigabitEthernet1/0/0     huawei              3410xxxx            PR3xxxx             2014-01-17    YES
GigabitEthernet1/0/1     huawei              0231xxxx            AD1342Rxxxx         2013-10-23    YES
GigabitEthernet1/0/2     FINISAR CORP.       FTLF1619P1BCxxxx    PR7xxxx             2014-02-21    NO
GigabitEthernet1/0/3     HG GENUINE          MXPD-2xxxx          HA1405024xxxx       2014-02-08    NO
GigabitEthernet1/0/4     JDSU                PLRXPLVCS43xxxx     CE06Kxxxx           2014-02-08    NO
GigabitEthernet1/0/5     OCLARO,INC          TRS7050EN-xxxx      T14D5xxxx           2014-04-10    NO
GigabitEthernet1/0/6     SOURCEPHOTONICS     FTM3112CSL4xxxx     E5C201xxxx          2014-04-14    NO
GigabitEthernet1/0/7     SumitomoElectric    SPP5100Zxxxx        42D710N0xxxx        2014-02-12    NO
GigabitEthernet1/0/8     NEOPHOTONICS        PT7620-51-EWxxxx    A011461xxxx         2014-01-24    NO
GigabitEthernet1/0/9     SOURCEPHOTONICS     FTM-5112C-Sxxxx     E46201xxxx          2014-03-08    NO
GigabitEthernet1/0/10    FINISAR CORP.       FTLX1471D3BCL-HW    AS91RR8             2014-08-29    NO
GigabitEthernet1/0/11    FINISAR CORP.       FTLX1471D3BCL-HW    AQD2Q73             2013-09-30    NA
表1-5 display esn interface命令输出信息描述

项目

描述

Interface

光模块所属接口。

VendorName

光模块制造商的名称。

PN

光模块的产品编号。

SN

光模块的ESN编号。

Date

光模块的出厂日期。

Certified

表示该光模块是否为定制的。

  • “YES”表示是定制的,“VendorName”会显示为“huawei”
  • “NO”表示是非定制的。针对该接口执行display interface命令时,显示信息中会有如下提示:
    Note: The optical module was not certified by Huawei Unified Security Gateway.
  • “NA”表示早期发货的光模块,不涉及定制。

查看会话表

会话表是设备转发报文的关键表项。所以当出现业务故障时,通常可以通过查看会话表信息,大致定位发生故障的模块或阶段。

当某个业务发生问题,例如流量不通或者断断续续时,通过查看会话表可以得出以下信息:

  • 如果该项业务已经建立了正确的会话表项,并且根据安全策略允许了该业务的转发。如果业务此时仍然不通,有以下几种可能原因:
    • 出接口发生了硬件故障(例如接口卡损坏,网线接触不良等)
    • 下行设备丢弃了相关报文
    • 路由配置有错误
    • 出接口发送的报文有错误
    • 其他业务层面的丢包(例如带宽管理、攻击防范功能导致的丢包)
    • 其他配置方面的问题
  • 如果该项业务没有建立会话表项,有以下几种可能原因:
    • 由于上游设备的问题或者是路由配置的问题,导致报文没有正确转发到上
    • 设备上配置的安全策略不允许该报文的转发,例如安全策略动作被配置为“拒绝”,源IP被加入了黑名单等
    • 入接口发生了硬件故障(例如接口卡损坏,网线接触不良等)
    • 攻击防范方面,除黑名单之外,可能还有其他功能导致丢包
    • 带宽管理功能可以限制会话数,当会话数超过阈值时,导致会话无法建立而直接丢包
    • 其他配置方面的问题
通过Web方式查看会话表的方法如下:
  1. 选择监控 > 会话表
  2. 显示“会话表”界面,查看会话表信息。
  3. 单击“高级查询”,选择查询条件,可以筛选查看符合条件的会话表项。

    虚拟系统

    查看指定虚拟系统的会话表项。

    协议

    查看指定协议的会话表项。

    应用

    查看指定应用的会话表项。

    源安全区域/目的安全区域

    查看指定源安全区域/目的安全区域的会话表项。

    源地址/目的地址

    查看源地址/目的地址为指定地址或地址范围的会话表项。

    NAT源地址/NAT目的地址

    查看NAT转换后的源地址/目的地址为指定地址或地址范围的会话表项。

    源端口/目的端口

    查看源端口/目的端口为指定端口的会话表项。

    NAT源端口/NAT目的端口

    查看NAT转换后的源端口/目的端口为指定端口的会话表项。

    安全策略

    查看匹配指定安全策略的会话表项。

    用户名

    查看指定用户的会话表项。

    最近一段时间创建的会话

    查看指定时间范围内创建的会话表项。

    比如,配置为5分钟,表示查看最近5分钟内创建的会话表项。
    说明:

    此处只能查看当前依旧存活的会话信息,假如某条会话创建以后,很快又被删除或是老化掉了,则该条会话信息将不会在此显示。

    出接口

    查看指定出接口的会话表项。

    报文数

    查看正向报文数、反向报文数或双向报文数大于等于、小于等于或等于指定值的会话表项。

    正向是指与会话表项中源安全区域到目的安全区域相同的方向。同理,反向是指与会话表项中源安全区域到目的安全区域相反的方向。

    说明:

    USG6000和NGFW Module支持按双向报文数筛选。
    • 对于USG9500,当配置了按正向报文数或反向报文数筛选查询会话表项后,在查看某条会话表的详细信息时,可能会出现当前会话已老化无法查看的情况。
    • 对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。
会话表在某一时间段的显示如下:
图1-4 会话表在某一时间段的显示
单击“详细信息”对应的,可以查看会话表的详细信息。具体字段含义如下:

创建时间

会话表创建的时间。

协议

会话表的协议类型。

源虚拟系统/目的虚拟系统

会话表的源虚拟系统和目的虚拟系统。

源安全区域/目的安全区域

会话表的源安全区域/目的安全区域。

源地址/目的地址

会话表的源IP地址/目的IP地址。

NAT源地址/NAT目的地址

会话进行NAT转换后的源地址/目的地址。

源端口/目的端口

会话表的源端口/目的端口。

NAT源端口/NAT目的端口

会话进行NAT转换后的源端口/目的端口。

正向报文数(包)/正向字节数(B)

会话正方向的报文数(单位为包)和字节数(单位为Byte)。

反向报文数(包)/反向字节数(B)

会话反方向的报文数(单位为包)和字节数(单位为Byte)。

出接口/出接口MAC地址

会话的出接口/出接口的MAC地址。

下一跳

会话的下一跳IP地址。

安全策略

会话命中的安全策略。

应用

会话表的应用类型。

用户名

会话表的用户名。

会话超时时间

会话表的老化时间。

会话超时剩余时间

会话表剩余的存活时间。

通过命令行方式查看会话表的方法如下:

  1. 执行命令system-view,进入系统视图。
  2. 执行以下命令查看IPv4会话表信息。
    • display firewall session table [ verbose ] [ vsys vsys-name ] [ source-zone source-zone | destination-zone destination-zone | { default-policy | policy policy-name } | source-cpe start-ipv6-address [ to end-ipv6-address ] | source { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | destination-cpe start-ipv6-address [ to end-ipv6-address ] | destination { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | slot slot-id cpu cpu-id | protocol { id | tcp | udp | sctp | icmp | ah | esp | gre } | application application-name | source-port { inside port-number | global port-number } | destination-port { inside port-number | global port-number } | interface { interface-name | interface-type interface-number } | service service-type | vlan vlan-id | created-in time | long-link | user user-name | { local | remote } | uniderection ] *
    • display firewall session tableverbose [ vsys vsys-name ] [ source-zone source-zone | destination-zone destination-zone | { default-policy | policy policy-name } | source-cpe start-ipv6-address [ to end-ipv6-address ] | source { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | destination-cpestart-ipv6-address [ to end-ipv6-address ] | destination { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | slot slot-id cpucpu-id | protocol { id | tcp | udp | sctp | icmp | ah | esp | gre } | application application-name | source-port { inside port-number | global port-number } | destination-port { inside port-number | global port-number } | interface { interface-name | interface-type interface-number } | service service-type | vlan vlan-id | created-in time | long-link | user user-name | { local | remote } | uniderection | { reverse-packet | forward-packet | total-packet } { over | below | equal } packet-value ] *
    • display firewall session table [ verbose ] all-systems [ source-cpe start-ipv6-address [ to end-ipv6-address ] | source { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | destination-cpe start-ipv6-address [ to end-ipv6-address ] | destination { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | slot slot-id cpu cpu-id | protocol { id | tcp | udp | sctp | icmp | ah | esp | gre } | source-port { inside port-number | global port-number } | destination-port { inside port-number | global port-number } | interface { interface-name | interface-type interface-number } | serviceservice-type | vlanvlan-id | created-intime | long-link | { local | remote } ] *
    • display firewall session tableverboseall-systems [ source-cpe start-ipv6-address [ to end-ipv6-address ] | source { inside start-ip-address [ toend-ip-address ] | global start-ip-address [ to end-ip-address ] } | destination-cpe start-ipv6-address [ to end-ipv6-address ] | destination { inside start-ip-address [ to end-ip-address ] | global start-ip-address [ to end-ip-address ] } | slot slot-id cpucpu-id | protocol { id | tcp | udp | sctp | icmp | ah | esp | gre } | source-port { inside port-number | global port-number } | destination-port { inside port-number | global port-number } | interface { interface-name | interface-type interface-number } | service service-type | vlan vlan-id | created-in time | long-link | { local | remote } | { reverse-packet | forward-packet | total-packet } { over | below | equal } packet-value ] *
    • display firewall session table [ verbose ] slb [ destination { vip start-vip-address [ to end-vip-address ] | rip start-rip-address [ to end-rip-address ] } | source start-source-address [ to end-source-address ] | destination-port { vport vport-number | rport rport-number } | source-port source-port-number | slot slot-idcpucpu-id ] *
    • display firewall session table [ verbose ] session-id session-id

    在双机热备的组网环境中,可以通过选择localremote参数,按需要查看本端设备或对端设备的会话表信息。

    由于通常情况下设备上的会话表数目很大,逐条查看非常困难。所以该条命令中提供多个参数可以选择需要查看的会话表的类型,有效利用这些参数可以减少查看会话表时显示的条目,缩短定位问题的时间。

    对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。

    如果NAT转换前为IPv4地址,则使用display firewall session table [ verbose ]命令结合以下一个或多个参数组合查询:source inside start-ip-address [ to end-ip-address ]、destination global start-ip-address [ to end-ip-address ]、source-port inside port-numberdestination-port global port-number

    在不使用verbose的情况下,会显示简要会话表项,格式如下:

    Current Total Sessions : NUM
TYPE VPN:SRCVPN --> DSTVPNSRCIP --> DSTIP

    在使用verbose的情况下,会显示详细会话表项,以USG6000E/USG6000为例,格式如下:

    Current Total Sessions : NUM
TYPE VPN:SRCVPN --> DSTVPN ID: ID-NUMBER
Zone: SRCZONE--> DSTZONE Remote TTL: TOTALTIME Left: LEFTTIME
Interface: OUTINTERFACE Nexthop: IP-ADDRESS MAC: MACADDRESS    
<-- packets:NUMBER bytes:BYTES   --> packets:NUMBER bytes:BYTES
SRCIP --> DSTIP PolicyName: POLICYNAME

