防火墙用户手册

USG6550防火墙用户手册目 录前 言ii1 查看类11.1 查看设备运行状态11.2 查看接口流量61.3 查看ESN和系列号(USG6000)101.4 查看ESN和系列号(USG9500)111.5 查看光模块信息121.6 查看会话表131.7 查看日志161.8 查看报表171.9 查看VPN状态182 配置类212.1 创建新的管理员212.2 修改管理员密码232.3 修改Web服务端口号242.4 更新License242.5 备份配置文件272.6 配置IP-MAC绑定282.7 配置NAT303 故障类333.1 恢复管理员密码333.2 恢复出厂配置343.3 恢复配置文件363.4 升级特征库373.5 升级系统软件443.6 采集故障信息454 附录474.1 危险操作一览表471 查看类关于本章1.1 查看设备运行状态介绍查看设备运行状态的相关操作。1.2 查看接口流量介绍查看接口流量的相关操作。1.3 查看ESN和系列号(USG6000)通过display esn命令可以查看设备及各部件的ESN。1.4 查看ESN和系列号(USG9500)通过display esn命令可以查看设备及各部件的ESN。1.5 查看光模块信息通过display esn interface命令可以查看光模块信息。 1.6 查看会话表会话表是设备转发报文的关键表项。所以当出现业务故障时，通常可以通过Web查看会话表信息，大致定位发生故障的模块或阶段。1.7 查看日志1.8 查看报表介绍查看报表的相关操作。1.9 查看VPN状态1.1 查看设备运行状态介绍查看设备运行状态的相关操作。通过Web方式查看设备部件状态选择“面板 设备资源信息”，查看CPU使用率、内存使用率、CF卡使用率，如图1-1所示。图1-1 设备资源信息参数说明CPU使用率以标度盘和百分比显示当前CPU的使用情况。当仪表盘指针移到黄色区域，表示当前CPU使用率达到预警状态。当仪表盘指针移到红色区域，表示当前CPU使用率达到警告状态。 CPU使用率代表当前设备处理业务的繁忙程度，如果CPU使用率一直居高不下，可能是设备处理能力达到极限，不满足当前网络的部署需求，建议更换高处理性能的设备。内存使用率以标度盘和百分比显示当前内存的使用情况。当仪表盘指针移到黄色区域，表示当前内存使用率达到预警状态。当仪表盘指针移到红色区域，表示当前内存使用率达到警告状态。CF卡使用率以标度盘和百分比显示当前CF卡的使用情况。当仪表盘指针移到黄色区域，表示当前CF卡使用率达到预警状态。当仪表盘指针移到红色区域，表示当前CF卡使用率达到警告状态。在软件或特征库等升级前，请确定剩余空间大小是否可存放待升级的文件。如果空间不足，需要清理无用文件以保证存储空间满足新需要。通过CLI方式查看设备部件状态查看设备状态。通常在发现某单板运行不正常时查看该单板状态。 display device USG6380s Device status: Slot Sub Type Online Power Register Status Role - 0 - RPU Present PowerOn Registered Normal Master 1 - FIBA Present PowerOn Registered Normal NA 5 - PWR Present PowerOn Registered Normal NA 7 - FAN Present PowerOn Registered Normal NA display device USG9560s Device status: Slot # Type Online Register Status Primary - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 LPU Present Registered Normal NA 2 SPU Present Registered Normal NA 6 LPU Present Registered Normal NA 8 SPU Present Registered Normal NA 9 MPU Present NA Normal Master 10 MPU Present Registered Normal Slave 12 SFU Present Registered Normal NA 13 SFU Present Registered Normal NA 14 CLK Present Registered Normal Master 15 CLK Present Registered Normal Slave 16 PWR Present Registered Abnormal NA 17 PWR Present Registered Normal NA 18 FAN Present Registered Normal NA 19 FAN Present Registered Normal NA 项目描述Slot当前在位设备的槽位号Sub子卡槽位号Type设备类型Online设备是否在线l Present表示设备在线 l Absent表示设备不在线Power设备是否上电l PowerOn表示设备上电l PowerOff表示设备下电Register设备是否注册成功，NA表示FW启动必须运行的设备，没有这些设备FW就不能启动Status设备的状态PrimaryRole当前设备是否有备份设备，NA表示该设备没有主备之分其中Status状态为Abnormal说明状态异常。