2022防火墙常用维护操作手册

文档版本发布日期 查看设备运行状 查看接口流 查看 查看光模块信 查看会话 查看日 查看报 查看VPN状 创建新的管理 修改管理员密 修改Web服务端口 更新 备份配置文 配置 恢复管理员密 恢复出厂配 恢复配置文 升级特征 升级系统软 采集故障信 危险操作一览 1122本文档以华为0系列防火墙产品5版本为例。不同产品和版本的实现可能会有差异。本文档中FW本文档中使用到的公网IP33Web>设备资源信息”，查看CPU使用率、内存使用率、CF卡使用率，如图3-13-1CPUCF#显示USG6000<sysname>displaydeviceUSG6380'sDevicestatus:SlotSubType #显示USG6000E<sysname>displayUSG6655E'sDeviceSlotSub Online #显示USG9500<sysname>displaySlot# Online PresentAbsentPowerOnPowerOff当前设备是否有备份设备，NA其中Status状态为Abnormal如果是FAN状态为Abnormal用户在任意视图下执行命令displayhealth命令查看设备的健康检查信息，包括CPU占#显示USG9500<sysname>display CPUUsageMemoryUsage(Used/Total)Simulate51%18%SPU-16%SPU-16%SPU-16%SPU-16%SPU-15%18%SPU-16%SPU-16%SPU-15%101024%SPUCPUAverageUtilization:Management64%Dateplane33-1displayhealthdisplayhealthverbose命令可以显示从核CPU利用率使LPUCPUCPUMemoryUsage(Used/TotalUsed#显示USG6000<sysname>displaySlotCardSensor StatusCurrent(V) Normal Normal Normal Normal Normal Normal Normal Normal Normal Normal Normal Normal Normal Normal SlotCardSensorStatusCurrent(C)Lower(C) Normal Normal Normal PowerIDOnlineMode Current(A)Voltage(V)Present FanIDFanNumOnline FAN0 PresentRegistered1(6880) Left-to-FAN1[2] PresentRegistered1(6880)AUTO SystemMemoryUsageInformation:Systemmemoryusageat2015-03-26 TotalMemory(MB)UsedMemory(MB)UsedUpper Systemcpuusageat2015-03-26CPU Upper DiskUsageSystemdiskusageat2015-03-26 UsedUsed 3-2USG6000displayhealthNormalMinorMajorFatal电压值，单位为最低电压值，单位为最高电压值，单位为NormalMinorMajorFatal温度值，单位为最低温度值，单位为最高温度值，单位为PresentAbsentACDCSupplyNotSupply电流值，单位为电压值，单位为实际功率，单位为PresentAbsentRegisteredUnregisteredAUTOMANUAL气流走向，Left-to-Right总内存大小，单位为Used已使用的内存大小，单位为UsedUpperCPUCPUUpperCPU总内存大小，单位为Used已使用的内存大小，单位为Used#显示USG6000E<sysname>displaySlotCardSensor StatusCurrent(V)Lower(V) Normal SlotCardSensorStatusCurrent(C)Lower(C) Normal Normal PowerIDOnlineMode Current(A)Voltage(V)Present Present FanIDFanNumOnline FAN0[1] PresentRegistered0(6840)AUTO SystemMemoryUsageInformation:Systemmemoryusageat2000-02-08 TotalMemory(MB)UsedMemory(MB)UsedUpper Systemcpuusageat2000-02-08 CPU Upper DiskUsageSystemdiskusageat2000-02-08 DeviceTotal UsedMemory(MB)Used 3-3USG6000Edisplayhealth仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625EUSG6712E/6716E仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625EUSG6712E/6716ENormalMinorMajorFatal仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625EUSG6712E/6716E电压值，单位为仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625EUSG6712E/6716E最低电压值，单位为仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625EUSG6712E/6716E最高电压值，单位为仅USG6391E/6610E/6620E、USG6395E/6615E/6620E-K/6625EUSG6712E/6716ENormalMinorMajorFatal温度值，单位为最低温度值，单位为最高温度值，单位为PresentAbsentACDCSupplyNotSupply电流值，单位为电压值，单位为实际功率，单位为PresentAbsentRegisteredUnregisteredAUTOMANUAL气流走向，Left-to-Right总内存大小，单位为Used已使用的内存大小，单位为UsedUpperCPUCPUUpperCPU总内存大小，单位为Used已使用的内存大小，单位为UsedWeb>设备状态图”，将鼠标光标停留在某接口上，可查看该接口的详细信3-2X/Y，X表示接口物理层状态，分为PhysicalUP（物理链路正常）和PhysicalDOWN（物理链路不正常）；Y表示接ProtocolUP（网络连接正常）和ProtocolDOWN（网络无连接）。