    各个参数含义如表1所示。其中斜体参数会根据实际情况显示不同内容。

    表1-6 会话表项参数含义

    参数

    含义

    TYPE

    该会话的协议类型,可能出现的情况与display firewall session table命令中的protocol参数的取值范围相同。

    VPN:SRCVPN --> DSTVPN

    该会话的源VPN实例名称和目的VPN实例名称。

    ID: ID-NUMBER

    该会话的ID号。

    Zone: SRCZONE--> DSTZONE

    该会话的源安全区域名称和目的安全区域名称。

    Remote
    • 双机热备场景下,Remote说明当前会话是备份会话,该会话是从对端设备备份过来的。
    • 对于USG9500,CPU备份场景下,Remote说明该会话是从主CPU上备份过来的。

    TTL: TOTALTIME

    会话表项总的存活时间。

    Left: LEFTTIME

    会话表项剩余的存活时间。

    Interface: OUTINTERFACE

    报文出接口的接口号。

    Nexthop: IP-ADDRESS

    报文下一跳的IP地址。

    MAC: MACADDRESS

    报文下一跳的MAC地址。

    <-- packets:NUMBERbytes:BYTES

    反向报文数统计以及字节数统计。

    --> packets:NUMBER bytes:BYTES

    正向报文数统计以及字节数统计。正常情况下应该与收到的报文数以及字节数相同,如果变少,说明存在丢包的情况。

    SRCIP --> DSTIP

    该会话的源IP地址、源端口号、目的IP地址、目的端口号。

    地址的格式是x.x.x.x:portx[y.y.y.y:porty],其中portx和porty分别是源和目的端口号。括号内为NAT转换后地址。如果没有进行NAT转换,则不显示括号内的内容。

    PolicyName: POLICYNAME

    报文匹配的策略名称。

    TCP State:TCPState

    TCP连接状态,仅TCP会话显示此字段。

    • connecting:表示设备收到SYN首包,TCP连接正在建立。
    • established:表示设备收到ACK包,TCP连接已经建立完成。
    • fin-1:表示设备收到第一个FIN包,TCP连接正在断开。
    • close:表示设备收到第二个FIN包,TCP连接已经断开。
  3. 查看IPv6会话表信息。
    • display firewall ipv6 session table [ verbose ] [ vsysvsys ] [ source-zone source-zone | destination-zone destination-zone| { default-policy | policy policy-name } | source start-ipv6-address [ to end-ipv6-address ] | destination start-ipv6-address [ to end-ipv6-address ] | application application-type | protocol { id | tcp | udp | icmp | ah | esp | gre } | service service-type | source-port port-number | destination-port port-number | interface { interface-name | interface-type interface-number } | vlan vlan-id | created-in time | long-link | user user-name | { local | remote } | slot slot-idcpucpu-id ] *
    • display firewall ipv6 session tableverbose [ vsysvsys ] [ source-zone source-zone | destination-zone destination-zone| { default-policy | policy policy-name } | source start-ipv6-address [ to end-ipv6-address ] | destination start-ipv6-address [ to end-ipv6-address ] | application application-type | protocol { id | tcp | udp | icmp | ah | esp | gre } | service service-type | source-port port-number | destination-port port-number | interface { interface-name | interface-type interface-number } | vlan vlan-id | created-in time | long-link | user user-name | { local | remote } | slot slot-idcpucpu-id | { reverse-packet | forward-packet | total-packet } { over | below | equal } packet-value ] *
    • display firewall ipv6 session table [ verbose ] all-systems [ source start-ipv6-address [ to end-ipv6-address ] | destination start-ipv6-address [ to end-ipv6-address ] | protocol { id | tcp | udp | icmp | ah | esp | gre } | service service-type | source-port port-number | destination-port port-number | interface { interface-name | interface-type interface-number } | vlan vlan-id | created-in time | long-link | { local | remote } | slot slot-id cpucpu-id ] *
    • display firewall ipv6 session tableverboseall-systems [ source start-ipv6-address [ to end-ipv6-address ] | destination start-ipv6-address [ to end-ipv6-address ] | protocol { id | tcp | udp | icmp | ah | esp | gre } | service service-type | source-port port-number | destination-port port-number | interface { interface-name | interface-type interface-number } | vlan vlan-id | created-in time | long-link | { local | remote } | slot slot-idcpucpu-id | { reverse-packet | forward-packet | total-packet } { over | below | equal } packet-value ] *
    • display firewall ipv6 session table [ verbose ] session-id session-id

      对于NAT64会话,基于源/目的地址或端口查询会话时,只能基于NAT转换前的地址/端口查询,不能基于NAT转换后的地址/端口查询。

      如果NAT转换前为IPv6地址,则使用display firewall ipv6 session table [ verbose ]命令结合以下一个或多个参数组合查询:source inside start-ipv6-address [ to end-ipv6-address ]、destination global start-ipv6-address [ to end-ipv6-address ]、source-port inside port-numberdestination-port global port-number

  4. 执行命令export firewall session table ftp-serverserver-addressusernamepasswordfile-name,发送会话详细信息到指定的FTP服务器(如PC)。

    除USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E/USG9500之外,其他型号均支持该命令。

    目前只支持此FTP服务器使用默认的21端口,否则会话信息无法发送。

查看日志

硬盘或SD卡在位或不在位时各种日志的Web查看与导出支持情况(USG6000E

功能

硬盘或SD卡在位时

硬盘或SD卡不在位时

流量日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

威胁日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

URL日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

内容日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

带宽IP连接数日志查看和导出

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E、USG6635E/6640E-K/6655E和USG6680E和USG6712E/6716E之外,其他型号支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E、USG6635E/6640E-K/6655E和USG6680E和USG6712E/6716E之外,其他型号支持。

操作日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

系统日志查看和导出

所有型号均支持。

所有型号均支持。

用户活动日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

策略命中日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

沙箱检测日志查看和导出

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

邮件过滤日志查看和导出

所有型号均支持。

除USG6110E/6307E/6311E/6311E-POE/6331E/6510E/6510E-POE/6510E-DK/6530E之外,其他型号均支持。

审计日志查看和导出

所有型号均支持。

所有型号均不支持。

硬盘或SD卡在位或不在位时各种日志的Web查看支持情况(USG6000/USG9500 和NGFW Module

功能

USG6101

USG6305

USG6305-W

USG6310S

USG6310S-W

USG6310S-WL

USG6510

USG6510-WL

USG6310

USG6320

USG6510-SJJ

USG6106

USG6110

USG6120

USG6150

USG6160

USG6180

USG6306

USG6308

USG6330

USG6350

USG6360

USG6370

USG6380

USG6390

USG6390E

USG6507

USG6530

USG6620

USG6620-AVE

USG6630

USG6650

USG6660

USG6670

USG6680

USG9520

USG9560

USG9580

NGFW Module

查看系统日志

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Yes

查看业务日志

说明:

硬盘不在位时显示的节点

Yesc

Yes

Yesa

Yesa

Yesa

No

Yes

Yes

查看告警信息

说明:

硬盘不在位时显示的节点

Yesc

Yes

Yesa

Yesa

Yesa

No

Yes

No

查看流量日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看威胁日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看URL日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看内容日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看带宽IP连接数日志

No

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看操作日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看用户活动日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看策略命中日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看沙箱检测日志

No

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看邮件过滤日志

Yesd

No

Yesb

Yesb

Yesb

Yes

No

Yes

查看审计日志

Yesd

No

Yesb

Yesb

Yesb

Yesb

No

No
表中上标字母的具体含义如下:
  • a:当硬盘不在位时支持查看少量业务日志和告警信息。此处的业务日志或告警信息是针对没有硬盘设备展示的,硬盘在位时业务日志包含威胁日志、内容日志、策略命中日志等,具体参见这些日志的规格;告警信息可以在面板 > 告警信息下查看。流量日志仅在硬盘/SD卡在位时支持查看。
  • b:硬盘在位时支持查看,否则不支持。
  • c:SD卡不在位时支持查看。此处的业务日志或告警信息是针对没有SD卡设备展示的,SD卡在位时业务日志包含威胁日志、内容日志、策略命中日志等,具体参见这些日志的规格;告警信息可以在面板 > 告警信息下查看。
  • d:SD卡在位时支持查看,否则不支持。

查看报表

介绍查看报表的相关操作。

背景信息

当管理员向FW提交查询某类别报表的请求时,日志系统将本地硬盘或内存中存储的对应类别日志数据进行统计分析和加工形成报表。

日志产生较多时,建议为设备配置硬盘,以免旧的日志被新的日志覆盖导致日志信息丢失。

FW支持的报表类别如下:

  • 流量报表
  • 威胁报表
  • 带宽IP连接数报表
  • 带宽策略报表
  • URL报表
  • 策略命中报表
  • 文件过滤报表
  • 内容过滤报表
  • 报表智能搜索
  • 自定义报表
  • 定制和订阅报表

USG9500仅支持以上报表中的流量报表。

操作步骤

  1. 选择“监控 > 报表”。
  2. 选择报表类别。下面以“流量报表”为例。
    • 对于USG6000E/USG6000:选择“源地址”、“目的地址”、“接口”、“应用”、“云应用”、“应用类别”、“应用子类别”、“用户”、“虚拟系统”、“地址类型”、“安全策略”或“带宽策略”。
    • 对于USG9500:选择“应用”、“应用类别”或“应用子类别”。
  3. 在“时间范围”复选框或“自定义”时间区域中选择需要查询的报表时间。
  4. 单击“查询”,显示不同维度的流量趋势和流量排行。

    未识别的用户和应用信息不计入流量统计。

  5. 可选:单击“导出”,可将流量报表以CSV格式导出到管理员PC中。

查看VPN状态

查看IPSec状态

通过Web方式查看IPSec状态:

  1. 选择网络 > IPSec > 监控
  2. “IPSec监控列表”中将显示当前正在协商和已经协商成功的IPSec隧道列表。在列表中会显示每个隧道的名称、状态、本端地址、对端地址、算法、协商数据流、持续时间以及发送接受速率等信息。

通过CLI方式查看IPSec状态:

  • 执行display ike sa查看IPSec隧道的建立的情况。
  • 执行display ipsec sa查看IPSec隧道的详细情况。
  • 执行display ipsec statistics查看IPSec报文的统计信息。

查看L2TP状态

通过Web方式查看L2TP状态:

  1. 选择网络 > L2TP > 监控
  2. 单击“刷新”,查看已建立的L2TP隧道信息如下。

    参数

    说明

    本地通道ID

    系统随机为本条隧道分配的ID号。与对端设备中的“对端通道ID”一致。

    对端通道ID

    对端设备的隧道ID号。与对端设备中的“本端通道ID”一致。

    本端地址

    本端建立隧道的IP地址。

    对端地址

    隧道对端的IP地址。

    端口

    隧道对端的UDP端口号。如果本端为LAC,则对端的UDP端口号为固定值1701。

    会话数

    此隧道上的会话数目。

    对端名称

    对端的隧道名称。

    切断

    手动断开隧道连接。

    • 单击指定L2TP通道对应的,可断开该隧道,同时清除该隧道上的所有控制连接与会话连接。
    • 单击,可断开所有隧道,同时清除隧道上的所有控制连接与会话连接。

通过CLI方式查看L2TP状态:

  • 执行display l2tp tunnel查看L2TP隧道信息。
  • 执行display l2tp session查看IPSe会话信息。
  • 执行display l2tp statistics查看L2TP报文的统计信息。

查看GRE状态

通过Web方式查看GRE状态:

