防火墙用户手册

精品文档 i欢迎下载欢迎下载 USG6550 防火墙 用户手册 精品文档 ii欢迎下载欢迎下载 目目 录录 前前 言言 iiii 1 1 查看类查看类 1 1 1 1 查看设备运行状态 1 1 2 查看接口流量 6 1 3 查看 ESN 和系列号 USG6000 10 1 4 查看 ESN 和系列号 USG9500 11 1 5 查看光模块信息 12 1 6 查看会话表 13 1 7 查看日志 16 1 8 查看报表 17 1 9 查看 VPN 状态 18 2 2 配置类配置类 2121 2 1 创建新的管理员 21 2 2 修改管理员密码 23 2 3 修改 Web 服务端口号 24 2 4 更新 License 24 2 5 备份配置文件 27 2 6 配置 IP MAC 绑定 28 2 7 配置 NAT 30 3 3 故障类故障类 3333 3 1 恢复管理员密码 33 3 2 恢复出厂配置 34 3 3 恢复配置文件 36 3 4 升级特征库 37 3 5 升级系统软件 44 3 6 采集故障信息 45 4 4 附录附录 4747 4 1 危险操作一览表 47 精品文档 1欢迎下载欢迎下载 1 查看类查看类 关于本章 1 1 查看设备运行状态 介绍查看设备运行状态的相关操作 1 2 查看接口流量 介绍查看接口流量的相关操作 1 3 查看 ESN 和系列号 USG6000 通过 displaydisplay esnesn 命令可以查看设备及各部件的 ESN 1 4 查看 ESN 和系列号 USG9500 通过 displaydisplay esnesn 命令可以查看设备及各部件的 ESN 1 5 查看光模块信息 通过 displaydisplay esnesn interfaceinterface 命令可以查看光模块信息 1 6 查看会话表 会话表是设备转发报文的关键表项 所以当出现业务故障时 通常可以通过 Web 查看 会话表信息 大致定位发生故障的模块或阶段 1 7 查看日志 1 8 查看报表 介绍查看报表的相关操作 1 9 查看 VPN 状态 1 1 查看设备运行状态 介绍查看设备运行状态的相关操作 精品文档 2欢迎下载欢迎下载 通过 Web 方式查看设备部件状态 选择 面板 设备资源信息 查看 CPU 使用率 内存使用率 CF 卡使用率 如图 1 1 所示 图 1 1 设备资源信息 参数说明 CPU 使用率以标度盘和百分比显示当前 CPU 的使用情况 当仪表盘指 针移到黄色区域 表示当前 CPU 使用率达到预警状态 当 仪表盘指针移到红色区域 表示当前 CPU 使用率达到警告 状态 CPU 使用率代表当前设备处理业务的繁忙程度 如果 CPU 使用率一直居高不下 可能是设备处理能力达到极限 不 满足当前网络的部署需求 建议更换高处理性能的设备 内存使用率以标度盘和百分比显示当前内存的使用情况 当仪表盘指 针移到黄色区域 表示当前内存使用率达到预警状态 当 仪表盘指针移到红色区域 表示当前内存使用率达到警告 状态 CF 卡使用率以标度盘和百分比显示当前 CF 卡的使用情况 当仪表盘 指针移到黄色区域 表示当前 CF 卡使用率达到预警状态 当仪表盘指针移到红色区域 表示当前 CF 卡使用率达到 警告状态 在软件或特征库等升级前 请确定剩余空间大小是否可存 放待升级的文件 如果空间不足 需要清理无用文件以保 证存储空间满足新需要 通过 CLI 方式查看设备部件状态 查看设备状态 通常在发现某单板运行不正常时查看该单板状态 d di is sp pl la ay y d de ev vi ic ce e USG6380 s Device status Slot Sub Type Online Power Register Status Role 精品文档 3欢迎下载欢迎下载 0 RPU Present PowerOn Registered Normal Master 1 FIBA Present PowerOn Registered Normal NA 5 PWR Present PowerOn Registered Normal NA 7 FAN Present PowerOn Registered Normal NA d di is sp pl la ay y d de ev vi ic ce e USG9560 s Device status Slot Type Online Register Status Primary 1 LPU Present Registered Normal NA 2 SPU Present Registered Normal NA 6 LPU Present Registered Normal NA 8 SPU Present Registered Normal NA 9 MPU Present NA Normal Master 10 MPU Present Registered Normal Slave 12 SFU Present Registered Normal NA 13 SFU Present Registered Normal NA 14 CLK Present Registered Normal Master 15 CLK Present