IP地址/显示该接口的IP输入/显示该接口接收/输入/显示该接口接收/该命令可以查看接口的IP#显示USG6000E/USG6000/USG9500<sysname>displayinterfacexxxsecurityzone:trustxxxcurrentstate:UPLineprotocolcurrentstate:UPDescription:InterfaceRoutePortTheMaximumTransmitUnitis1500bytes,Holdtimeris10(sec)InternetAddressis/24IPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddressis0022-a106-0e5bMediatypeistwistedpair,loopbacknotset,promiscuousmodenotset1000Mb/s-speedmode,full-duplexmode,linktypeisautonegotiationMax-bandwidth:1000000kbpsLastphysicaluptime:Lastphysicaldowntime:2018-01-1620:33:13Currentsystemtime:2018-01-1710:08:18Top3inputbitrate:672688bits/secat2018-01-1520872bits/secat2018-01-1517456bits/secat2018-01-14Top3outputbitrate:672000bits/secat2018-01-1519568bits/secat2018-01-159064bits/secat2018-01-14Top3inputpacketrate:8008packets/secat2018-01-15248packets/secat2018-01-15216packets/secat2018-01-14Top3outputpacketrate:8000packets/secat2018-01-15232packets/secat2018-01-1580packets/secat2018-01-14Last300secondsinputrate2619bytes/sec,16Last300secondsoutputrate28627bytes/sec,26Input:277618packets,46890659275866unicasts,1740broadcasts,12multicasts,00overruns,0runts,0jumbos,0FCS0lengtherrors,0codeerrors,0align0fragmenterrors,0giants,0jabbererrors0dribbleconditiondetected,0otherOutput:303774packets,157242945285539unicasts,6broadcasts,18229multicasts,00underruns,0runts,0jumbos,0FCS0fragmenterrors,0giants,0jabber0collisions,0late0ex.collisions,0deferred,*other3-4displayinterfacesecurity显示接口安全区域。仅USG9500currentUPDOWN命令，将显示状态为AdministrativelydownLineprotocolcurrentUPWN：接口的链路协议层出现故障，或者没有在此接口配置址。P)：表示该接口的链路协议状态g特性，也就是该接口的链路协议状态永远是Up。TheMaximumTransmit接口的最大传输单元（U）。例如以太网接口或串口的缺省值是0字节。长度大于U不准分片，会被丢弃。HoldtimerInternetAddress接口的IPIPSendingFrames'Format接口发送的EthernetHardwareaddress接口的MACMax-Lastphysicalup接口上次状态为UPLastphysicaldown接口上次状态为DOWNTop3inputbit接口上每秒输入比特数Top3Top3outputbit接口上每秒输出比特数Top3Top3inputpacket接口上每秒输入报文数Top3Top3outputpacket接口上每秒输出报文数Top3Last300secondsinput/outputrate最近300秒内接收/发送的报文平均速率。时间段可以通过setflow-statinterval配置。unicastsbroadcastsmulticastspauses：接收的pauseoverrunsrunts：长度小于64字节、格式正确且包含有效的CRCFCSerrors：接收到的CRClengtherrors：标准以太帧中的长度域中的数值与实际的包长～1500）codeerrorsalignerrors：传送的包中存在不完整的字节（包括前导码和帧间fragmenterrors：接收长度小于64字节，且CRCgiants：字节长度在1519-16383jabbereror：在使能的情况下，对于C错误的报文来说，只有大于o的最大长度的帧才会统计到jabbe中。dribbleconditiondetected：正常报文CRC后出现4biteothererrorsunicastsbroadcastsmulticastspauses：发送的pauseunderruns文被丢弃。runts：长度小于64字节、格式正确且包含有效的CRCFCSerrors：发送的CRCfragmenterrors：发送的长度小于64字节，且CRC不正确的包数giants：字节长度在1519-16383jabbereror：在使能的情况下，对于C错误的报文来说，只有大于o的最大长度的帧才会统计到jabbe中。ollisions而停止发送的报文。latecollisions：延迟冲突帧的数量，延迟冲突帧是指帧的前512ex.collisions：经过16个连续帧冲突之后，再发生冲突时，冲突的ered延迟发送的报文。othererrorsESN号用户可以通过查看设备的后面板获取设备ESN编号，以USG6000E为例，ESN位置如3-3USG6000ECLIESN在任意视图下执行displayesn命令，查看设备ESN<sysname><sysname>displayESNofWebESN登录WebESNESN用户在任意视图下执行命令displayesnall，查看设备各部件的ESN<sysname><sysname>displayesnSlot-Pic 1-2-2-6-6-8- LAN_WAN_6x10GF_B_CARD Slot-如为子卡，则增加显示子卡号，例如1-0表示1号槽位0ESNITEM通过displayesninterface<sysname><sysname>displayesn HGGENUINE2014-01-17YES 2013-10-23FTLF1619P1BCxxxx 2014-02-21 2014-02-082014-02-082014-04-10 2014-04-14SumitomoElectricSPP5100Zxxxx 2014-02-12NO PT7620-51-EWxxxxA011461xxxx GigabitEthernet1/0/10FINISARCORP. FTLX1471D3BCL-HWAS91RR8GigabitEthernet1/0/11FINISARCORP. FTLX1471D3BCL-HWAQD2Q732014-01-242014-03-082014-08-292013-09-303-5displayesninterface光模块的ESNNote:TheopticalmodulewasnotcertifiedbyHuaweiUnifiedSecurity“NA出接口发生了硬件故障（例如接口卡损坏，网线接触不良等其他业务层面的丢包（例如带宽管理、攻击防范功能导致的丢包入接口发生了硬件故障（例如接口卡损坏，网线接触不良等通过Web>查看指定源安全区域/源地址/源端口/查看源端口/仅USG6000和NGFWModule说明对于0条会话表的详细信息时，可能会出现当前会话已老化无法查看的情况。