  1. 选择网络 > GRE > 监控
  2. 单击“刷新”,查看GRE隧道信息。

配置类

创建新的管理员

介绍创建新的管理员的操作过程。

缺省情况下,FW上已经提供了系统管理员admin和审计管理员audit-admin,还可以根据实际需要创建新的管理员。

使用Web创建新的管理员

使用Web界面创建新的管理员的操作过程如下:

  1. (可选)新建管理员角色。
    缺省情况下,FW上已经存在系统管理员system-admin角色、配置管理员device-admin角色、配置管理员(监控)device-admin(monitor)角色、审计管理员audit-admin角色。创建管理员时,可以直接把缺省的角色赋予管理员,也可以根据需要创建新的角色。
    1. 选择系统 > 管理员 > 管理员角色
    2. 单击“新建”,创建新的角色。例如,创建名称为“service-admin”的角色,该角色对网络、策略和对象拥有读写权限,对其他配置项无权限。

      名称

      service-admin

      描述

      policy_object_network_readwrite_and_other_modules_none

      权限控制项

      策略、对象、网络

      读写

      面板、监控、系统

    3. 单击“确定”
  2. 新建管理员。
    1. 选择系统 > 管理员 > 管理员
    2. 单击“新建”,创建新的管理员。例如,创建名称为“webadmin”的管理员,密码为“Myadmin@123”,并为该管理员赋予“service-admin”角色。

      用户名

      webadmin

      认证类型

      本地认证

      密码

      Myadmin@123

      角色

      service-admin

      信任主机

      10.3.0.0/24

      高级

      服务类型

      WEB
    3. 单击“确定”

配置完成后,管理员使用“webadmin”和密码“Myadmin@123”,可以登录Web界面。

使用CLI创建新的管理员

使用CLI命令行创建新的管理员的操作过程如下:

  1. 为管理员配置信任主机。
    <sysname> system-view
[sysname] acl 2001    
[sysname-acl-basic-2001] rule permit source 10.3.0.0 0.0.0.255
[sysname-acl-basic-2001] quit
  2. (可选)新建管理员角色。

    缺省情况下,FW上已经存在系统管理员system-admin角色、配置管理员device-admin角色、配置管理员(监控)device-admin(monitor)角色、审计管理员audit-admin角色。创建管理员时,可以直接把缺省的角色赋予管理员,也可以根据需要创建新的角色。

  3. 新建管理员。

    例如,创建名称为“vtyadmin”的管理员,密码为“Myadmin@123”,并为该管理员赋予缺省的“system-admin”角色。

    [sysname] aaa
[sysname-aaa] manager-user vtyadmin
[sysname-aaa-manager-user-vtyadmin] password
Enter Password: 
Confirm Password:   
[sysname-aaa-manager-user-vtyadmin] service-type telnet
[sysname-aaa-manager-user-vtyadmin] acl-number 2001
[sysname-aaa-manager-user-vtyadmin] quit
[sysname-aaa] bind manager-user vtyadmin role system-admin
[sysname-aaa] quit

配置完成后,管理员使用“vtyadmin”和密码“Myadmin@123”,可以登录CLI命令行。

修改管理员密码

介绍修改管理员密码的操作过程。

为了保证账号的安全,要求管理员必须定期修改自己账号的密码。管理员修改密码的操作如下:

<sysname> current-user password-modify
Please input current password:      //输入旧密码
Please input new password:          //输入新密码
Please confirm new password:        //再次输入新密码
 Info: Your password has been changed. Save the change to survive a reboot.

另外,FW提供了密码修改功能。开启密码修改功能后,当管理员登录时,FW会根据管理员以及密码的状态,提示进行相应的操作:

  • 当该管理员账号在开启密码修改功能后初次登录时,FW会提示该管理员必须修改密码,然后才能登录成功。
  • 当该管理员的密码有效期小于等于10天时,FW会提示密码将要过期,管理员可以选择修改密码或者不修改密码。
  • 当该管理员的密码已过期时,FW会提示该管理员必须修改密码,然后才能登录成功。

开启密码修改功能,并配置密码有效期为60天的操作如下:

<sysname> system-view
[sysname] aaa
[sysname-aaa] manager-user password-modify enable
[sysname-aaa] manager-user password valid-days 60

修改Web服务端口号

介绍修改Web服务端口号的操作过程。

缺省情况下,打开了80端口和8443端口,当管理员使用Web浏览器访问80端口时,FW会自动将管理员的访问重定向到8443端口,使管理员通过HTTPS方式登录。

FW支持修改HTTP和HTTPS的端口号。

修改HTTP端口号

修改HTTP端口号的操作过程如下:

<sysname> system-view
[sysname] undo web-manager enable
 Disable http server successfully !
[sysname] web-manager enable port 8888
 Enable http server successfully !

配置完成后,管理员使用Web浏览器访问8888端口(http://x.x.x.x:8888),FW会自动将管理员的访问重定向到HTTPS使用的端口,使管理员通过HTTPS方式登录。

修改HTTPS端口号

修改HTTPS端口号的操作过程如下:

<sysname> system-view
[sysname] undo web-manager security enable
 Disable http security-server successfully !
[sysname] web-manager security enable port 9999
 Enable http security-server successfully !

配置完成后,管理员使用Web浏览器访问9999端口(https://x.x.x.x:9999),即可通过HTTPS方式登录FW。

更新License

当设备上原有License到期后,需要重新申请、加载和激活新的License。

通过Web方式手动激活License

续购License后,您获得了License授权证书,还需申请License文件(*.dat)才能使用受License控制的功能。License文件必须以“.dat”作为扩展名,不支持中文。

  1. 获取授权编码(Entitlement ID)。

    在发货附件中找到License授权证书,并获取授权编码(Entitlement ID),如图1-5所示。

    License授权证书以纸面件(A4大小)或CD件的方式随产品一起提供给客户。

    图1-5 License授权证书

  2. 获取设备序列号ESN(Equipment Serial Number)。

    登录到设备后,选择面板,在“系统信息”中的“设备序列号”中获得。

  3. 通过License自助服务系统获取License文件。

    请登录http://app.huawei.com/isdp,然后按照系统帮助或者提示信息获取License文件。

    如果为多台设备申请License,请确保每台设备的授权编码(Entitlement ID)与ESN一一对应。

    如果您无法及时获取到License文件,请联系客户服务4008302118处理。

  4. 对于因扩容或新增使用受License控制的其他功能,需要再次获取License文件。请仍然按照上述步骤操作。

    License中心会自动将原有License与新增特性的License合并,生成一个新License文件。

  5. 登录Web界面,选择系统 > License管理
  6. “License激活方式”中选择“本地手动激活”
  7. 单击“浏览”,选择待上传的License文件。
  8. 单击“激活”,激活当前License文件。

通过Web方式自动激活License

USG9500不支持在线自动激活License。

在线自动激活过程无需申请License文件(*.dat)。

在线自动激活需要配置DNS服务器并开启DNS服务。

  1. 获取授权编码。

    在发货附件中找到License授权证书,并获取授权编码(Entitlement ID),如图1-5所示。

    License授权证书以纸面件(A4大小)或CD件的方式随产品一起提供给客户。

  2. 登录Web界面,选择系统 > License管理
  3. “License激活方式”中选择“在线自动激活”
  4. 依次输入“License中心域名”“License授权编码”

    License中心域名为sdplsp.huawei.com。

    License授权编码:请填写License授权证书上的授权编码(Entitlement ID)。

  5. 单击“激活”,设备自动激活License。

通过命令行方式激活License

  1. 获取授权编码(Entitlement ID)。

    在发货附件中找到License授权证书,并获取授权编码(Entitlement ID),如图1-5所示。

    License授权证书以纸面件(A4大小)或CD件的方式随产品一起提供给客户。

  2. 获取ESN。

    登录到设备后在任意视图下执行命令display esn获得。

    USG9500支持使用主控板ESN和背板ESN申请License。推荐使用背板ESN申请License。使用display esn命令可查询背板ESN。

  3. 通过License自助服务系统获取License文件。

    请登录http://app.huawei.com/isdp,然后按照系统帮助或者提示信息获取License文件。

    如果为多台设备申请License,请确保每台设备的授权编码(Entitlement ID)与ESN一一对应。

    如果您无法及时获取到License文件,请联系客户服务处理,电话为4008302118。

  4. 对于因扩容或新增使用受License控制的其他功能,需要再次获取License文件。请仍然按照上述步骤操作。

    License中心会自动将原有License与新增特性的License合并,生成一个新License文件。

  5. 上传License文件。
    1. 执行命令dir,查看是否有足够存储空间存放License文件。
    2. License文件后缀为*.dat,请存放于存储器的根目录下。

      如何上传License文件放入存储设备的根目录,请参见产品文档《管理员指南 -文件系统-系统》中的“传输文件“。

  6. 激活License。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令license active file-name,手动激活指定的License文件。

      激活License后,可以通过命令display license,查看License的信息。

备份配置文件

为保证配置文件的安全性,请定期将设备的当前配置文件备份到管理员PC。

背景信息

用户对设备所做的修改会即时生效,但不会自动保存到配置文件中,这些修改在设备断电后会丢失,所以在完成所有修改后请通过系统 > 配置文件管理保存配置或使用save命令保存配置。本节所做的备份工作针对的是配置文件。

前提条件

设备的当前配置正确且已保存。

维护周期

每周

操作方法-Web

  1. 选择系统 > 配置文件管理
  2. 单击“当前配置”中的“导出”
  3. 单击“保存”,在终端上选择一个路径存放导出的配置文件。

操作方法-CLI

以设备作为FTP Client为例,介绍如何备份配置文件。

鉴于SFTP协议比FTP和TFTP有更高的安全保证,建议采用SFTP进行文件传输。
  1. 在PC上启动FTP服务器应用程序,设置好配置文件的存放路径、FTP服务器IP地址、端口号、FTP用户名和密码。
  2. 配置设备的接口IP地址、接口安全区域及安全策略,确保与PC网络连通,可以正常使用FTP协议传输文件。
  3. 登录FTP服务器。
    <sysname> ftp 10.110.24.254
Trying 10.110.24.254 ...
Press CTRL+K to abort
Connected to 10.110.24.254.
220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user   //WFTPD为本地FTP服务器程序。
User(10.135.86.164:(none)):admin123   //输入用户名。
331 Give me your password, please
Enter password:   //输入用户密码。
230 Logged in successfully

[ftp]
  4. 备份配置文件。
    [ftp] put config.cfg
200 Port command successful.
150 Opening data connection for config.cfg.
226 File received ok
FTP: 1257 byte(s) sent in 0.03 second(s) 40.55Kbyte(s)/sec.

