h3csecpath防火墙设备使用手册v1.0【整理版】.doc

H3C设备使用手册H3C SecPath F100-C防火墙安装手册1、设备介绍 H3C SecPath F100-C/ SecPath 10F防火墙（塑料外壳）提供4个10/100M自适应FE LAN口和1个10M 半双工WAN以太网接口。 前面板外观图如下：1 以太网口指示灯LAN3 5 广域网口指示灯WAN 2 以太网口指示灯LAN2 6 系统运行指示灯SYS3 以太网口指示灯LAN17 电源指示灯PWR4 以太网口指示灯LAN0 H3C SecPath F100-C/ SecPath 10F（塑料外壳）防火墙后面板：1 电源开关6 以太网口2（LAN2） 2 电源输入插座 7 以太网口3（LAN3） 3 配置口（CONSOLE） 8 接地端子 4 以太网口0（LAN0） 9 广域网口（WAN） 5 以太网口1（LAN1） H3C SecPath F100-C II（铁盒外壳）的外观：1 以太网口指示灯（黄色） 6 以太网口（WAN） 2 以太网口指示灯（绿色） 7 以太网口（LAN3） 3 系统运行指示灯（SYS） 8 以太网口（LAN2） 4 电源指示灯（PWR） 9 以太网口（LAN1） 5 配置口（CONSOLE） 10 以太网口（LAN0） 1 交流电源输入插座 2 接地端子 2、登陆设备使用超级终端方式：如下图所示，将配置电缆（即console线）一端与防火墙的配置口相连，DB9一端与微机的串口相连。 设置配置终端的参数第一步：打开配置终端，建立新的连接。第二步：设置终端参数。 确定后键入后屏幕出现（若没有设置登录验证）： 该提示符表明防火墙已经进入用户视图，可以对防火墙进行配置了。 四、H3C SecPath F100-C防火墙配置手册下面是H3C F100-C/ SecPath 10F（一代产品为塑料盒）配置内容： 1、配置内容一览表l 保存/删除原有配置 l 配置接口 l 配置DHCP服务器 l 配置BIMS管理 l 配置静态路由 l 配置SSH访问 l 配置用户和密码 l 配置虚拟线路终端 l 查看检查配置 l 配置测试 l 回退操作2、配置保存为了确保保险集团站点式VPN迁移的顺利实施，首先需要将设备的原有配置进行备份，具体操作如下： 用超级终端登录到设备 备份现有配置： copy config.cfg config.bak /备份当前配置Copy flash:/config.cfg to flash:/config.bak?Y/N:y . %Copy file flash:/config.cfg to flash:/config.bak.Done. 查看备份文件是否在flash中：dir Directory of flash:/ (*) -rw- 1561 Apr 02 2000 00:17:55 config.cfg -rw- 1561 Apr 01 2000 23:56:36 config.bak (*) -with main attribute (b) -with backup attribute (*b) -with both main and backup attribute注： h3c处为设备名，不用修改，请记下配置的该台设备的设备名称,每台设备不一样，请注意表示处于用户模式h3c表示处于配置模式3、删除原有配置在本次迁移中，原有的ADSL线路需要迁移到中国电信CN2网络上，因此首先需要将原先的配置删除，具体如下： 删除原有配置 使用超级终端登陆到设备上，依次使用如下的命令： reset saved-configuration /删除原有配置 The saved configuration will be erased. Are you sure?Y/Ny Configuration in flash memory is being cleared. Please wait . . reset saved-configuration successfully. reboot /重启设备 Start to check configuration with next startup configuration file, please wait. .DONE! This command will reboot the device. Current configuration may be lost in next startup if you continue. Continue? Y/N:y 4、加载新配置删除完原有的配置后，依次使用如下的命令：配置接口E1/0作为分支机构的内网网关：system-view /进入配置模式 h3c interface Ethernet1/0 /进入E1/0端口配置视图h3c-Ethernet1/0 ip address x.x.x.x x.x.x.x /配置E1/0地址(地址为内网网关) h3c-Ethernet1/0 quit /返回上一层 配置防火墙作为各分支机构的DHCP服务器：h3cdhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图h3c-dhcp-pool-1 network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址范围(内网地址段) h3c-dhcp-pool-1 gateway-list x.x.x.x /配置DHCP客户端的出口网关(内网网关) h3c-dhcp-pool-1 dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址h3c-dhcp-pool-1 nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址h3c-dhcp-pool-1quit /返回上一层 h3c dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(内网网关) 配置防火墙支持BIMS管理：h3c bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能h3c-bimsbims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）h3c-bimsbims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号h3c-bimsbims source ip-address 10.255.x.x（内网网关）/配置BIMS设备发送报文时携带的源地址 h3c-bimsbims interval 10 /配置触发访问BIMS中心的间隔时间(分钟)h3c-bimsbims boot request /配置设备上电启动完成时访问BIMS中心h3c-bimsbims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E2/0作为分支机构的外网CE口：h3cint Ethernet 2/0 /进入E2/0端口配置视图h3c-Ethernet2/0ip address x.x.x.x x.x.x.x WAN口 /配置CE地址h3c-Ethernet2/0quit /返回上一层配置静态路由：h3c ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址h3c ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上h3c ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问： h3clocal-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added. h3c-luser-pinganservice-type ssh /设置用户可以使用的服务类型h3c-luser-pinganpassword cipher pingan /配置用户的密码h3c-luser-pinganquit /返回上一层h3crsa local-pair creat /产生本地RSA密钥对,注意个别华三型号只能用rsa local-key-pair creat配置指令The range of public key size is (512 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the bits of the modulusdefault = 1024: /(直接回车)配置本地RSA密匙对的长度Generating keys.+ h3c ssh user pingan authentication-type password /为SSH用户配置验证方式h3cuser-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图h3c-ui-vty0-4authentication-mode scheme /设置所在用户界面验证方式h3c-ui-vty0-4protocol inbound ssh /设置所在用户界面支持的协议h3c-ui-vty0-4quit /返回上一层h3csuper password cipher pingan /配置切换用户级别的口令h3csnmp-agent /网管snmp配置(共7行) h3csnmp-agent local-engineid 000007DB7F00000100005D19h3csnmp-agent community read Ragga0ck3rd0Mh3csnmp-agent community write Raggawall0p3Rh3csnmp-agent sys-info version allh3csnmp-agent target-host trap address udp-domain 61.129.61.50 params securityname Ragga0ck3rd0M v2ch3csnmp-agent trap source Ethernet2/0 查看当前设备使用的版本信息： H3Cdisplay version /显示当前设备使用的版本信息H3C Comware Software Comware software, Version 3.40, Release 1608P04 Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd. All rights reserved. Without the owners prior written consent, no decompiling nor reverse-engineering shall be allowed. H3C SecPath F100-C uptime is 0 week, 0 day, 1 hour, 39 minutes CPU type: PowerPC 859DSL 