Registered Normal Slave 16 PWR Present Registered Abnormal NA 17 PWR Present Registered Normal NA 18 FAN Present Registered Normal NA 19 FAN Present Registered Normal NA 项目描述 Slot 当前在位设备的槽位号 Sub 子卡槽位号 Type 设备类型 Online 设备是否在线 Present 表示设备在线 Absent 表示设备不在线 Power 设备是否上电 PowerOn 表示设备上电 PowerOff 表示设备下电 Register 设备是否注册成功 NA 表示 FW 启动必须运 行的设备 没有这些设备 FW 就不能启动 Status 设备的状态 Primary Role 当前设备是否有备份设备 NA 表示该设备 没有主备之分 其中 Status 状态为 Abnormal 说明状态异常 可能的故障原因为 1 设备的该槽位不支持这种接口卡 精品文档 4欢迎下载欢迎下载 2 接口卡损坏 3 背板或主板上的插针损坏 如不正确的单板安装方式导致插针倾斜 4 如果是 FAN 状态为 Abnormal 则可能为风扇故障或不在位 查看设备的健康检查信息 用户在任意视图下执行命令 displaydisplay healthhealth 命令查看设备的健康检查信息 包括 CPU 占用率和内存占用率 显示 USG9500 单板的健康检查信息 d di is sp pl la ay y h he ea al lt th h Slot CPU Usage Memory Usage Used Total Simulate CPU 9 MPU Master 10 51 907MB 1746MB None 1 LPU 14 18 384MB 2099MB None 2 SPU CPU0 65 16 84MB 500MB 0 2 SPU CPU1 64 16 84MB 500MB 0 2 SPU CPU2 64 16 84MB 500MB 0 2 SPU CPU3 64 16 84MB 500MB 0 2 SPU CPU6 2 15 61MB 398MB None 6 LPU 16 18 386MB 2099MB None 8 SPU CPU2 65 16 84MB 500MB 0 8 SPU CPU3 62 16 84MB 500MB 0 8 SPU CPU6 2 15 60MB 398MB None 10 MPU Slave 4 24 870MB 3602MB None SPU CPU Average Utilization Management 64 Dateplane 3 表 1 1 display health 命令的输出信息描述 项目描述 Slot 单板槽位号 displaydisplay healthhealth verboseverbose 命令可以显示从核 CPU 利 用率使用情况 例如 LPU VCPU0 为多核 0 号 VCPU1 为多核 1 号 以此类推 LPU 为单核 CPU Usage CPU 利用率 Memory Usage Used Total 所有注册状态板的内存使用情况 Total 单板上当前可用的内存 Used 单板上可用内存中已经被占用的内存 显示 USG6000 的健康检查信息 d di is sp pl la ay y h he ea al lt th h 精品文档 5欢迎下载欢迎下载 Slot Card Sensor SensorName Status Current V Lower V Upper V 0 0 1 1V CORE Normal 1 1000 1 0400 1 1500 1 3 3V Normal 3 3000 3 1200 3 4500 2 2 5V Normal 2 5200 2 3700 2 6100 3 1 5V Normal 1 4900 1 4200 1 5700 4 1 1V Normal 1 0900 1 0400 1 1500 5 0 75V DDR Normal 0 7400 0 7100 0 7800 6 12V Normal 11 8800 11 4000 12 6000 1 0 5 0V Normal 4 9500 4 7400 5 2500 1 2 5V Normal 2 5000 2 3600 2 6200 2 1 0V Normal 0 9900 0 9500 1 0500 3 1 8V Normal 1 7800 1 7100 1 8900 4 0 9V Normal 0 9000 0 8500 0 9400 5 3 3V Normal 3 2800 3 1200 3 4600 6 12V Normal 11 9400 11 4000 12 6000 Slot Card Sensor Status Current C Lower C Upper C 0 0 Normal 36 0 63 1 Normal 51 0 90 1 0 Normal 31 0 63 PowerID Online Mode State Current A Voltage V RealPwr W 5 Present