后续操作

将配置文件备份到用户PC后,请对比用户PC上配置文件大小是否与设备上一致。如果不一致,可能是在文件备份过程中出现异常,请重新备份。

配置IP-MAC绑定

通过Web方式配置IP-MAC绑定

  1. 选择策略 > 安全防护 > IP-MAC绑定
  2. “配置IP-MAC地址绑定”界面中,开启地址绑定功能。
    1. 选中“启用”对应的复选框。
    2. 单击“应用”
  3. “IP-MAC地址绑定列表”界面中,配置MAC和IP地址绑定。
    1. 单击“新建”
    2. 配置IP-MAC地址绑定的各参数。

      IP地址

      地址绑定关系中的IP地址。

      当IP地址是目的IP地址时,主要指受保护的主机IP地址;当IP地址是源IP地址时,主要指发起连接的(可能是攻击)的主机IP地址,而且可能是虚假的IP地址。

      多次配置同一IP地址到地址绑定关系中,后配置的表项覆盖原有表项。同一个MAC地址可以同多个不同的IP地址关联。

      MAC地址

      地址绑定关系中的MAC地址。

      某IP地址的主机真实的MAC地址或任意指定的MAC地址。

      VLAN ID

      IP地址所属VLAN的编号。

      描述

      IP-MAC地址绑定的描述信息。
  4. 单击“应用”

通过CLI方式配置IP-MAC绑定

  1. 执行命令system-view,进入系统视图。
  2. 执行命令firewall mac-binding enable,开启MAC和IP地址绑定功能。

    只有开启地址绑定功能后,设备才会对报文进行IP地址和MAC地址绑定关系的比较,并对不符合绑定关系的报文进行过滤。

  3. 配置IP和MAC绑定。
    • 执行命令firewall mac-binding ip-address mac-address [ vpn-instance vpn-instance-name ] [ vid vlan-id ] [ description description-text ] ,在已知IP地址和MAC对应关系下手工建立绑定关系。
    • 在接口上对指定的网段发起ARP探测并进行IP和MAC绑定。

      USG6000E/USG6000支持该功能。

      1. 执行命令interface interface-type interface-number,进入接口视图。支持本功能的接口必须是已经配置了IP地址的三层接口,包括:以太网接口及其子接口、Eth-Trunk接口及其子接口以及VLANIF接口。

        缺省情况下,USG6000E/USG6000和NGFW Module的学习免费ARP功能处于开启状态。USG9500的学习免费ARP功能处于关闭状态。如需关闭,执行命令undo gratuitous-arp learn enable

      2. 执行命令ip-address ip-address { mask | mask-length } [ sub ],配置接口的IP地址。
      3. 可选:

        执行命令arp scan [ start-ip-address end-ip-address ],开启地址解析协议ARP(Address Resolution Protocol)自动扫描的功能,对接口IP地址所在网段的所有IP地址发送ARP请求报文,学习相应的ARP表项。

        USG6000E/USG6000支持该命令。

      4. 可选:可选:执行命令gratuitous-arp send enable [ interval time-interval ],通过接口定期向客户端发送免费ARP,可以更新主机的网关ARP表项,使得客户端ARP表项中记录的是正确的网关MAC地址。
      5. 可选:执行命令gratuitous-arp send enable [ interval time-interval ],通过接口定期向客户端发送免费ARP,可以更新主机的网关ARP表项,使得客户端ARP表项中记录的是正确的网关MAC地址。
      6. 执行命令quit,返回系统视图。
      7. 执行命令firewall mac-binding interface interface-type interface-number,将该接口下所有动态ARP全部绑定。

        用户也可根据实际情况将指定接口下的部分ARP绑定,通过display arp interface命令查看指定接口下的ARP表项,然后再执行命令firewall mac-binding将要绑定的ARP表项逐条进行绑定。

配置NAT

介绍配置NAT的操作过程。

图1-6所示,某公司在网络边界处部署了FW作为安全网关。为了使私网中的Web服务器能够对外提供服务,需要在FW上配置NAT Server功能。另外,和Web服务器同在一个安全区域,并且IP地址同在一个网段的PC也需要访问Web服务器。由于公司希望PC可以使用公网地址访问Web服务器,因此还需要在FW上配置源NAT功能。

除了公网接口的IP地址外,公司还向ISP申请了两个公网IP地址,其中1.1.1.10作为内网服务器对外提供服务的地址,1.1.1.11作为PC的地址转换后的公网地址。

图1-6 配置NAT组网图

使用Web配置NAT

使用Web配置NAT的操作过程如下:

此处仅给出了NAT的相关配置。

  1. 选择策略 > NAT策略 > 服务器映射
  2. 单击“新建”,配置服务器映射(NAT Server)。

    名称

    policy_web

    公网地址

    1.1.1.10

    私网地址

    10.2.0.7

    指定协议

    协议

    TCP

    公网端口

    8080

    私网端口

    80
  3. 单击“确定”
  4. 选择策略 > NAT策略 > 源NAT > NAT地址池
  5. 单击“新建”,配置NAT地址池。

    地址池名称

    addressgroup1

    IP地址范围

    1.1.1.11

    允许端口地址转换

    选中
  6. 单击“确定”
  7. 选择策略 > NAT策略 > 源NAT > 源NAT
  8. 单击“新建”,配置NAT策略。

    名称

    policy_nat1

    NAT类型

    NAT

    源安全区域

    dmz

    目的类型

    目的安全区域

    目的安全区域

    dmz

    转换前

    源地址

    10.2.0.6/32

    转换后

    转换方式

    地址池中的地址

    地址池

    addressgroup1
  9. 单击“确定”

配置完成后,Internet上的用户可以通过http://1.1.1.10:8080访问内部的Web服务器,PC也可以通过http://1.1.1.10:8080访问Web服务器。

使用CLI配置NAT

使用CLI配置NAT的操作过程如下:

此处仅给出了NAT的相关配置。

  1. 配置NAT Server。
    <sysname> system-view
[sysname] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www unr-route
  2. 配置NAT地址池。
    [sysname] nat address-group addressgroup1
[sysname-address-group-addressgroup1] mode pat
[sysname-address-group-addressgroup1] section 0 10.2.0.10 10.2.0.15
[sysname-address-group-addressgroup1] route enable
[sysname-address-group-addressgroup1] quit
  3. 配置NAT策略。
    [sysname] nat-policy
[sysname-policy-nat] rule name policy_nat1
[sysname-policy-nat-rule-policy_nat1] source-zone untrust
[sysname-policy-nat-rule-policy_nat1] destination-address 1.1.10.10 32
[sysname-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1
[sysname-policy-nat-rule-policy_nat1] action destination-nat address-group addressgroup2
[sysname-policy-nat-rule-policy_nat1] quit
[sysname-policy-nat] quit

配置完成后,Internet上的用户可以通过http://1.1.1.10:8080访问内部的Web服务器,PC也可以通过http://1.1.1.10:8080访问Web服务器。

故障类

恢复管理员密码

介绍管理员密码丢失的处理方法。

Console口密码遗忘处理

Console口密码遗忘后,管理员可以使用具有3级或以上级别的其它管理员账号,通过Web、Telnet、SSH方式登录设备,修改Console口的密码。

Telnet方式存在安全风险,请使用Web或SSH方式登录设备,本例以SSH为例。

  1. 管理员使用admin1账号,通过SSH方式登录设备,确认当前管理员账号的权限。
    使用display users命令查看所有登录账号,其中带有“+”标记一行为当前管理员,记录对应的编号VTY 0。
    <sysname> display users
User-Intf    Delay    Type   Network Address     AuthenStatus    AuthorcmdFlag   
0   CON 0   47:47:45                                                  no         
Username : Unspecified                    
+ 34  VTY 0   16:32:31  SSH    172.16.30.93              pass           no         
Username : admin1
  2. 执行命令display user-interface,查看管理员账号的权限,确认VTY 0对应的级别为15级,有权限修改Console口的密码。
    <sysname> display user-interface   
   Idx  Type     Tx/Rx      Modem Privi ActualPrivi Auth  Int
   0    CON 0    9600       -     15    15          P     -    
 + 34   VTY 0               -     15    15          A     -  
......
  3. 根据Console口的认证方式,修改Console口的密码。
    • Console口使用Password认证方式
      修改Console口的密码为Admin@1234:
      <sysname> system-view 
[sysname] user-interface console 0 
[sysname-ui-console0] set authentication password 
Please configure the login password (8-16)   
Enter Password: 
Confirm Password:
    • Console口使用AAA认证方式
      修改admin账号的密码为Admin@1234:
      <sysname> system-view 
[sysname] aaa 
[sysname-aaa] manager-user admin 
[FW-aaa-manager-user-admin] password 
Enter Password:
Confirm Password:
  4. 修改完成后,管理员可以使用修改后的密码或账号/密码通过Console口登录。

Telnet登录密码遗忘处理(USG6000E/USG6000和NGFW Module)

介绍Telnet登录密码遗忘的故障处理诊断流程。

Telnet协议可以对设备进行远程维护和管理,如果Telnet密码丢失,只能通过其他方式登录设备后重新进行配置。

目前系统支持Telnet登录的2种验证方式:

  • AAA方式:使用账号+密码方式登录。
  • Password方式:只使用密码登录。

    VTY是设备为Telnet登录创建的逻辑接口,根据管理员登录的次序依次为其分配VTY0~4(或0~14)接口供其使用。因为无法为管理员指定其登录使用的VTY接口,所以一般会对所有的VTY接口进行相同的配置。

当管理员登录到设备配置界面后,可使用display current-configuration configuration user-interface命令查看VTY的认证方式。您可以在原有认证方式的基础上修改密码,也可以重新配置认证方式。

AAA方式
<sysname> system-view
[sysname] user-interface vty 0 4
[sysname-ui-vty0-4] authentication-mode aaa 
[sysname-ui-vty0-4] quit [sysname] aaa 
[sysname-aaa] manager-user admin1 
[sysname-aaa-manager-user-admin1] password 
Enter Password:  
Confirm Password:    
[sysname-aaa-manager-user-admin1] service-type telnet 
[sysname-aaa-manager-user-admin1] level 15

该配置完成后管理员可以使用admin1以及设置好的密码登录设备。

Password方式

<sysname> system-view 
[sysname] user-interface vty 0 4 
[sysname-ui-vty0-4] authentication-mode password 
[sysname-ui-vty0-4] set authentication password 
Warning: The "password" authentication mode is not secure, and it is strongly recommended to use "aaa" authentication mode. 
Please configure the login password (6-16)                                       
Enter Password:                
Confirm Password:

该配置完成后管理员可以使用设置好的密码登录设备。

管理员账号/密码遗忘处理(USG6000E/USG6000和NGFW Module)

当Console密码也遗忘,设备也不存在其他高级别的管理员账号时,需要进入BootLoader进行修复。

  1. 通过Console口连接设备并重启设备。在设备启动过程中,看到提示信息“Press Ctrl+B to break auto startup...”时,在三秒内按下Ctrl+B,输入BootLoader密码后,进入BootLoader主菜单。
    1. 对于USG6000E V600R007C00,BootLoader有缺省密码,为了提高安全性,建议在进入BootLoader主菜单后选择6进行修改。具体修改操作请参见修改BootLoader密码(USG6000E),密码修改后请妥善保管以免丢失。此处以修改后的密码进入BootLoader主菜单。
    2. 对于USG6000E V600R007C20,缺省情况下,BootLoader密码为空,首次登录时系统会要求设置密码,请按系统提示设置密码,要求:密码长度不小于8位,且至少包含英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)、特殊字符(如!、@、#、$、%等)中的二种。密码设置后请妥善保管。此处以设置密码后进入BootLoader主菜单为例进行介绍。
    3. 对于USG6000,BootROM有缺省密码,为了提高安全性,建议在进入扩展段BootROM主菜单后选择5进行修改。具体修改操作请参见修改BootROM密码(USG6000和NGFW Module),密码修改后请妥善保管以免丢失。此处以修改后的密码进入扩展段BootROM主菜单
      • 您可以在《华为安全产品缺省帐号与密码》文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
      • BootROM”在USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL中称为“BootLoader”。关键操作没有区别。

    对于USG6000E,回显信息如下所示:

    Press Ctrl+B to break auto startup... 3                                   
Enter Password:************                                                     
        Main Menu                                                               
                                                                                