80MHz 64M bytes SDRAM Memory 8M bytes Flash Memory 0K bytes NvRAM Memory Pcb Version:5.0 Logic Version:1.0 BootROM Version:2.06 SLOT 1 1FE (Hardware)5.0, (Driver)1.0, (Cpld)1.0 SLOT 2 1ETH (Hardware)5.0, (Driver)1.0, (Cpld)1.0 查看目前接口状态： 查看WAN口的协商速率/工作模式/与协转是否协商正常：h3cdisplay interface e2/0下面是H3C F100-C II（二代产品为铁盒）配置内容： 1、 配置内容一览表l 保存/删除原有配置 l 配置接口和网桥组 l 配置DHCP服务器 l 配置BIMS管理 l 配置静态路由 l 配置SSH访问 l 配置用户和密码 l 配置虚拟线路终端 l 查看配置 l 配置测试 l 回退操作2、 H3C SecPath F100-C II型防火墙新配置配置网桥组： system-view /进入配置模式h3cbridge enable /启用网桥功能 h3cbridge 1 enable /启用网桥组功能并建立网桥组1 h3c interface Ethernet0/0 /进入E0/0端口配置视图h3c-Ethernet0/0 bridge-set 1 /把端口加入桥组1 h3c-Ethernet0/0 quit /返回上一层h3c interface Ethernet0/1 /进入E0/1端口配置视图h3c-Ethernet0/0 bridge-set 1 /把端口加入桥组1 h3c-Ethernet0/0 quit /返回上一层h3c interface Ethernet0/2 /进入E0/2端口配置视图h3c-Ethernet0/0 bridge-set 1 /把端口加入桥组1 h3c-Ethernet0/0 quit /返回上一层h3c interface Ethernet0/3 /进入E0/3端口配置视图h3c-Ethernet0/0 bridge-set 1 /把端口加入桥组1 h3c-Ethernet0/0 quit /返回上一层h3cinterface bridge-template 1 /创建bridge-template虚拟接口，将指定的网桥组连接到网络中h3c- bridge-template 1 ip address x.x.x.x x.x.x.x /配置bridge-template 1接口IP地址(内网网关) h3c- bridge-template 1 quit /返回上一层配置防火墙作为各分支机构的DHCP服务器：h3cdhcp server ip-pool 1 /创建DHCP全局地址池或进入DHCP地址池视图h3c-dhcp-pool-1 network x.x.x.x mask 255.255.255.240 /配置动态分配的IP地址范围(内网地址段) h3c-dhcp-pool-1 gateway-list x.x.x.x /配置DHCP客户端的出口网关(内网网关) h3c-dhcp-pool-1 dns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的DNS服务器的IP地址h3c-dhcp-pool-1 nbns-list 10.11.111.9 10.11.111.10 10.37.111.8 /配置DHCP客户端的NetBIOS服务器地址h3c-dhcp-pool-1quit /返回上一层 h3c dhcp server forbidden-ip x.x.x.x /配置DHCP地址池中不参与自动分配的IP地址(内网网关)配置防火墙支持BIMS管理：h3c bims enable (Branch Intelligent Management System) /配置在设备上启动BIMS功能h3c-bimsbims device-id设备名称 /配置设备的唯一标识符（填写当前的设备名称）h3c-bimsbims ip address 10.16.111.156 port 80 /配置BIMS中心的IP地址和使用的端口号h3c-bimsbims source ip-address 10.255.x.x（内网网关）/配置BIMS设备发送报文时携带的源地址 h3c-bimsbims interval 10 /配置触发访问BIMS中心的间隔时间(分钟) h3c-bimsbims boot request /配置设备上电启动完成时访问BIMS中心h3c-bimsbims sharekey simple 123 /设置BIMS设备侧和BIMS中心侧的共享密钥配置接口E0/4作为分支机构的外网CE口：h3cint Ethernet 0/4 /进入E0/4端口配置视图h3c-Ethernet0/4ip address x.x.x.x x.x.x.x WAN口 /配置CE地址h3c-Ethernet0/4quit /返回上一层配置静态路由：h3c ip route-static 10.0.0.0 255.0.0.0 x.x.x.x x.x.x.x /去往10.0.0.0网段的路由下一跳为x.x.x.x即PE地址h3c ip route-static 172.16.0.0 255.255.0.0 x.x.x.x x.x.x.x /去往172.16.0.0网段的路由下一跳同上h3c ip route-static 61.129.61.0 