AC Supply 14 2 12 170 6 Absent FanID FanNum Online Register Speed Mode Airflow FAN0 3 Present Registered 1 6880 AUTO Left to Right FAN1 2 Present Registered 1 6880 AUTO Left to Right System Memory Usage Information System memory usage at 2015 03 26 16 25 01 Slot Total Memory MB Used Memory MB Used Percentage Upper Limit 0 3789 2265 59 95 System CPU Usage Information System cpu usage at 2015 03 26 16 25 01 Slot CPU Usage Upper Limit 0 32 80 Disk Usage Information System disk usage at 2015 03 26 16 25 02 Slot Device Total Memory MB Used Memory MB Used Percentage 0 hda1 1172 725 61 精品文档 6欢迎下载欢迎下载 1 2 查看接口流量 介绍查看接口流量的相关操作 通过 Web 方式查看接口流量 选择 面板 设备状态图 将鼠标光标停留在某接口上 可查看该接口的详细信息 如图 1 3 所示 单击 刷新 后能够查看到接口的最新信息 图 1 3 接口信息 参数说明 接口状态显示该接口的物理状态 链路状态 Up Line Up 接口物理 链路处于正常启动的状态 Down Line Down 接口物理层出现故障 Administratively Down Line Down 说明该接口已被 禁用 安全区域显示该接口所在安全区域 IP 地址 掩码显示该接口的 IP 地址及子网掩码 速率显示该接口的速率 精品文档 7欢迎下载欢迎下载 参数说明 模式显示接口的双工模式 输入 出流量显示该接口接收 发送的流量大小 输入 出错包数显示该接口接收 发送的流量中的错包数 通过 CLI 方式查看接口信息 该命令可以查看接口的 IP 地址 物理层及协议层状态 接口描述 下面以 USG6370 系 列为例 d di is sp pl la ay y i in nt te er rf fa ac ce e G Gi ig ga ab bi it tE Et th he er rn ne et t 1 1 0 0 1 1 GigabitEthernet1 0 1 current state UP Line protocol current state UP GigabitEthernet1 0 1 current firewall zone untrust Description Huawei USG6370 Series GigabitEthernet1 0 1 Interface Route Port The Maximum Transmit Unit is 1500 bytes Hold timer is 10 Internet Address is 10 1 2 1 24 IP Sending Frames Format is PKTFMT ETHNT 2 Hardware address is 0022 a100 a101 Media type is twisted pair loopback not set promiscuous mode not set 100Mb s speed mode full duplex mode link type is auto negotiation Max bandwidth 100000 Kbps Last physical up time Last physical down time 2015 05 07 20 33 13 Current system time 2015 05 11 10 08 18 Last 300 seconds input rate 8 bytes sec 0 packets sec Last 300 seconds output rate 8 bytes sec 0 packets sec Input 1149 packets 99478 bytes 12 unicasts 4 broadcasts 1133 multicasts 0 pauses 0 overruns 0 runts 0 jumbos 0 FCS errors 0 length errors 0 code errors 0 align errors 0 fragment errors 0 giants 0 jabber errors 0 dribble condition detected 0 other errors Output 1104 packets 94646 bytes 7 unicasts 10 broadcasts 1087 multicasts 0 pauses 0 underruns 0 runts 0 jumbos 