    1. Default startup                                                          
    2. Serial submenu                                                           
    3. Ethernet submenu                                                         
    4. Startup parameters submenu                                               
    5. File system submenu                                                      
    6. Password manager submenu                                                 
    7. Reset factory configuration                                              
    8. Reset factory password                                                   
    0. Reboot                                                                   
                                                                                
Enter your choice(0-8):8  //此处选择8,进入重置管理员密码子菜单。

    对于USG6000,回显信息如下所示:

    Press Ctrl+B to Enter main menu...3                                       
Password: ********                                                              
                                                                                
====================< Extend Main Menu >====================                    
| <1> Boot System                                          |                    
| <2> Set Startup Application Software and Configuration   |                    
| <3> File Management Menu...                              |                    
| <4> Load and Upgrade Menu...                             |                    
| <5> Modify Bootrom Password                              |                    
| <6> Reset Factory Configuration                          |                    
| <7> Reset Factory Password                               |                    
| <0> Reboot                                               |                    
| ---------------------------------------------------------|                    
| Press Ctrl+T to Enter Manufacture Test Menu...           |                    
| Press Ctrl+Z to Enter Diagnose Menu...                   |                    
============================================================ 
Enter your choice(0-7): 7  //此处选择7,进入重置管理员密码子菜单。
  2. 选择继续修改密码,并引导系统启动。

    对于USG6000E,回显信息如下所示:

    NOTE: This operation will reset current password.                               
Choose 'yes' to continue, or 'no' to stop and return.                           
<1> Yes                                                                         
<0> No                                                                          
Enter your choice(0-1): 1 
Restoring factory password ...Done.                                             
                                                                                
        Main Menu                                                               
                                                                                
    1. Default startup                                                          
    2. Serial submenu                                                           
    3. Ethernet submenu                                                         
    4. Startup parameters submenu                                               
    5. File system submenu                                                      
    6. Password manager submenu                                                 
    7. Reset factory configuration                                              
    8. Reset factory password                                                   
    0. Reboot                                                                   
Enter your choice(0-8):1  //此处选择1引导系统启动。

    对于USG6000,回显信息如下所示:

    NOTE: This operation will reset current passwrod.                               
Choose 'yes' to continue, or 'no' to stop and return.                           
<1> Yes                                                                         
<0> No                                                                          
Enter your choice(0-1): 1
====================< Extend Main Menu >====================                    
| <1> Boot System                                          |                    
| <2> Set Startup Application Software and Configuration   |                    
| <3> File Management Menu...                              |                    
| <4> Load and Upgrade Menu...                             |                    
| <5> Modify Bootrom Password                              |                    
| <6> Reset Factory Configuration                          |                    
| <7> Reset Factory Password                               |                    
| <0> Reboot                                               |                    
| ---------------------------------------------------------|                    
| Press Ctrl+T to Enter Manufacture Test Menu...           |                    
| Press Ctrl+Z to Enter Diagnose Menu...                   |                    
============================================================                    
Enter your choice(0-7): 1  //此处选择1引导系统启动。

    出现如下回显信息并进入用户视图,则表示设备启动成功。

    Recover configuration begin ...                                                  
Recover configuration end                                                        
Press ENTER to get started.  
Warning: There is a risk on the user-interface which you login through. 
Please change the configuration of the user-interface as soon as possible.                
*************************************************************************        
*         Copyright (C) 2014-2020 Huawei Technologies Co., Ltd.         *        
*                           All rights reserved.                        *        
*               Without the owner's prior written consent,              *        
*        no decompiling or reverse-engineering shall be allowed.        *        
*************************************************************************               
Info: Please change the configuration of the password as soon as possible.  
<sysname>

    进入用户视图后不要执行命令quit,否则设备退出后您需要再次重启设备,才能执行下一步重新设置管理员密码。

  3. 重新设置管理员密码,假设管理员为admin,密码重新设置为Admin@12345。
    <sysname> system-view 
[sysname] aaa 
[sysname-aaa] manager-user admin                                                  
[sysname-aaa-manager-user-admin] password cipher Admin@12345                      
Info: You are advised to config on man-machine mode.                                  
[sysname-aaa-manager-user-admin] quit                                             
[sysname-aaa] quit                                                                
[sysname] quit <sysname> quit

    密码修改完成后,请及时执行命令quit退出设备,以保证设备的安全性。退出后即可使用修改后的密码登录设备。

管理员账号/密码遗忘(USG9500

介绍管理员登录账号/密码遗忘的处理流程。

当管理员账号/密码遗忘导致无法登录设备时,基本处理思路如下:

  1. 提前准备一个可以在USG9500中正常使用的配置文件,例如名称为newvrpcfg.zip的配置文件,并获取到该配置文件中的管理员账号/密码。
  2. 在BootROM菜单下上传newvrpcfg.zip配置文件到设备中,然后设置其为下次启动时使用的配置文件。
  3. 设备正常启动后,使用newvrpcfg.zip配置文件中的管理员密码登录设备。
  4. 将原来的配置文件(含遗忘管理员密码的配置文件,例如名称为vrpcfg.zip)拷贝到操作终端中,打开vrpcfg.zip配置文件修改管理员密码。
  5. 将修改后的配置文件(例如名称为modifyvrpcfg.zip)回传到设备上,并设置其为下次启动时使用的配置文件。
  6. 重新启动后,使用修改后的密码登录设备。

通过manager-user password-modify enable命令开启管理员登录时修改自身密码功能的情况下,设备重启后,会从CF卡的数据库中读取管理员密码,而不是从配置文件中读取密码。如果管理员密码遗忘,将无法通过恢复配置文件的方法找回登录密码。如需找回登录密码,请先执行undo manager-user password-modify enable命令关闭管理员登录时修改自身密码的功能。

具体操作步骤如下:

  1. 重新启动设备。

    与设备搭建配置环境的PC机或配置终端屏幕上显示如下时,在3秒内按下“Ctrl+B”,输入密码,进入BootROM主菜单(Main Menu)。

    您可以在《华为安全产品缺省帐号与密码》文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
              ****************************************************                             
          *                                                  *                             
          *             8090 boot ROM, Ver 166.01            *                             
          *                                                  *                      
          ****************************************************             
         
    Copyright 2001-2018 Huawei Tech. Co., Ltd.                                       
    Creation date: Aug  2 2016, 16:34:23  
    CPU type                : MPC8548E                 
Press Ctrl+B to enter Main Menu... 1     
Password: **********
  2. BootROM主菜单如下所示。
       Main Menu(bootload ver: 166.01)  
1. Boot with default mode            
2. Boot from CFcard                
3. Enter ethernet submenu       
4. Set boot file and path       
5. Modify boot ROM password        
6. Chkdsk CFcard                 
7. Format CFcard             
8. List file in CFcard        
9. Delete file from CFcard         
10. Set patch mode             
11. Set version back signal       
12. Reboot             
Enter your choice(1-12):
  3. 输入3,进入以太网子菜单。
    Enter your choice(1-12): 3                            
           Ethernet  Submenu                 
1. Download file to SDRAM through ethernet interface and boot                    
2. Download file to CFcard through ethernet interface      
3. Modify ethernet interface boot parameters            
4. Return to main menu
  4. 输入3,按以下方式设置以太网接口参数,其余的设置项按默认值即可:
    • Boot device是固定值,USG9520主控板MPUD为mottsec3,USG9520主控板E8KE-X3-MPU、USG9560主控板E8KE-X8-SRUA-200和USG9580主控板EKEX16-FWCD00MPUB00为motetsec0。

      Boot device建议使用默认值,一般不需要修改,否则会导致FTP下载失败。

    • file name对应要下载的文件,此处以加载**.zip文件为例。修改方法是:直接在显示的文件名后输入新的文件名即可。下面的项同样方法修改。
    • inet on ethernet (e)用于设置FW的IP地址,此地址可以设置为与提供FTP服务的PC机在同一网段。如果设置的不是同一个网段,需保证FW与FTP服务器之间路由可达。
    • gateway inet (g)表示网关的IP地址,当FW与PC不在同一网段时,需要指定该参数。
    • host inet (h)必须设置为提供FTP服务的PC机的实际IP地址。
    • user (u) 输入FTP用户名。
    • ftp password (pw) (blank = use rsh)输入对应的FTP用户密码。
    • flags (f)是固定值,0x0对应通过FTP方式下载;0x80对应通过TFTP方式下载。
    举例如下:
    Enter your choice(1-4): 3     
Note: two protocols for download, tftp & ftp.  
      You can modify the flags following the menu.       
      tftp--0x80, ftp--0x0.        
'.' = clear field;  '-' = go to previous field;  ^D = quit   
boot device          : mottsec3 
processor number     : 0 
host name            : host 
file name            : newvrpcfg.zip 
inet on ethernet (e) : 10.10.12.1 
inet on backplane (b):       
host inet (h)        : 10.10.12.12 
gateway inet (g)     :     
user (u)             : mpua 
ftp password (pw) (blank = use rsh): **** 
flags (f)            : 0x0 
target name (tn)     :    
startup script (s)   :     
other (o)            :
  5. 在操作终端计算机上,开启FTP服务器软件,并指定配置文件所在的路径、创建用户名mpua、密码为mpua。其中,该用户和密码即为以太网参数设置时需输入的用户名和密码。
  6. 在以太网子菜单下输入2,下载配置文件到CFcard。
  7. 在以太网子菜单下输入4,回到BootROM主菜单。
  8. 输入4,设置下次启动时使用的配置文件。
     Boot  Files  Submenu          
1. Modify the boot file    
2. Modify the paf file     
3. Modify the license file       
4. Modify the config file   
5. Modify the patch file   
6. Modify the patch states file      
7. Return to main menu   
Enter your choice(1-7):
  9. 输入4,修改启动时使用的配置文件为newvrpcfg.zip
    第一行显示信息中的vrpcfg.zip即为当前系统启动时使用的配置文件。
    Config file is cfcard:/vrpcfg.zip, modify the file name if needed.   
Please input correctly, e.g.: cfcard:/vrpcfg.zip cfcard:/newvrpcfg.zip        
The file name you input is cfcard:/newvrpcfg.zip.                                   
Are you sure? Yes or No(Y/N)y                                                    
Setting ...Done!    
Clear version back signal...Done!
  10. 输入7回到主菜单后,再输入2,重新启动设备。
  11. 设备重启后,使用newvrpcfg.zip配置文件中的管理员密码登录设备。
  12. 将原来的配置文件vrpcfg.zip拷贝到操作终端上(如PC),打开配置文件修改管理员密码。此处以修改管理员admin的密码为Admin@1234为例进行说明。

  13. 将修改后的配置文件modifyvrpcfg.zip回传到设备上,并在用户视图下设置其为下次启动时的配置文件。
    <sysname> startup saved-configuration cfcard:/modifyvrpcfg.zip    
Info: Succeeded in setting the configuration for booting system.
  14. 重启设备后,就可以使用新的用户名admin和密码Admin@1234登录,且配置也恢复为最近保存的配置。
    在重启过程中,如果提示以下信息请输入N
    Warning: The configuration has been modified, and it will be saved to the next startup saved-configuration file cfcard:/modifyvrpcfg.zip. 
Continue? [Y/N]:N

恢复出厂配置

恢复出厂配置可将配置信息恢复至出厂时的缺省配置。恢复出厂配置将导致当前配置丢失,操作前请确认是否需要备份配置。

通过“系统 > 配置文件管理”或display startup命令查看当前配置文件是否为vrpcfg.zip。如果是,请确认是否需要另行备份,因为当恢复出厂配置后,设备会以出厂状态的vrpcfg.zip启动,不会保存之前已经做过修改的vrpcfg.zip