255.255.255.192 x.x.x.x x.x.x.x /去往61.129.61.0网段的路由下一跳同上配置SSH访问： h3clocal-user pingan /创建新的本地用户pingan，并且进入本地用户视图New local user added. h3c-luser-pinganservice-type ssh /设置用户可以使用的服务类型h3c-luser-pinganpassword cipher pingan /配置用户的密码h3c-luser-pinganquit /返回上一层h3crsa local-pair creat /产生本地RSA密钥对The range of public key size is (512 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to abort. Input the bits of the modulusdefault = 1024: /(直接回车)配置本地RSA密匙对的长度Generating keys.+h3c ssh user pingan authentication-type password /为SSH用户配置验证方式h3cuser-interface vty 0 4 /配置虚拟线路VTY 0 4用户界面视图h3c-ui-vty0-4authentication-mode scheme /设置所在用户界面验证方式h3c-ui-vty0-4protocol inbound ssh /设置所在用户界面支持的协议h3c-ui-vty0-4quit /返回上一层h3csuper password cipher pingan /配置切换用户级别的口令h3csnmp-agent /网管snmp配置(共7行)h3csnmp-agent local-engineid 000007DB7F00000100005D19h3csnmp-agent community read Ragga0ck3rd0Mh3csnmp-agent community write Raggawall0p3Rh3csnmp-agent sys-info version allh3csnmp-agent target-host trap address udp-domain 61.129.61.50 params securityname Ragga0ck3rd0M v2ch3csnmp-agent trap source Ethernet0/4 查看当前设备使用的版本信息： H3Cdisplay version /显示当前设备使用的版本信息 H3C Comware Software Comware software, Version 3.40, Release 5102P02 Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd. All rights reserved. Without the owners prior written consent, no decompiling nor reverse-engineering shall be allowed. H3C SecPath F100-C uptime is 0 week, 0 day, 3 hours, 58 minutes CPU type: Mips IDT RC32365 150MHz 64M bytes SDRAM Memory 8M bytes Flash Memory Pcb Version:2.0 Logic Version:1.0 BootROM Version:1.17 SLOT 0 5FE (Hardware)2.0, (Driver)2.0, (Cpld)1.0 SLOT 1 1SE (Hardware)1.0, (Driver)1.0, (Cpld)1.0保存配置：save /将设备的配置进行保存The current configuration will be written to the device. Are you sure? Y/N:y Please input the file name(*.cfg)config.cfg (To leave the existing filename unchanged, press the enter key): (直接回车 )五、H3C SecPath F100-C 防火墙测试手册1、设备接线图 配置完成后，保持设备接线图中的局域网PC至少有一台接在上面,具体设备接线图如下：H3C SecPath F100-C塑料外壳型号 H3C SecPath F100-CII铁盒外壳型号2、检查验证广域网线及CN2线路连通性 1) 当按上述图接好后，首先通过超级终端登陆到设备中，然后使用下面的命令：ping x.x.x.x /(x.x.x.x为当地电信PE地址) ping a x.x.x.x 10.16.111.156 /(-a后x.x.x.x为ICMP的源IP地址，即各分支机构内网网关) 查看这两个地址是否能ping通，如果ping a x.x.x.x 10.16.111.156 不通，则登陆设备来检查配置，同时按如下步骤测试线路连通性： 2) 用一台PC直接连接电信线路；3) 将此电脑配置成分支机构的CE地址，不设置网关；4) 使用电脑的ping命令：开始运行输入cmd ping 分支机构所在地电信PE地址，查看是否能够成功ping通。 Ping通：红色框内表示通路Ping不通：红色框内表示不通如果无法ping通请联系各地电信处理线路问题，同时设备采用回退操作。 