可能的故障原因为：1. 设备的该槽位不支持这种接口卡。2. 接口卡损坏。3. 背板或主板上的插针损坏，如不正确的单板安装方式导致插针倾斜。4. 如果是FAN状态为Abnormal，则可能为风扇故障或不在位。查看设备的健康检查信息用户在任意视图下执行命令display health命令查看设备的健康检查信息，包括CPU占用率和内存占用率。# 显示USG9500单板的健康检查信息。 display health Slot CPU Usage Memory Usage(Used/Total) Simulate CPU - 9 MPU(Master) 10% 51% 907MB/1746MB None 1 LPU 14% 18% 384MB/2099MB None 2 SPU-CPU0 65% 16% 84MB/500MB 0% 2 SPU-CPU1 64% 16% 84MB/500MB 0% 2 SPU-CPU2 64% 16% 84MB/500MB 0% 2 SPU-CPU3 64% 16% 84MB/500MB 0% 2 SPU-CPU6 2% 15% 61MB/398MB None 6 LPU 16% 18% 386MB/2099MB None 8 SPU-CPU2 65% 16% 84MB/500MB 0% 8 SPU-CPU3 62% 16% 84MB/500MB 0% 8 SPU-CPU6 2% 15% 60MB/398MB None 10 MPU(Slave) 4% 24% 870MB/3602MB None - SPU CPU Average Utilization: Management 64% Dateplane 3 % 表1-1 display health命令的输出信息描述项目描述Slot单板槽位号。display health verbose命令可以显示从核CPU利用率使用情况。例如l LPU(VCPU0)为多核0号，(VCPU1)为多核1号，以此类推l LPU为单核CPU UsageCPU利用率。Memory Usage (Used/Total)所有注册状态板的内存使用情况。l Total：单板上当前可用的内存。l Used：单板上可用内存中已经被占用的内存。# 显示USG6000的健康检查信息。 display health - Slot Card Sensor SensorName Status Current(V) Lower(V) Upper(V) - 0 - 0 1.1V_CORE Normal 1.1000 1.0400 1.1500 - 1 3.3V Normal 3.3000 3.1200 3.4500 - 2 2.5V Normal 2.5200 2.3700 2.6100 - 3 1.5V Normal 1.4900 1.4200 1.5700 - 4 1.1V Normal 1.0900 1.0400 1.1500 - 5 0.75V_DDR Normal 0.7400 0.7100 0.7800 - 6 12V Normal 11.8800 11.4000 12.6000 1 - 0 5.0V Normal 4.9500 4.7400 5.2500 - 1 2.5V Normal 2.5000 2.3600 2.6200 - 2 1.0V Normal 0.9900 0.9500 1.0500 - 3 1.8V Normal 1.7800 1.7100 1.8900 - 4 0.9V Normal 0.9000 0.8500 0.9400 - 5 3.3V Normal 3.2800 3.1200 3.4600 - 6 12V Normal 11.9400 11.4000 12.6000 - Slot Card Sensor Status Current(C) Lower(C) Upper(C) - 0 - 0 Normal 36 0 63 - 1 Normal 51 0 90 1 - 0 Normal 31 0 63 - PowerID Online Mode State Current(A) Voltage(V) RealPwr(W) - 5 Present AC Supply 14.2 12 170 6 Absent - - - - - - FanID FanNum Online Register Speed Mode Airflow - FAN0 3 Present Registered 1 (6880 ) AUTO Left-to-Right FAN1 2 Present Registered 1 (6880 ) AUTO Left-to-Right System Memory Usage Information: System memory usage at 2015-03-26 16:25:01 - Slot Total Memory(MB) Used Memory(MB) Used Percentage Upper Limit - 0 3789 2265 59% 95% - System CPU Usage Information: System cpu usage at 2015-03-26 16:25:01 - Slot CPU Usage Upper Limit - 0 32% 80% - Disk Usage Information: System disk usage at 2015-03-26 16:25:02 - Slot Device Total Memory(MB) Used Memory(MB) Used Percentage - 0 hda1: 1172 725 61% - 1.2 查看接口流量介绍查看接口流量的相关操作。