登录设备恢复出厂配置-Web

USG6000E/USG6000和NGFW Module支持该功能。
  1. 选择系统 > 配置文件管理
  2. 单击“恢复出厂配置”
  3. 可选:备份当前配置。
    1. 选中“备份配置文件”
    2. “文件名”中,输入备份配置文件的文件名(包括扩展名)。
  4. 单击“确定”,设备以缺省配置重新启动。

登录设备恢复出厂配置-CLI

  1. 可选:可选:保存当前配置文件。
    <sysname> save backup_configuration.zip
The current configuration will be written to the device.                        
Are you sure to continue?[Y/N]y                                                 
Now saving the current configuration to the slot 0...                           
Save the configuration successfully.
  2. 清除设备当前启动的配置文件。
    <FW> reset saved-configuration
The action will delete the saved configuration in the device.
The configuration will be erased to reconfigure. Continue? [Y/N]: y
  3. 重启设备,无需保存当前配置。
    <sysname> reboot
  System will reboot! Do you want to save the running configuration? [Y/N]:n
  System will reboot! Continue? [Y/N]:y

之后设备会使用出厂时的缺省配置启动。

登录BootROM菜单恢复出厂配置

USG6000和NGFW Module支持该功能。

  1. 通过Console口连接设备。在设备启动过程中,看到提示信息Press Ctrl+B to enter main menu...3时按下Ctrl+B,输入BootROM密码后,进入扩展段BootROM主菜单。

    “BootROM”在USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL中称为“BootLoader”。关键操作没有区别。

  2. 选择<6> Reset Factory Configuration
    Press Ctrl+B to enter main menu...3
Password:********
For the sake of security, please modify the original password.

====================< Extend Main Menu >==================== 
| <1> Boot System                                          | 
| <2> Set Startup Application Software and Configuration   | 
| <3> File Management Menu...                              | 
| <4> Load and Upgrade Menu...                             | 
| <5> Modify Bootrom Password                              | 
| <6> Reset Factory Configuration                          | 
| <0> Reboot                                               | 
| ---------------------------------------------------------| 
| Press Ctrl+T to Enter Manufacture Test Menu...           | 
| Press Ctrl+Z to Enter Diagnose Menu...                   | 
============================================================ 
Enter your choice(0-6):6

无法登录设备时使用RST按钮恢复出厂配置

USG6000E/USG6000和NGFW Module支持该功能。而主控板上对应的RESET按钮只有复位设备的功能,并没有恢复出厂配置的功能。

当管理员配置错误导致无法登录时,可以使用面板上的RST按钮让设备使用缺省的配置完成启动。

  1. 在FW没有上电前先按住面板上的RST按钮。
  2. 将设备上电,等待大约3~5秒,当面板上的MODE或SYS指示灯出现闪烁时,松开RST按钮。

之后设备会使用出厂时的缺省配置启动。

无法登录设备时使用删除配置文件以恢复缺省配置

USG9500支持该功能。

使用本方法会丢失设备原来的所有配置信息,请谨慎使用。

用户在BootROM菜单下删除当前的配置文件,并重启设备。设备将使用缺省配置重启,用户可使用缺省用户名/密码登录设备。

  1. 重新启动设备。

    与设备搭建配置环境的PC机或配置终端屏幕上显示如下时,在3秒内按下“Ctrl+B”,输入密码,进入BootROM主菜单(Main Menu)。

                ****************************************************                
            *                                                  *                
            *             8090 boot ROM, Ver 60.01             *                
            *                                                  *                
            ****************************************************                
                                                                                
      Copyright 2007-2018 Huawei Tech. Co., Ltd.                                
      Creation date: Aug 19 2013, 09:39:45                                      
                                                                                
      CPU type                 : MPC8548E                                       
                                                                                
Press Ctrl+B to enter Main Menu... 1                                            

Password: **********

    输入密码,进入BootROM主菜单(Main Menu)。

    使用密码缺省进入BootROM主菜单,密码区分大小写。

    建议您登录后修改密码,以提升系统的安全性。另外,请妥善保存您修改后的密码。

  2. BootROM主菜单如下所示。
              Main Menu(bootload ver: 60.01)                                        
                                                                                
     1. Boot with default mode                                                  
     2. Boot from CFcard                                                        
     3. Enter ethernet submenu                                                  
     4. Set boot file and path                                                  
     5. Modify boot ROM password                                                
     6. Chkdsk CFcard                                                           
     7. Format CFcard                                                           
     8. List file in CFcard                                                     
     9. Delete file from CFcard                                                 
    10. Set patch mode                                                          
    11. Set version back signal                                                 
    12. Reboot                                                                  
Enter your choice(1-12):
  3. 输入4,查看当前设备使用的配置文件名和路径。

    无法登录设备时使用删除配置文件以恢复缺省配置中的步骤8可知,此项用来设置下次启动时使用的配置文件。但是这里不用重新设置配置文件,仅用来查看当前设备使用的配置文件名和路径,然后再删除此配置文件。

              Boot  Files  Submenu                                                  
                                                                                
     1. Modify the boot file                                                    
     2. Modify the paf file                                                     
     3. Modify the license file                                                 
     4. Modify the config file                                                  
     5. Modify the patch file                                                   
     6. Modify the patch states file                                            
     7. Return to main menu                                                     
                                                                                
Enter your choice(1-7):
  4. 在启动文件子菜单下,输入4,查看当前系统启动时使用的配置文件。第一行显示信息中的cfgfile.zip即为当前使用的配置文件。

     Config file is cfcard:/cfgfile.zip, modify the file name if needed.                
 Please input correctly, e.g.: cfcard:/vrpcfg.zip
  5. 输入7回到BootROM主菜单后,输入9
    Enter your choice(1-12): 9                                                      
                                                                                
          Delete CFcard Content List Submenu                                    
                                                                                
     1. Delete file(s) in CFcard                                                
     2. Delete file(s) in CFcard2                                               
     3. Return to Up menu

    输入1,删除配置文件。

    Enter your choice(1-3): 1                                                        
                                                                                 
BE CAREFUL!                                                                      
If you delete a directory, all of its contents will be deleted!                  
                                                                                 
Please input the file name you want to delete, e.g.: test.txt                    
('*' for display all files and directory in cfcard:)                             
cfcard:/cfgfile.zip
 
File "cfcard:/cfgfile.zip" will be deleted! 
Are you sure? Yes or No(Y/N)y                                                    
                                                                                 
Delete successfully!
  6. 删除完成后,输入3返回BootROM主菜单。
  7. 输入2重启设备。
  8. 由于配置文件已经被删除,所以可使用缺省配置登录Console口,用户名为admin。

恢复配置文件

介绍恢复配置文件的操作过程。

前提条件

已备份过设备的配置文件。

维护周期

每周

操作方法-Web

USG6000E/USG6000为例,USG9500分为主用主控板和备用主控板,操作方法基本相同。

  1. 选择系统 > 配置文件管理
  2. 单击“选择”,显示“配置文件管理”界面。
  3. 单击“上传”,显示“上传文件”界面。
  4. 单击“浏览”,选择备份过的配置文件。
  5. 单击“导入”,上传配置文件。

    上传配置文件成功后,返回“配置文件管理”界面,对应文件显示在列表中。

  6. 单击,将对应的配置文件设置为下次启动时的配置文件。

操作方法-CLI

以设备作为FTP Client为例,介绍如何恢复配置文件。

鉴于SFTP协议比FTP和TFTP有更高的安全保证,建议采用SFTP进行文件传输。
  1. 在PC上启动FTP服务器应用程序,设置好配置文件的存放路径、FTP服务器IP地址、端口号、FTP用户名和密码。
  2. 配置设备的接口IP地址、接口安全区域及安全策略,确保与PC网络连通,可以正常使用FTP协议传输文件。
  3. 登录FTP服务器。
    <sysname> ftp 10.110.24.254
Trying 10.110.24.254 ...
Press CTRL+K to abort
Connected to 10.110.24.254.
220 WFTPD 2.0 service (by Texas Imperial Software) ready for new user   //WFTPD为本地FTP服务器程序。
User(10.135.86.164:(none)):admin123   //输入用户名。
331 Give me your password, please
Enter password:   //输入用户密码。
230 Logged in successfully
[ftp]
  4. 恢复配置文件。
    [ftp] get config.cfg
200 Port command successful.
150 Opening data connection for config.cfg.
226 File received ok
FTP: 1257 byte(s) received in 0.03 second(s) 40.65Kbyte(s)/sec.
[ftp] bye
  5. 激活配置文件。
    <sysname> startup saved-configuration hda1:/config.cfg
Info: Succeeded in setting the configuration for booting system.

升级特征库

介绍升级特征库的常用维护操作。升级特征库可以提升设备对入侵行为、病毒、应用识别、IP信誉、恶意域名、文件信誉和IP地址所属地区的检测能力和检测效率。

前提条件

  • 升级特征库前,请确认已购买并成功激活支持特征库升级服务的License。
  • 升级特征库前,需要确认设备根目录的剩余空间是否满足条件。各特征库升级所需空间如下表所示。

特征库

CF卡空间

内存空间

反病毒特征库(AV-SDB)
  • USG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK:≥10MB
  • USG6331E:≥240MB
  • USG6530E:≥50MB
  • USG6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL:≥10MB
  • USG6310/6320/6510-SJJ:≥50MB

其他机型:≥240MB
  • USG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK:≥36MB
  • USG6331E/6530E:≥72MB
  • USG6306E/6308E/6312E/6322E/6332E/6515E:≥360MB
  • USG6106E/6301E-C/6305E/6306E-B/6309E/6315E/6325E/6335E/6501E-C/6520E-K/6525E:≥360MB
  • USG6350E/6360E/6380E/6550E/6560E/6580E:≥400MB
  • USG6302E-C/6303E-C/6355E/6365E/6385E/6502E-C/6503E-C/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K/6605E-B:≥400MB
  • USG6395E/6615E/6620E-K/6625E:≥420MB
  • USG6391E/6610E/6620E:≥420MB
  • USG6635E/6640E-K/6655E:≥440MB
  • USG6630E:≥620MB
  • USG6650E:≥620MB
  • USG6680E:≥620MB
  • USG6712E/6716E:≥820MB
  • USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL:≥36MB
  • USG6310/6320/6510-SJJ:≥72MB
  • USG6106/6110/6120/6306/6308/6330/6350/6360/6507/6530:≥400MB
  • USG6150/6160/6180/6370/6380/6390/6550/6570:≥400MB
  • USG6390E/6620/6620-AVE/6630:≥420MB
  • USG6650/6660/6670:≥440MB
  • USG6680:≥440MB
  • USG9500:≥820MB
  • NGFW Module:≥440MB