0 FCS errors 0 fragment errors 0 giants 0 jabber errors 0 collisions 0 late collisions 0 ex collisions 0 deferred other errors Input bandwidth utilization 0 Output bandwidth utilization 0 显示信息说明 GigabitEthernet1 0 1 current state UP 显示该接口的物理状态 UP 接口物理层处于正常启动的状态 DOWN 接口物理层出现故障 建议做如下检查 线缆是否连接到正确的接口 精品文档 8欢迎下载欢迎下载 显示信息说明 使用 speedspeed 命令修改了接口速率 且两端不一致 使用 duplexduplex 命令修改了双工模式 且两端不一致 更换连接线缆 确认是否线缆故障 Administratively down 说明该接口下执行了 shutdownshutdown 命令 可以通过 undoundo shutdownshutdown 取消配置 Line protocol current state UP 显示该接口的协议状态 UP 接口的协议层正常启动 DOWN 接口的链路或协议层出现故障 UP s 当逻辑接口状态为 UP 后 GigabitEthernet1 0 1 current firewall zone untrust 显示该接口所属安全区域 Description Description 后边显示该接口的 Description 信息 该信 息可以使用 descriptiondescription 进行配置和修改 Route Port 说明该接口的端口类型为路由端口 如果显示为 SwitchSwitch PortPort 则说明为交换端口 端口类型可以使用 portswitchportswitch 命令进行切换 The Maximum Transmit Unit is 接口的最大传输单元 MTU 长度大于接口 MTU 的报文 将会被分片后再发送 如果 IP 报文内设置了不分片 大 于接口 MTU 的报文会被丢弃 通常在设备之间可以建立连接 但是无法传输数据 比如 FTP 可以登录但传输不了文件 时 检查接口 MTU 是否设 置过小 Hold timer is 报文的生命周期 报文如果在生命周期内没有被发送出去 则将被丢弃 Internet Address is 接口的 IP 地址和掩码 可以是静态配置或者通过 DHCP 等 动态方式获取到的 IP 地址 如果没有 IP 地址则显示 Internet protocol processing disabled IP Sending Frames Format is 接口发送的 Ethernet 帧的格式 Ethernet 2 为缺省的帧 格式 Ethernet 在接收帧时 可以识别如下几种帧格式 Ethernet 2 Ethernet SNAP 802 2 802 3 Hardware address is 接口的硬件地址 即接口 MAC 地址 Media type is twisted pair 显示线缆类型是双绞线 精品文档 9欢迎下载欢迎下载 显示信息说明 full duplex mode 显示该接口的双工模式是全双工 以太网两端的双工模式 需要一致 link type 显示接口的双工模式为自协商模式 如果用户手工指定为 half full 显示为 force link Max bandwidth 接口可用的最大带宽是 1000000Kbps 使用 speedspeed 命令会 影响显示的带宽 Last physical up time 接口上次状态为 UP 的时间 Last physical down time 接口上次状态为 UDOWN 的时间 Current system time 当前系统时间 Last 300 seconds input output 该接口最近 5 分钟的报文收发速率 可以观察到接口的近 期报文发送统计 在发生故障的第一时间查看效果比较明 显 Input 接收报文的统计信息 unicasts 单播报文数 broadcasts 广播报文数 multicasts 组播报文数 pauses 接收到 Pause 帧个数 overruns 当接口的接收速率超过接收队列的处理能力 时 设备丢弃的报文数 runts 超短报文数 jumbos 在 jumbo 使能的情况下 大于 1518 字节小于 jumbo 的最大长度的帧 FCS errors 接收到长度正常 但 CRC 校验错误的帧的 个数 length errors 802 3 以太网报文结构中 长度字段 length field 不在 46 至 1500 字节范围内的报文数 code errors 编码错误的报文数 align errors 对齐错误的报文数 fragment errors 接收长度小于 64 字节 且 CRC 不正 确的报文数 giants 超长报文数 jabber errors 大于 1518 字节的 CRC 错误报文数 dribble condition detected 报文经过 CRC 校验后出 现 4bit 数据的非正常报文数 精品文档 