3、 回退操作当出现新迁移到CN2网络上的分支机构VPN不能正常使用的时候，可以通过重启设备来恢复原样，具体步骤如下：使用超级终端登陆设备，使用如下命令：copy config.bak config.cfg /用之前备份的配置替换当前配置 Copy flash:/config.bak to flash:/config.cfg?Y/N:y %Copy file flash:/config.bak to flash:/config.cfg.Done. reboot /重启设备 Start to check configuration with next startup configuration file, please wait.DONE! This command will reboot the device. Current configuration may be lost in next startup if you continue. Continue? Y/N:y 回车后，设备就自动重启了。 设备重启完后，恢复如下接线图：六、H3C SecPath F100防火墙故障处理手册1、H3C SecPath F100防火墙常见故障现象及可能原因 VPN网络常见的故障现象：网络无法连通，丢包，抖动和延迟异常等； 可能原因：MPLS VPN全局规划错漏，运营商线路故障，本地/远程路由器故障或网络附件(如协议转换器，光端机等设备)故障。 2、常见故障处理 故障现象一：分支机构CE无法连接深圳总部 处理步骤： 第一步、排查分支机构CE路由器接口或设备物理故障： 通过Console口登录路由器，使用display interface x.x.x.x(连接电信CN2的CE端口)命令诊断。如果CE上接口 Ethernet2/0 is down, line protocol is down，重启E2/0端口(接口下使用shutdown命令，然后使用undo shut命令)并重启路由器（使用reboot命令重启），故障依旧，出现这种情况表明路由器接口物理层有故障，故障可能为接口物理层故障、路由器设备存在硬件故障。解决方法： 请当地客户联系省内二级机构安排替换故障路由器。第二步、排查分支机构CE路由器至电信CN2 PE路由器间链路故障： 使用display interface x.x.x.x命令，如果CE上接口 Ethernet2/0 is up, line protocol is down 出现这种情况表明接口物理层没有故障，上层协议有故障，故障可能为RJ-45电缆故障、光电转换器故障、运营商线路故障、运营商PE路由器故障。解决方法：1) 更换RJ-45电缆检查RJ-45电缆是否正常，以及路由器接口线缆是否松动；2) 检查用户端光电转换器是否正常；3) 跳开路由器，用一台PC直接连接电信线路,将此电脑配置成分支机构的CE地址，不用设置网关；使用电脑的ping命令：开始运行输入cmd ping 分支机构所在地电信PE地址，查看是否能够成功ping通。 4) 联系局端维护人员，检查到局端线路是否正常，包括局端光电转换器，局端RJ-45电缆是否正常。5) 联系局端设备维护人员，检查局端路由器或端口是否故障。 第三步、排查分支机构CE路由器至深圳电信CN2 PE路由器间链路故障： 从分支机构CE上或直接用PC ping 深圳电信PE地址不通，出现这种情况表明CE至深圳电信PE间链路有故障，故障可能为分支机构CE与当地电信PE间静态路由缺失、当地电信PE与深圳电信PE间CN2网络故障。 解决方法： 1) 通过Console口登录CE路由器，使用display current-configuration命令检查是否已正确配置如下三条静态路由：ip route-static 10.0.0.0 255.0.0.0 x.x.x.x /x.x.x.x为电信CN2 PE的地址ip route-static 172.16.0.0 255.255.0.0 x.x.x.x ip route-static 61.129.61.0 255.255.255.192 x.x.x.x 。 2) 联系当地电信CN2省网管，检查当地CE和局端PE配置，以及CE、PE设备上是否正常有对方的静态路由。 第四步、排查分支机构CE路由器至深圳总部CE路由器间链路故障： 经过上述三步排查，发现从分支机构CE ping深圳电信PE通，但是Ping不通深圳总部CE，出现这种情况表明深圳总部CE至深圳电信PE间链路有故障，故障可能为VPN全局IP地址规划出现重复(可能性大)、深圳总部CE与深圳电信PE间BGP路由条目缺失(可能性非常小) 等。解决方法： 1) 联系上海理想服务热线4008888112，让上海理想联系总部检查总部CE路由器配置和分支机构CE路由器的IP地址规划是否有重复。 2) 按正常故障处理流程，通过当地CN2省网管联系广东省网管，检查CN2网络、深圳电信PE设备和路由问题。 故障现象二：线路丢包或抖动延迟异常 处理步骤： 第一步、通过Console口登录路由器，使用扩展ping命令以1024字节包ping本地PE地址。扩展ping命令操作如下： Ping -c 1000 -s 1024 x.x.x.x -c 后面的参数表示包的数量为1000个 -s 后面的参数表示包的大小为1024字节x.x.x.x表示目的地址如果ping包有丢包或抖动延迟异常，可能原因RJ-45电缆故障、光电转换器故障、电信传输线路故障或局端PE设备故障。 解决方法：1) 尝试更换RJ-45电缆或光电转换器，确认更换后是否pi