恶意域名特征库

≥10MB
  • USG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK:≥30MB
  • USG6331E/6530E:≥50MB
  • USG6306E/6308E/6312E/6322E/6332E/6515E:≥50MB
  • USG6106E/6301E-C/6305E/6306E-B/6309E/6315E/6325E/6335E/6501E-C/6520E-K/6525E:≥50MB
  • USG6350E/6360E/6380E/6550E/6560E/6580E:≥90MB
  • USG6302E-C/6303E-C/6355E/6365E/6385E/6502E-C/6503E-C/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K/6605E-B:≥90MB
  • USG6395E/6615E/6620E-K/6625E:≥110MB
  • USG6391E/6610E/6620E:≥110MB
  • USG6635E/6640E-K/6655E:≥130MB
  • USG6630E:≥310MB
  • USG6650E:≥310MB
  • USG6680E:≥310MB
  • USG6712E/6716E:≥510MB
  • USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL:≥30MB
  • USG6310/6320/6510-SJJ:≥50MB
  • USG6106/6110/6120/6306/6308/6330/6350/6360/6507/6530:≥90MB
  • USG6150/6160/6180/6370/6380/6390/6550/6570:≥90MB
  • USG6390E/6620/6620-AVE/6630:≥110MB
  • USG6650/6660/6670:≥130MB
  • USG6680:≥130MB
  • USG9500:≥510MB
  • NGFW Module:≥130MB

IP信誉库

≥80MB

≥8MB

说明:

USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL/USG6310/6320/6510-SJJ与USG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK与USG6331E/6530E不支持IP信誉库。

入侵防御特征库(IPS-SDB)

≥30MB
  • USG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK:≥52MB
  • USG6331E/6530E:≥100MB
  • USG6306E/6308E/6312E/6322E/6332E/6515E:≥440MB
  • USG6106E/6301E-C/6305E/6306E-B/6309E/6315E/6325E/6335E/6501E-C/6520E-K/6525E:≥440MB
  • USG6350E/6360E/6380E/6550E/6560E/6580E:≥480MB
  • USG6302E-C/6303E-C/6355E/6365E/6385E/6502E-C/6503E-C/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K/6605E-B:≥480MB
  • USG6395E/6615E/6620E-K/6625E:≥500MB
  • USG6391E/6610E/6620E:≥500MB
  • USG6635E/6640E-K/6655E:≥520MB
  • USG6630E:≥700MB
  • USG6650E:≥700MB
  • USG6680E:≥700MB
  • USG6712E/6716E:≥900MB
  • USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL:≥52MB
  • USG6310/6320/6510-SJJ:≥100MB
  • USG6106/6110/6120/6306/6308/6330/6350/6360/6507/6530:≥480MB
  • USG6150/6160/6180/6370/6380/6390/6550/6570:≥480MB
  • USG6390E/6620/6620-AVE/6630:≥500MB
  • USG6650/6660/6670:≥520MB
  • USG6680:≥520MB
  • USG9500:≥900MB
  • NGFW Module:≥520MB

应用识别特征库(SA-SDB)

≥10MB
  • USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL:≥45MB
  • USG6310/6320/6510-SJJ:≥140MB
  • USG6106/6110/6120/6306/6308/6330/6350/6360/6507/6530:≥480MB
  • USG6150/6160/6180/6370/6380/6390/6550/6570:≥480MB
  • USG6390E/6620/6620-AVE/6630:≥500MB
  • USG6650/6660/6670:≥520MB
  • USG6680:≥520MB
  • USG9500:≥900MB
  • NGFW Module:≥520MB

文件信誉特征库

USG6310/6320/6510-SJJ:≥10MB

USG6331E/6530E:≥10MB

其他机型:≥190MB
  • USG6101/6305/6305-W/6310S/6310S-W/6310S-WL/6510/6510-WL:≥30MB
  • USG6310/6320/6510-SJJ:≥50MB
  • USG6106/6110/6120/6306/6308/6330/6350/6360/6507/6530:≥120MB
  • USG6150/6160/6180/6370/6380/6390/6550/6570:≥120MB
  • USG6390E/6620/6620-AVE/6630:≥140MB
  • USG6650/6660/6670:≥160MB
  • USG6680:≥160MB
  • USG9500:≥540MB
  • NGFW Module:≥160MB
  • USG6110E/6307E/6311E/6311E-POE/6510E/6510E-POE/6510E-DK:≥30MB
  • USG6331E/6530E:≥50MB
  • USG6306E/6308E/6312E/6322E/6332E/6515E:≥80MB
  • USG6106E/6301E-C/6305E/6306E-B/6309E/6315E/6325E/6335E/6501E-C/6520E-K/6525E:≥80MB
  • USG6350E/6360E/6380E/6550E/6560E/6580E:≥120MB
  • USG6302E-C/6303E-C/6355E/6365E/6385E/6502E-C/6503E-C/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K/6605E-B:≥120MB
  • USG6395E/6615E/6620E-K/6625E:≥140MB
  • USG6391E/6610E/6620E:≥140MB
  • USG6635E/6640E-K/6655E:≥160MB
  • USG6630E:≥340MB
  • USG6650E:≥340MB
  • USG6680E:≥340MB
  • USG6712E/6716E:≥540MB

地区识别特征库

≥10MB

≥10MB

背景信息

通过升级特征库,可以提升设备的检测能力和检测效率。防火墙支持对入侵防御特征库、反病毒特征库、应用识别特征库、IP信誉特征库、文件信誉特征库和恶意域名特征库进行在线升级或本地升级,支持对地区识别特征库进行本地升级。

升级的场景如下:

  1. 本地升级:管理员从安全中心平台(isecurity.huawei.com)获取特征库文件,然后手动上传到FW上进行升级。
  2. 在线升级:
    • 直接升级:防火墙直接通过Internet连接安全中心平台进行升级。
    • 通过代理服务器升级:防火墙通过代理服务器连接安全中心平台进行升级。

在线升级的方法有2种:

  1. 定时升级:防火墙在每天的固定时间点升级特征库。管理员首次保存配置信息后,系统会自动设定一个随机的升级时间。
  2. 立即升级:管理员可以在任意时间升级特征库,无需等到定时升级的固定时间点。

本地升级和在线升级均支持通过Web和CLI方式进行操作。

通过Web方式在线升级特征库

  1. 选择“系统 > 升级中心”。
  2. 单击“升级中心地址”。
  3. 在弹出的“升级服务器配置”窗口中配置升级中心地址。

    参数

    说明

    升级中心地址

    输入设备升级时需要访问的服务器地址,可以是IP地址或域名形式。默认采用通过华为安全中心平台升级,域名为sec.huawei.com。

    说明:
    • 配置华为安全中心平台的域名后,必须配置DNS来解析域名,具体操作请参见产品文档中的配置DNS-Web。
    • 如果采用通过其他升级服务器升级,则需要将服务器地址改为其他升级服务器的地址。

    端口

    服务器端口,默认为80。

    源IP获取方式

    指定升级请求报文源地址的获取方式。

    • 自动获取:系统根据升级服务器的IP地址查找路由,并使用出接口的IP地址作为在线升级请求报文的源地址。
    • 指定接口:该接口的IP地址和VPN实例将作为在线升级请求报文的源地址和VPN实例。

      如果FW通过VPN实例连接外网,则该接口必须绑定相应的VPN实例名称,否则会导致升级失败。

      需注意的是指定接口并不一定是升级请求报文的出接口,系统发出升级请求报文时,都是通过查找路由决定出接口的。

    • 指定源IP地址:手动输入在线升级请求报文的源地址,并确保FW可以收到响应报文。

      如果FW通过VPN实例连接外网,则指定源IP地址后,必须在“CLI控制台”中配置命令update host source ip ip-address vpn-instance vpn-instance,配置视图为系统视图。其中,ip-address为“指定源IP地址”中填写的值,vpn-instance为相应的VPN实例名称。

    本项的使用说明如下:
    • 指定接口不能绑定虚拟系统,否则会导致升级失败。
    • 当接口下存在多个IP地址时,建议配置“指定源IP地址”。否则,可能无法正常在线升级。
      说明:

      本命令配置完成后,设备将在出接口所属的VPN实例内进行URL远程查询。

      对于USG9500来说,管理口GigabitEthernet 0/0/0不能用于URL远程查询。所以使用USG9500的管理口进行升级时,URL远程查询功能不生效。

    通过代理服务器连接升级中心

    如果设备不能直接访问升级中心,可以勾选此项,配置代理服务器进行升级。

    地址

    当设备不能通过Internet直接连接到升级中心时,可以通过代理服务器连接到升级中心进行升级。代理服务器地址可以是IP地址或域名形式。

    说明:

    配置代理服务器的域名后,必须配置DNS来解析域名,具体操作请参见产品文档中的配置DNS-Web。

    端口

    代理服务器的端口。

    用户名

    登录代理服务器的用户名和密码。

    密码
  4. 单击“确定”。
  5. 配置定时升级或立即升级特征库。
    • 定时升级
      1. 在待升级特征库所在行勾选“定时升级”复选框,开启定时升级。
      2. 在待升级特征库所在行单击“定时升级时间”,设置定时升级的时间。

        参数

        说明

        定时升级时间

        设置升级的周期和时间点。请根据网络的实际情况选择定时升级的时间,避免与实际业务抢占网络资源。

        下面为各特征库升级时间的建议值,请根据网络的实际情况进行调整:

        • 入侵防御特征库:每周升级一次
        • 反病毒特征库:每天升级一次
        • 应用识别特征库:每周升级一次
        • IP信誉特征库:每天升级一次
        • 恶意域名特征库:每天升级一次
        • 文件信誉特征库:每天升级一次

        动作

        设置下载特征库后的动作:

        • 仅下载:设备定期下载特征库至指定路径,但不进行安装。
        • 下载并安装:设备定期下载并安装特征库,您不需要再手动进行安装。缺省情况下,系统采用下载并安装的方式升级特征库。
      3. 单击“确定”,完成定时升级时间的配置。
      4. 当选择“下载并安装”时,升级成功后,可以看到“状态”为“在线升级成功”。同时“当前版本”显示为最新版本号,“上一版本”显示为升级前的版本号。

        当选择“仅下载”时,“状态”显示为“下载成功”后,还需单击“立即安装”,状态显示为“加载成功”即表示升级成功。

        如果状态显示为,则表示特征库文件已下载到本地,但由于内存不足而没有安装成功,系统将定时尝试重新安装。
        • 单击“重新安装”,可立即进行安装操作。
        • 单击“终止升级”,可停止重试安装。如果状态显示为“系统内存不足,请稍后重试”,可稍等一段时间后单击“重新安装”。

        定时升级的过程中,如果FW的正常业务受到影响,可以终止升级。等待网络环境改善后再启动特征库升级服务。

    • 立即升级
      1. 单击待升级项对应的“立即升级”。
      2. 单击“确定”。
      3. 升级成功后,可以看到“状态”为“在线升级成功”。同时“当前版本”显示为最新版本号,“上一版本”显示为升级前的版本号。

        如果状态显示为“系统内存不足,请稍后重试”,则表示特征库文件已下载到本地,但由于内存不足而没有安装成功,系统将定时尝试重新安装。

        • 单击“重新安装”,可立即进行安装操作。
        • 单击“立即升级”,系统将删除已下载的特征库文件,并重新进行升级。

        立即升级的过程中,如果FW的正常业务受到影响,可以终止升级。等待网络环境改善后再启动特征库升级服务。

通过Web方式本地升级特征库

  1. 下载升级包。
    • 反病毒特征库、应用识别特征库、恶意域名特征库、IP信誉特征库、文件信誉特征库和入侵防御特征库:从安全中心平台(sec.huawei.com)下载,具体下载升级包的步骤请参见安全中心平台的帮助。
    • 地区识别特征库目前只支持本地升级。最新的地区识别特征库将不定期发布,您可以从安全中心平台(sec.huawei.com)下载升级文件。特征库在安全中心平台上的简称为REGION。
  2. 选择“系统 > 升级中心”。
  3. 单击待升级项对应的“本地升级”。
  4. 单击“浏览”,选择要升级的文件包。
  5. 单击“升级”。
  6. 升级成功后,可以看到“状态”为“本地升级成功”。同时“当前版本”显示为最新版本号,“上一版本”显示为升级前的版本号。