10欢迎下载欢迎下载 显示信息说明 other errors 其他错误报文数和丢失报文数 output 发送报文的统计信息 unicasts 单播报文数 broadcasts 广播报文数 multicasts 组播报文数 pauses 发送 Pause 帧的个数 underruns 当接口的发送速率超过了发送队列的处理 能力 被丢弃的报文数 runts 超短报文数 jumbos 在 jumbo 使能的情况下 大于 1518 字节小于 jumbo 的最大长度的帧的个数 FCS errors 发送 CRC 校验错误 长度正常的帧的个数 fragment errors 发送长度小于 64 字节 且 CRC 不正 确的报文数 giants 超长报文数 jabber errors 大于 1518 字节的 CRC 错误的报文数 collisions 碰撞错误 发送报文的时候正好碰到冲突 检测 late collisions 后碰撞错误 发送报文时 还没有 发送完毕 发生冲突检测 ex collisions 超期错误 一个报文因为发生超过 16 次碰撞仍然没有发送成功 报文丢弃 deferred 延迟发送 发送的时候进行延迟 不包含碰 撞错误 other errors 其他错误报文数 1 3 查看 ESN 和系列号 USG6000 通过 displaydisplay esnesn 命令可以查看设备及各部件的 ESN 查看设备 ESN 用户可以通过查看设备的后面板获取设备 ESN 编号 以 USG6306 6308 6330 6350 6360 机型为例 ESN 位置如图 1 4 所示 精品文档 11欢迎下载欢迎下载 图 1 4 USG6306 6308 6330 6350 6360 后面板 查看 USG6000 的 ESN d di is sp pl la ay y e es sn n ESN of master 210235G6QD2xxxxxxxx 1 4 查看 ESN 和系列号 USG9500 通过 displaydisplay esnesn 命令可以查看设备及各部件的 ESN 查看背板 ESN 用户可以登录到设备在任意视图下执行命令 displaydisplay esnesn 查看设备的 ESN 编号 d di is sp pl la ay y e es sn n ESN of master 210235G6QD10 xxxxxxxx 其中 210235G6QD10 xxxxxxxx 为背板的 ESN 编号 查看设备部件 ESN 用户在任意视图下执行命令 displaydisplay esnesn allall 查看设备各部件的 ESN 编号 d di is sp pl la ay y e es sn n a al ll l Slot Pic Type S N P N 1 LPU 210305467910 xxxxxxxx 0305xxxx 1 1 ETH 24xGF B CARD 030PMN10 xxxxxxxx 0303xxxx 2 SPU 210305G09Q10 xxxxxxxx 0305xxxx 2 0 SPU CARD TYPE SPCB 210305G09S10 xxxxxxxx 0305xxxx 2 1 SPU CARD TYPE SPCB 02G36N10 xxxxxxxx 0302xxxx 6 0 LAN WAN 6x10GF B CARD 030QDE10 xxxxxxxx 0303xxxx 6 1 ETH 24xGF B CARD 030PMN10 xxxxxxxx 0303xxxx 8 SPU 210305G09Q10 xxxxxxxx 0305xxxx 8 1 SPU CARD TYPE SPCB 02G36N10 xxxxxxxx 0302xxxx 9 MPU 030KSR10 xxxxxxxx 0303xxxx 10 MPU 210305G08N10 xxxxxxxx 0305xxxx 17 PWR 21021205606Txxxxxxxx 0212xxxx 18 FAN 21021205626Txxxxxxxx 0212xxxx 19 FAN 21021205626Txxxxxxxx 0212xxxx BackPlane 210235G6QD10 xxxxxxxx 0235xxxx 精品文档 12欢迎下载欢迎下载 项目描述 Slot Pic 槽位号 如为子卡 则增加显示子卡号 例如 1 0 表示 1 号槽位 0 号子 卡 Type 表示板卡类型 如为子卡 则表示子卡类型 S N ESN 编号信息 P N ITEM 编号信息 1 5 查看光模块信息 通过 displaydisplay esnesn interfaceinterface 命令可以查看光模块信息 用户在任意视图下执行命令 displaydisplay esnesn interfaceinterface 查看 USG6000 各接口光模块的 ESN 编号 d di is sp pl la ay y e es sn n i in nt te er rf fa ac ce e Interface VendorName PN SN Date Certified GigabitEthernet1 0 4 huawei 3410 xxxx