通过Web方式查看接口流量选择“面板 设备状态图”，将鼠标光标停留在某接口上，可查看该接口的详细信息，如图1-3所示。单击“刷新”后能够查看到接口的最新信息。 图1-3 接口信息 参数说明接口状态显示该接口的物理状态/链路状态。l Up/Line Up：接口物理/链路处于正常启动的状态。l Down/Line Down：接口物理层出现故障。l Administratively Down/Line Down：说明该接口已被禁用。安全区域显示该接口所在安全区域。IP地址/掩码显示该接口的IP地址及子网掩码。速率显示该接口的速率。模式显示接口的双工模式。输入/出流量显示该接口接收/发送的流量大小。输入/出错包数显示该接口接收/发送的流量中的错包数。通过CLI方式查看接口信息该命令可以查看接口的IP地址、物理层及协议层状态、接口描述。下面以USG6370系列为例。 display interface GigabitEthernet 1/0/1 GigabitEthernet1/0/1 current state : UP Line protocol current state : UP GigabitEthernet1/0/1 current firewall zone : untrust Description:Huawei, USG6370 Series, GigabitEthernet1/0/1 Interface Route Port,The Maximum Transmit Unit is 1500 bytes, Hold timer is 10 Internet Address is /24 IP Sending Frames Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-a101 Media type is twisted pair, loopback not set, promiscuous mode not set 100Mb/s-speed mode, full-duplex mode, link type is auto negotiation Max-bandwidth : Kbps Last physical up time : - Last physical down time : 2015-05-07 20:33:13 Current system time: 2015-05-11 10:08:18 Last 300 seconds input rate 8 bytes/sec, 0 packets/sec Last 300 seconds output rate 8 bytes/sec, 0 packets/sec Input: 1149 packets, 99478 bytes 12 unicasts, 4 broadcasts, 1133 multicasts, 0 pauses 0 overruns, 0 runts, 0 jumbos, 0 FCS errors 0 length errors, 0 code errors, 0 align errors 0 fragment errors, 0 giants, 0 jabber errors 0 dribble condition detected, 0 other errors Output: 1104 packets, 94646 bytes 7 unicasts, 10 broadcasts, 1087 multicasts, 0 pauses 0 underruns, 0 runts, 0 jumbos, 0 FCS errors 0 fragment errors, 0 giants, 0 jabber errors 0 collisions, 0 late collisions 0 ex. collisions, 0 deferred, * other errors Input bandwidth utilization : 0% Output bandwidth utilization : 0% 显示信息说明GigabitEthernet1/0/1 current state : UP显示该接口的物理状态。l UP：接口物理层处于正常启动的状态。l DOWN：接口物理层出现故障。建议做如下检查： 线缆是否连接到正确的接口 使用speed命令修改了接口速率，且两端不一致。 使用duplex命令修改了双工模式，且两端不一致。 