通过CLI方式在线升级特征库

  1. 配置升级中心。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令update server { domain domain-name | ip ip-address } [ port port-number ],配置升级中心的相关信息。

      如果升级中心为安全中心平台,则其默认域名为“isecurity.huawei.com”。

      配置升级中心的域名后,必须配置DNS来解析域名,具体操作请参见3

  2. 可选:配置代理服务器。

    FW通过代理服务器连接升级中心时需要执行此步骤。

    1. 执行命令update proxy enable,开启特征库代理升级功能。
    2. 执行命令update proxy { domain domain-name | ip ip-address } [ port port-number ] [ user user-name [ password password ] ],配置代理服务器的域名(或IP地址)和用户名及密码。

      如果代理服务器配置了域名,则必须配置DNS来解析域名,具体操作请参见3。

  3. 可选:配置DNS服务器。
    FW通过代理服务器连接升级中心时需要执行此步骤。
    • 执行命令dns resolve,启用DNS服务器的域名解析功能。
    • 执行命令dns server ip-address,配置DNS服务器的IP地址。
  4. 可选:指定在线升级请求报文的源IP地址。
    • 执行命令update host source interface-type interface-number,指定接口的IP地址和VPN实例作为在线升级请求报文的源地址和VPN实例。
    • 执行命令update host source ip ip-address [ vpn-instance vpn-instance ],指定在线升级请求报文的源地址。

    当管理员不指定在线升级请求报文的源IP地址时,系统将根据升级服务器的IP地址查找路由,并使用出接口的IP地址作为升级请求报文的源地址。

    当接口下存在多个IP地址时,建议通过命令update host source ip ip-address直接指定升级请求报文的源地址,并确保FW可以收到响应报文。否则,可能无法正常在线升级。
    • 当配置update host sourceinterface-type interface-number时,该接口必须绑定相应的VPN实例名称。
    • 当配置update host source ip ip-address时,必须配置vpn-instance vpn-instance

      本命令配置完成后,设备将在出接口所属的VPN实例内进行URL远程查询。

      对于USG9500来说,管理口GigabitEthernet 0/0/0不能用于URL远程查询。所以使用USG9500的管理口进行升级时,URL远程查询功能不生效。

  5. 配置定时升级或立即升级特征库。
    • 定时升级
      1. 执行命令update schedule { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb } enable,开启特征库定时升级功能。
      2. 配置特征库定时升级的时间。

        update schedule [ { daily | weekly { Mon | Tue | Wed | Thu | Fri | Sat | Sun } } time ]

        update schedule { av-sdb | cnc | ips-sdb | sa-sdb } { daily | weekly { Mon | Tue | Wed | Thu | Fri | Sat | Sun } } time

        update scheduleip-reputation { hourlyminute | { daily | weekly { Mon | Tue | Wed | Thu | Fri | Sat | Sun } } time }

        定时升级启动后,若因为网速太慢而影响FW的业务性能时,可以执行命令update abort终止特征库升级的操作。等待网络环境改善后再执行命令update online { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb }继续下载最新版本的特征库。

      3. 可选:

        缺省情况下,系统下载特征库后会自动安装,管理员也可以设置为下载特征库后手动安装。

        update confirm { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb } enable命令用来开启特征库安装确认功能。如果开启了此功能,则需要执行命令update apply { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb }安装下载的特征库。

    • 立即升级
      1. 执行命令update online { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb },立即升级特征库。

        立即升级启动后,若因为网速太慢而影响FW的业务性能时,可以执行命令update abort终止特征库升级的操作。等待网络环境改善后再继续下载最新版本的特征库。

      2. 可选:

        缺省情况下,系统下载特征库后会自动安装,管理员也可以设置为下载特征库后手动安装。

        update confirm { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb } enable命令用来开启特征库安装确认功能。如果开启了此功能,则需要执行命令update apply { av-sdb | cnc | ip-reputation | ips-sdb | sa-sdb }安装下载的特征库。

通过CLI方式本地升级特征库

  1. 下载升级包。
    • 反病毒特征库、应用识别特征库、恶意域名特征库、IP信誉特征库、文件信誉特征库和入侵防御特征库:从安全中心平台(sec.huawei.com)下载,具体下载升级包的步骤请参见安全中心平台的帮助。
    • 地区识别特征库目前只支持本地升级。最新的地区识别特征库将不定期发布,您可以从安全中心平台(sec.huawei.com)下载升级文件。特征库在安全中心平台上的简称为REGION。
  2. 将升级包从PC上传到FW的存储器中。

    升级包放在FW存储器中哪个目录下都可以,一般建议放在根目录下。

    特征库文件为.zip格式,无需解压缩,直接上传到FW即可。

  3. 执行命令system-view,进入系统视图。
  4. 执行命令update local { av-sdb | cnc | file-reputation | ip-reputation | ips-sdb | sa-sdb } file filename,进行本地升级。

升级系统软件

管理员通过更换系统软件来升级设备,本节介绍升级系统软件的常用维护方法。

背景信息

系统软件必须存放在设备的根目录下,其中:

  • USG9500的根目录为cfcard1,系统软件文件名以.cc作为扩展名。
  • USG6000E/USG6000和NGFW Module的根目录为hda1,系统软件文件名以.bin作为扩展名。

通过Web方式升级系统软件

  1. 选择“系统 > 系统更新”。
  2. 单击“选择”,显示系统软件管理界面。

    对于USG9500来说,需要分别单击“主用主控板”和“备用主控板”对应的“选择”,设置下次启动时使用的系统软件。

  3. 单击“上传”,显示“上传文件”界面。
  4. 单击“浏览”,选择待上传的系统软件。
  5. 单击“导入”,上传系统软件。

    上传系统软件成功后,返回系统软件管理界面,对应文件显示在列表中。

  6. 单击,将当前文件设置为下次启动时的系统软件。当变为后,表示设置成功。
  7. 选择“系统 > 配置 > 系统重启”。
  8. 单击“保存并重启”或“重启”。设备重启后,升级后的系统软件生效。

通过CLI方式升级系统软件

  1. 在用户视图下执行命令startup system-software system-file [ slave-board ],配置设备下次启动时加载的系统软件。

    可选参数slave-board只对采用双主控环境的USG9500有效。

  2. 执行命令display startup,查看系统当前使用和下次启动后使用的系统软件。
  3. 执行命令reboot,重新启动设备。

采集故障信息

介绍设备发生故障时,采集相关故障信息的方法。

基本故障信息收集

发生故障时,需要收集故障时间、故障现象等基本故障信息。

需要采集的基础信息如表1-7所示。

表1-7 基本信息采集表

序号

收集项

收集方法

1

故障时间

记录发生故障的时间,精确到分钟。

2

故障现象

收集故障现象并详细记录。

3

故障级别

根据故障的范围和严重程度,按照故障定级标准,记录故障的级别。

4

软件版本

在可以使用Telnet或Console口登录设备的情况下,在控制台使用display version命令进行收集。

5

组网信息

画出组网图。主要包括上下行设备、对接接口等。

6

已采取的措施

记录发生故障后已采取的措施和结果。

使用命令行收集信息时,可以在控制台(Console口或Telnet终端)上将显示信息拷贝后,粘贴到文本文件中进行记录。

设备故障信息收集

需要收集的设备故障信息如表1-8所示。

表1-8 设备故障信息收集表

序号

收集项

收集方法

1

设备信息

使用display device命令进行收集。

2

温度信息

使用display temperature slot slot-id命令进行收集。

3

CPU使用信息

使用display cpu-usage命令进行收集。

4

路由表信息

使用display ip routing-table命令进行收集。

5

日志信息

使用display logbuffer命令进行收集。

6

告警信息

使用display trapbuffer命令进行收集。

7

配置信息

使用display current-configuration命令进行收集。

8

设备诊断信息

使用display diagnostic-information命令进行收集。

9

接口信息

使用display interface命令进行收集。

10

网络连通信息

使用ping命令尝试连接各相邻节点,并记录结果。

在设备状态允许的情况下,建议使用TFTP(Trivial File Transfer Protocol)或者FTP(File Transfer Protocol)将CF卡中保存的历史告警信息和日志信息备份出来。

附录

危险操作一览表

介绍在维护过程中,可能导致设备停止运行和业务中断的软硬件问题。

硬件类危险操作

硬件类危险操作如表1-9所示。

表1-9 硬件类危险操作

操作大类

操作小类

误操作可能引起的后果

单板类操作

在线拔出主控板。

在线拔出主控板后,将导致相应模块的业务处理全部中断,使系统出现局部或全局业务阻塞。

随意按下主控板面板上的“RESET”按钮。

当按下单板面板上的“RESET”按钮时,单板将被强行执行硬件复位,该操作仅能由有资质的维护人员在系统出现严重故障的情况下执行。

如果由于误操作按下主控板面板上的“RESET”按钮,将导致主控板复位,其后果与“在线拔出主控板”一样。

在不戴防静电手腕的情况下拔插单板。

人体静电对单板上的电子器件具有很大的危害,维护人员在不戴防静电手腕的情况下拔插单板,很容易使单板遭受静电危害,从而损坏单板或使单板运行不稳定。

按钮类操作

随意按下前面板上的“RST”按钮。

当按下前面板上的“RST”按钮时,正在运行的设备将重新启动。该操作仅能由有资质的维护人员在系统出现严重故障的情况下执行。

如果由于误操作按下主控板面板上的“RST”按钮,将导致设备重新启动。

线缆类操作

随意拔插机柜内部的网线。

机柜内部的网线连接主要用于实现主机与维护终端之间的通信等功能,随意拔插网线将可能导致维护终端无法登录等。

电源类操作

随意操作机柜配电框内的电源开关。

只有在升级、扩容、更换部件或系统发生重大故障的情况下,维护人员才能按照操作规程操作各类电源开关,随意操作电源开关将导致设备停止运行、业务中断等重大事故。

命令类危险操作

危险的命令只能由有资格且经过培训的维护人员执行。

命令类危险操作如表1-10所示。

表1-10 命令类危险操作

功能分类

命令

命令功能

视图

误操作可能引起的后果

重启操作

reboot

重启系统

用户视图

该命令仅在开局或升级时由专业工程师使用,否则将导致整个设备业务中断。

格式化操作

formatdevice-name

格式化存储设备

用户视图

执行该命令进行格式化操作,将导致指定的存储设备上所有的文件丢失,并且不可恢复。

删除操作

delete [ /unreserved ] [ /quiet ] { filename | device-name }

删除FW存储设备中的指定文件

用户视图

该命令用来删除FW存储设备中的指定文件,如果使用了unreserved,会彻底删除指定文件,删除的文件将不可恢复。

用户接口

authentication-mode

验证登录用户

user-interface视图

在配置Console,VTY等用户验证时,验证方式为password或AAA,必须配置密码或用户名,否则将无法登录。

系统维护

startup system-software

设置下次启动使用的系统文件

用户视图

保证下次启动文件的正确性,否则会造成系统版本或配置不正确。
翻译
收藏
下载文档
更新时间:2021-09-26
文档编号:EDOC1100213548
浏览量:36088
下载量:3716
平均得分:0.0

相关版本

相关文档

数字签名

数字签名校验工具