PR31xxx 2014 01 17 YES GigabitEthernet1 0 5 huawei 0231xxxx AD1342xxxxx 2013 10 23 YES GigabitEthernet3 0 0 FINISAR CORP FTLF1619xxxxx HW PR7xxxx 2014 02 21 NO GigabitEthernet3 0 1 HG GENUINE MXPD xxxMD HA140 xxxxxxxx 2014 02 08 NO GigabitEthernet3 0 2 JDSU PLRXPLVCSxxxxHW CE06xxxxx 2014 02 08 NO GigabitEthernet3 0 3 OCLARO INC TRSxxxxEN SP01 T14Dxxxxx 2014 04 10 NO GigabitEthernet3 0 4 SOURCEPHOTONICS FTMxxxxCSL40GHW E5C20 xxxxx 2014 04 14 NO GigabitEthernet3 0 5 SumitomoElectric SPPxxxxZR H1 42D710Nxxxxx 2014 02 12 NO GigabitEthernet3 0 6 NEOPHOTONICS PTxxxx 51 EW KHW A01146xxxxx 2014 01 24 NO GigabitEthernet3 0 7 SOURCEPHOTONICS FTM xxxxC SL50G E4620 xxxxx 2014 03 08 NO 用户在任意视图下执行命令 displaydisplay esnesn interfaceinterface 查看 USG9500 各接口光模块的 ESN 编号 d di is sp pl la ay y e es sn n i in nt te er rf fa ac ce e Interface VendorName PN SN Date GigabitEthernet3 1 0 FINISAR CORP FTLX1471Dxxxx HW ASCxxxx 精品文档 13欢迎下载欢迎下载 2014 12 19 GigabitEthernet3 1 4 AVAGO HBCU xxxxR AN09xxxxx D 2009 03 03 项目描述 Interface 光模块所属接口 VendorName 光模块制造商的名称 PN 光模块的产品编号 SN 光模块的 ESN 编号 Date 光模块的出厂日期 Certified 标示该光模块是否为华为定制的 YES 表示是华为定制的 VendorName 会显示为 HUAWEI NO 表示非华为定制的 针对该接口执行 display interface 命令时 显示信息中会有如下提示 Note The transceiver installed is not certified by Huawei Enterprise Business Group 1 6 查看会话表 会话表是设备转发报文的关键表项 所以当出现业务故障时 通常可以通过 Web 查看 会话表信息 大致定位发生故障的模块或阶段 当某个业务发生问题 例如流量不通或者断断续续时 通过查看会话表可以得出以下 信息 如果该项业务已经建立了正确的会话表项 并且根据安全策略允许了该业务的转 发 如果业务此时仍然不通 有以下几种可能原因 出接口发生了硬件故障 例如接口卡损坏 网线接触不良等 下行设备丢弃了相关报文 路由配置有错误 出接口发送的报文有错误 其他业务层面的丢包 例如带宽管理 攻击防范功能导致的丢包 其他配置方面的问题 如果该项业务没有建立会话表项 有以下几种可能原因 由于上游设备的问题或者是路由配置的问题 导致报文没有正确转发到 FW 上 设备上配置的安全策略不允许该报文的转发 例如安全策略动作被配置为 拒 绝 源 IP 被加入了黑名单等 入接口发生了硬件故障 例如接口卡损坏 网线接触不良等 精品文档 14欢迎下载欢迎下载 攻击防范方面 除黑名单之外 可能还有其他功能导致丢包 带宽管理功能可以限制会话数 当会话数超过阈值时 导致会话无法建立而 直接丢包 其他配置方面的问题 通过 Web 方式查看会话表的方法如下 1 选择 监控 会话表 2 显示 会话表 界面 查看会话表信息 会话表在某一时间段的显示如下 单击 详细信息 对应的 可以查看会话表的详细信息 具体字段含义如下 字段含义 协议会话表的协议类型 源虚拟系统 目的虚拟系统会话表的源虚拟系统和目的虚拟系统 源安全区域 目的安全区域会话表的源安全区域 目的安全区域 源地址 目的地址会话表的源 IP 地址 目的 IP 地址 NAT 源地址 NAT 目的地址会话进行 NAT 转换后的源地址 目的地址 源端口 目的端口会话表的源端口 目的端口 NAT 源端口 NAT 目的端口会话进行 NAT 转换后的源端口 目的端口 生命周期会话表总的存活时间 剩余时间会话表剩余的存活时间 出接口会话的出接口 出接口 MAC 地址会话的出接口 MAC 地址 下一跳会话的下一跳 IP 地址 安全策略会话命中的安全策略 用户名会话表的用户名 应用会话表的应用类型 通过命令行方式查看会话表的方法如下 精品文档 15欢迎下载欢迎下载 1 执行命令 system