更换连接线缆，确认是否线缆故障。l Administratively down：说明该接口下执行了shutdown命令，可以通过undo shutdown取消配置。Line protocol current state : UP显示该接口的协议状态。l UP：接口的协议层正常启动。l DOWN：接口的链路或协议层出现故障。l UP (s)：当逻辑接口状态为UP后。GigabitEthernet1/0/1 current firewall zone : untrust显示该接口所属安全区域。Description :Description后边显示该接口的Description信息，该信息可以使用description进行配置和修改。Route Port说明该接口的端口类型为路由端口，如果显示为Switch Port则说明为交换端口。端口类型可以使用portswitch命令进行切换。The Maximum Transmit Unit is接口的最大传输单元（MTU）。长度大于接口MTU的报文，将会被分片后再发送。如果IP报文内设置了不分片，大于接口MTU的报文会被丢弃。通常在设备之间可以建立连接，但是无法传输数据（比如FTP可以登录但传输不了文件）时，检查接口MTU是否设置过小。Hold timer is报文的生命周期。报文如果在生命周期内没有被发送出去，则将被丢弃。Internet Address is接口的IP地址和掩码，可以是静态配置或者通过DHCP等动态方式获取到的IP地址。如果没有IP地址则显示“Internet protocol processing : disabled”。IP Sending Frames Format is接口发送的Ethernet帧的格式。Ethernet_2为缺省的帧格式。Ethernet在接收帧时，可以识别如下几种帧格式：l Ethernet_2l Ethernet_SNAPl 802.2l 802.3Hardware address is接口的硬件地址，即接口MAC地址。Media type is twisted pair显示线缆类型是双绞线。full-duplex mode显示该接口的双工模式是全双工。以太网两端的双工模式需要一致。link type显示接口的双工模式为自协商模式，如果用户手工指定为half/full显示为force link。Max-bandwidth接口可用的最大带宽是Kbps，使用speed命令会影响显示的带宽。Last physical up time接口上次状态为UP的时间。Last physical down time接口上次状态为UDOWN的时间。Current system time当前系统时间。Last 300 seconds input/output该接口最近5分钟的报文收发速率，可以观察到接口的近期报文发送统计，在发生故障的第一时间查看效果比较明显。Input接收报文的统计信息。l unicasts：单播报文数。l broadcasts：广播报文数。l multicasts：组播报文数。l pauses：接收到Pause帧个数。l overruns：当接口的接收速率超过接收队列的处理能力时，设备丢弃的报文数。l runts：超短报文数。l jumbos：在jumbo使能的情况下，大于1518字节小于jumbo的最大长度的帧。l FCS errors：接收到长度正常，但CRC校验错误的帧的个数。l length errors：802.3以太网报文结构中，长度字段（length field）不在46至1500字节范围内的报文数。l code errors：编码错误的报文数。l align errors：对齐错误的报文数。l fragment errors：接收长度小于64字节，且CRC不正确的报文数。l giants：超长报文数。l jabber errors：大于1518字节的CRC错误报文数。l dribble condition detected：报文经过CRC校验后出现4bit数据的非正常报文数。l other errors：其他错误报文数和丢失报文数。output发送报文的统计信息。l unicasts：单播报文数。l broadcasts：广播报文数。l multicasts：组播报文数。l pauses：发送Pause帧的个数。l underruns：当接口的发送速率超过了发送队列的处理能力，被丢弃的报文数。l runts：超短报文数。l jumbos：在jumbo使能的情况下，大于1518字节小于jumbo的最大长度的帧的个数。l FCS errors：发送CRC校验错误，长度正常的帧的个数。l fragment errors：发送长度小于64字节，且CRC不正确的报文数。l giants：超长报文数。l jabber errors：大于1518字节的CRC错误的报文数。l collisions：碰撞错误，发送报文的时候正好碰到冲突检测。l late collisions：后碰撞错误，发送报文时（还没有发送完毕），发生冲突检测。l ex. collisions：超期错误，一个报文因为发生超过16次碰撞仍然没有发送成功，报文丢弃。l deferred：延迟发送，发送的时候进行延迟，不包含碰撞错误。