viewsystem view 进入系统视图 2 执行以下命令查看 IPv4 会话表信息 displaydisplay firewallfirewall sessionsession tabletable verboseverbose all systemsall systems vsysvsys vys name source zonesource zone source zone destination zonedestination zone destination zone default policydefault policy policypolicy policy name source cpesource cpe start ipv6 address toto end ipv6 address sourcesource insideinside start ip address toto end ip address globalglobal start ip address toto end ip address destination cpedestination cpe start ipv6 address toto end ipv6 address destinationdestination insideinside start ip address toto end ip address global start ip address toto end ip address slotslot slot id cpucpu cpu id protocolprotocol id tcptcp udpudp sctpsctp icmpicmp ahah espesp gregre applicationapplication application name source portsource port insideinside port number globalglobal port number destination portdestination port insideinside port number globalglobal port number interfaceinterface interface name interface type interface number serviceservice service type vlanvlan vlan id created increated in time long linklong link useruser user name locallocal remoteremote displaydisplay firewallfirewall sessionsession tabletable verboseverbose session idsession id session id 在双机热备的组网环境中 可以通过选择 locallocal 或 remoteremote 参数 按需要查看本端 设备或对端设备的会话表信息 由于通常情况下设备上的会话表数目很大 逐条查看非常困难 所以该条命令中 提供多个参数可以选择需要查看的会话表的类型 有效利用这些参数可以减少查 看会话表时显示的条目 缩短定位问题的时间 在不使用 verboseverbose 的情况下 会显示简要会话表项 格式如下 Current Total Sessions NUM TYPE V VP PN N SRCVPN DSTVPN SRCIP DSTIP 在使用 verboseverbose 的情况下 会显示详细会话表项 以 USG6000 为例 格式如下 Current Total Sessions NUM TYPE V VP PN N SRCVPN DSTVPN I ID D ID NUMBER Z Zo on ne e SRCZONE DSTZONE R Re em mo ot te e T TT TL L TOTALTIME L Le ef ft t LEFTTIME I In nt te er rf fa ac ce e OUTINTERFACE N Ne ex xt th ho op p IP ADDRESS M MA AC C MACADDRESS p pa ac ck ke et ts s NUMBER bytes BYTES SRCIP DSTIP P Po ol li ic cy yN Na am me e POLICYNAME 各个参数含义如表 1 2 所示 其中斜体参数会根据实际情况显示不同内容 表 1 2 会话表项参数含义 参数含义 TYPE 该会话的协议类型 可能出现的情况与 displaydisplay firewallfirewall sessionsession tabletable 命令中的protocol参数的取值范围相同 VPNVPN SRCVPN DSTVPN 该会话的源 VPN 实例名称和目的 VPN 实例名称 IDID ID NUMBER 该会话的 ID 号 精品文档 16欢迎下载欢迎下载 参数含义 SRCIP DSTIP 该会话的源 IP 地址 源端口号 目的 IP 地址 目的端口号 地址的格式是 x x x x portx y y y y porty 其中 portx 和 porty 分别是源和目的端口号 括号内为 NAT 转换后地址 如果没有进行 NAT 转换 则不显示括号内的内容 ZoneZone SRCZONE DSTZONE 该会话的源安全区域名称和目的安全区域名称 RemoteRemote 双机热备场景下 当该会话是由主机备份过来的会话 会显 示此标记 TTLTTL TOTALTIME 会话表项总的存活时间 LeftLeft LEFTTIME 会话表项剩余的存活时间 InterfaceInterface OUTINTERFACE 报文出接口的接口号 NexthopNexthop IP ADDRESS 报文下一跳的 IP 地址 MACMAC MACADDRESS 报文下一跳的 MAC 地址 packetspackets NUMBER bytes BYTES 发送的报文数统计以及字节数统计 正常情况下应该与收到 的报文数以及字节数相同 如果变少 说明存在丢包的情况 PolicyNamePolicyName POLICYNAME 报文匹配的策略名称 3 执行命令 displaydisplay firewallfirewall ipv6ipv6 sessionsession tabletable verboseverbose all systemsall systems vsysvsys vsys source zonesource zone source zone destination zonedestination zone destination zone default policydefault policy policypolicy policy name sourcesource start ipv6 address toto end ipv6 address destinationdestination start ipv6 address toto end ipv6 address applicationapplication application type protocolprotocol id tcptcp udpudp icmpicmp ahah espesp gregre serviceservice service type source portsource port port number destination portdestination port port number interfaceinterface interface name interface type interface number vlanvlan vlan id created increated in time long linklong link useruser user name locallocal remoteremote slotslot slot id cpucpu cpu id 查看 IPv6 会话表信息 精品文档 17欢迎下载欢迎下载 1 7 查看日志 无硬盘场景下查看日志 用户以系统管理员账号或审计管理员账号登录设备 仅可以在设备无硬盘时查看以下 类型日志 系统日志 业务日志 此外 还可以查看到设备产生的告警信息 对于 USG6650 6660 6670 6680 无论硬盘是否在位 均显示以上类型日志 步骤 1 选择 监控 日志 步骤 2 选择指定日志类型 结束结束 有硬盘场景下查看日志 用户以系统管理员账号登录设备 可以在设备有硬盘时查看以下类型日志 流量日志 威胁日志 URL 日志 内容日志 操作日志 用户活动日志 策略命中日志 邮件过滤日志 用户以审计管理员账号登录设备 还可以在设备有硬盘时查看审计日志 USG9500 仅支持上述日志中的流量日志 对于 USG6650 6660 6670 6680 无论硬盘是否在位 均显示以上类型日志 仅审计管理员有权限查看审计日志 步骤 1 选择 监控 日志 步骤 2 选择指定日志类型 步骤 3 可选可选 单击 导出 将流量日志以 CSV 格式导出到管理员的 PC 中 结束结束 精品文档 18欢迎下载欢迎下载 1 8 查看报表 介绍查看报表的相关操作 背景信息 当管理员向 FW 提交查询某类别报表的请求时 日志系统将本地硬盘或内存中存储的对 应类别日志数据进行统计分析和加工形成报表 日志产生较多时 建议为设备配置硬盘 以免旧的日志被新的日志覆盖导致日志信息丢失 FW 支持的报表类别如下 流量报表 威胁报表 URL 报表 策略命中报表 文件过滤报表 内容过滤报表 USG9500 仅支持以上报表中的流量报表 操作步骤 步骤 1 选择 监控 报表 步骤 2 选择报表类别 下面以 流量报表 为例 对于 USG6000 选择 源地址 目的地址 应用 应用类别 应用子类别 用 户 源地区 目的地区 虚拟系统 地址类型 或 带宽策略 对于 USG9500 选择 应用 应用类别 或 应用子类别 步骤 3 在 时间范围 复选框或 自定义 时间区域中选择需要查询的报表时间 步骤 4 单击 查询 显示不同维度的流量趋势和流量排行 将鼠标置于流量趋势图中折线发生角度变化的点上 显示此点对应的时刻和维度的流 量数值 未识别的用户和应用信息不计入流量统计 步骤 5 可选可选 单