l other errors：其他错误报文数。1.3 查看ESN和系列号(USG6000)通过display esn命令可以查看设备及各部件的ESN。查看设备ESN用户可以通过查看设备的后面板获取设备ESN编号，以USG6306/6308/6330/6350/6360机型为例，ESN位置如图1-4所示。图1-4 USG6306/6308/6330/6350/6360后面板# 查看USG6000的ESN。 display esn ESN of master:G6QD2xxxxxxxx 1.4 查看ESN和系列号(USG9500)通过display esn命令可以查看设备及各部件的ESN。查看背板ESN用户可以登录到设备在任意视图下执行命令display esn，查看设备的ESN编号。 display esn ESN of master:G6QD10xxxxxxxx 其中G6QD10xxxxxxxx为背板的ESN编号。查看设备部件ESN用户在任意视图下执行命令display esn all，查看设备各部件的ESN编号。 display esn all Slot-Pic Type S/N P/N - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1 LPU 0xxxxxxxx 0305xxxx 1 -1 ETH_24xGF_B_CARD 030PMN10xxxxxxxx 0303xxxx 2 SPU G09Q10xxxxxxxx 0305xxxx 2 -0 SPU_CARD_TYPE_SPCB G09S10xxxxxxxx 0305xxxx 2 -1 SPU_CARD_TYPE_SPCB 02G36N10xxxxxxxx 0302xxxx 6 -0 LAN_WAN_6x10GF_B_CARD 030QDE10xxxxxxxx 0303xxxx 6 -1 ETH_24xGF_B_CARD 030PMN10xxxxxxxx 0303xxxx 8 SPU G09Q10xxxxxxxx 0305xxxx 8 -1 SPU_CARD_TYPE_SPCB 02G36N10xxxxxxxx 0302xxxx 9 MPU 030KSR10xxxxxxxx 0303xxxx 10 MPU G08N10xxxxxxxx 0305xxxx 17 PWR Txxxxxxxx 0212xxxx 18 FAN Txxxxxxxx 0212xxxx 19 FAN Txxxxxxxx 0212xxxx / BackPlane G6QD10xxxxxxxx 0235xxxx 项目描述Slot-Pic槽位号。如为子卡，则增加显示子卡号，例如1-0表示1号槽位0号子卡。Type表示板卡类型。如为子卡，则表示子卡类型。S/NESN编号信息。P/NITEM编号信息。1.5 查看光模块信息通过display esn interface命令可以查看光模块信息。 用户在任意视图下执行命令display esn interface，查看USG6000各接口光模块的ESN编号。 display esn interface Interface VendorName PN SN Date Certified GigabitEthernet1/0/4 huawei 3410xxxx PR31xxx 2014-01-17 YES GigabitEthernet1/0/5 huawei 0231xxxx AD1342xxxxx 2013-10-23 YES GigabitEthernet3/0/0 FINISAR CORP. FTLF1619xxxxx-HW PR7xxxx 2014-02-21 NO GigabitEthernet3/0/1 HG GENUINE MXPD-xxxMD HA140xxxxxxxx 2014-02-08 NO GigabitEthernet3/0/2 JDSU PLRXPLVCSxxxxHW CE06xxxxx 2014-02-08 NO GigabitEthernet3/0/3 OCLARO,INC TRSxxxxEN-SP01 T14Dxxxxx 2014-04-10 NO GigabitEthernet3/0/4 SOURCEPHOTONICS FTMxxxxCSL40GHW E5C20xxxxx 2014-04-14 NO GigabitEthernet3/0/5 SumitomoElectric SPPxxxxZR-H1 42D710Nxxxxx 2014-02-12 NO GigabitEthernet3/0/6 NEOPHOTONICS PTxxxx-51-EW-KHW A01146xxxxx 2014-01-24 NO GigabitEthernet3/0/7 SOURCEPHOTONICS FTM-xxxxC-SL50G E4620xxxxx 2014-03-08 NO 用户在任意视图下执行命令display esn interface，查看USG9500各接口光模块的ESN编号。 display esn interface Interface VendorName PN SN Date GigabitEthernet3/1/0 FINISAR CORP. FTLX1471Dxxxx-