对于会话，基于源目的地址或端口查询会话时，只能基于转换前的地址/端口查询，不能基于T转换后的地址/端口查询。3-4单击“详细信息”对应的，可以查看会话表的详细信息。具体字段含义如下会话表的源安全区域/源地址/会话表的源IP地址/目的IP会话进行NAT转换后的源地址/源端口/会话表的源端口/会话进行NAT转换后的源端口/会话正方向的报文数（单位为包）和字节数（Byte）会话反方向的报文数（单位为包）和字节数（Byte）会话的出接口/出接口的MAC会话的下一跳IP执行命令system-view执行以下命令查看IPv4displayfirewallsessiontable[verbose][vsysvsys-name][source-zonesource-zone|destination-zonedestination-zone|{default-policy|policypolicy-name}|source-cpestart-ipv6-address[toend-ipv6-address]|source{insidestart-ip-address[toend-ip-address]|globalstart-ip-address[toend-ip-address]}|destination-cpestart-ipv6-address[toend-ipv6-address]|destination{insidestart-ip-address[toend-ip-address]|globalstart-ip-address[toend-ip-address]}|slotslot-idcpucpu-id|protocol{id|tcp|udp|sctp|icmp|ah|esp|gre}|applicationapplication-name|source-port{insideport-number|globalport-number}|destination-port{insideport-number|globalport-number}|interface{interface-name|interface-typeinterface-number}|serviceservice-type|vlanvlan-id|created-intime|long-link|useruser-name|{local|remote}|uniderection]*displayfirewallsessiontableverbose[vsysvsys-name][source-zonepolicypolicy-name}|source-cpestart-ipv6-address[toend-ipv6-address]|source{insidestart-ip-address[toend-ip-address]|globalstart-ip-address[toend-ip-address]}|destination-cpestart-ipv6-address[toend-ipv6-address]|destination{insidestart-ip-address[toend-ip-address]|globalstart-ip-address[toend-ip-address]}|slotslot-idcpucpu-id|protocol{id|tcp|udp|sctp|icmp|ah|esp|gre}|applicationapplication-name|source-port{insideport-number|globalport-number}|destination-port{insideport-number|globalport-number}|interface{interface-name|interface-typeinterface-number}|serviceservice-type|vlanvlan-id|created-intime|long-link|useruser-name|{local|remote}|uniderection|{reverse-packet|forward-packet|total-packet}{over|below|equal}start-ipv6-address[toend-ipv6-address]|source{insidestart-ip-address[toend-ip-address]|globalstart-ip-address[toend-ip-address]}|destination-cpestart-ipv6-address[toend-ipv6-address]|destination{insidestart-ip-address[toend-ip-address]|globalstart-ip-address[toend-ip-address]}|slotslot-idcpucpu-id|protocol{id|number|globalport-number}|destination-port{insideport-number|globalport-number}|interface{interface-name|interface-typeinterface-number}|serviceservice-type|vlanvlan-id|created-intime|long-link|{local|remote}]*displayfirewallsessiontableverboseall-systems[source-cpestart-ipv6-address[toend-ipv6-address]|source{insidestart-ip-address[toend-ip-address]|globalstart-ip-address[toend-ip-address]}|{insidestart-ip-address[toend-ip-address]|globalstart-ip-[toend-ip-address]}|slotslot-idcpucpu-id|protocol{id|tcp|udp|port-number}|destination-port{insideport-number|globalport-number}|interface{interface-name|interface-typeinterface-number|serviceservice-type|vlanvlan-id|created-intime|long-link|{local|below|equal}packet-value]*displayfirewallsessiontable[verbose]slb[destination{vipstart-vip-address[toend-vip-address]|ripstart-rip-address[toend-rip-address]}|sourcestart-source-address[toend-source-address]|portsource-port-number|slotslot-idcpucpu-id]*displayfirewallsessiontable[verbose]session-idsession-说明对于会话，基于源/目的地址或端口查询会话时，只能基于转换前的地址/端口查询，不能基于转换后的地址/端口查询。如果NAT转换前为IPv4地址，则使用displayfirewallsessiontable[verbose]命令结合以下一个或多个参数组合查询：sourceinsidestart-ip-address[toend-ip-address]、number、destination-portglobalport-number。CurrentCurrentTotalSessions:TYPEVPN:SRCVPN-->DSTVPNSRCIP-->在使用的情况下，会显示详细会话表项，以0为例，格式如下：CurrentTotalSessions:TYPEVPN:SRCVPNCurrentTotalSessions:TYPEVPN:SRCVPN-->DSTVPNID:ID-Zone:SRCZONE-->DSTZONERemoteTTL:TOTALTIMELeft:Interface:OUTINTERFACENexthop:IP-ADDRESSMAC:firewallsessiontable命令中的protocol参数的取值范VPN:SRCVPN--该会话的源VPN实例名称和目的VPNID:ID-该会话的IDTTL:Nexthop:IP-报文下一跳的IPMAC:报文下一跳的MAC<SRCIP-->地址的格式是xxxxtx[...yty]，其中t和ty分别是源和目的端口号。括号内为转换后地址。如果没有进行TCPTCP连接状态，仅TCPestablishe：表示设备收到包，P建立完成。1：表示设备收到第一个FI包，P连接正在断开。查看IPv6displayfirewallipv6sessiontable[verbose][vsysvsys][source-zonesource-zone|destination-zonedestination-zone|{default-policy|policypolicy-name}|sourcestart-ipv6-address[toend-ipv6-address]|destinationstart-ipv6-address[toend-ipv6-address]|applicationapplication-type|protocol{id|tcp|udp|icmp|ah|esp|gre}|serviceservice-type|source-portport-number|destination-portport-number|interface{interface-name|interface-typeinterface-number}|vlanvlan-id|created-intime|long-link|useruser-name|{local|remote}|slotslot-idcpucpu-id]*policypolicy-name}|sourcestart-ipv6-address[toend-ipv6-address]|destinationstart-ipv6-address[toend-ipv6-address]|applicationapplication-type|protocol{id|tcp|udp|icmp|ah|esp|gre}|serviceservice-type|source-portport-number|destination-portport-number|interface{interface-name|interface-typeinterface-number}|vlanvlan-id|created-intime|long-link|useruser-name|{local|remote}|slotslot-idcpucpu-id|{reverse-packet|forward-packet|total-packet}{over|below|equal}packet-value]*displayfirewallipv6sessiontable[verbose]all-systems[sourcestart-ipv6-address[toend-ipv6-address]|destinationstart-ipv6-address[toend-ipv6-address]|protocol{id|tcp|udp|icmp|ah|esp|gre}|serviceservice-type|source-portport-number|destination-portport-number|interface{interface-name|interface-typeinterface-number}|vlanvlan-id|created-intime|long-link|displayfirewallipv6sessiontableverboseall-systems[sourcestart-ipv6-address[toend-ipv6-address]|destinationstart-ipv6-address[toend-ipv6-address]|protocol{id|tcp|udp|icmp|ah|esp|gre}|serviceservice-type|source-portport-number|destination-portport-number|interface{interface-name|interface-typeinterface-number}|vlanvlan-id|created-intime|long-link|{local|remote}|slotslot-idcpucpu-id|{reverse-packet|forward-packet|total-packet}{over|below|equal}packet-value]*displayfirewallipv6sessiontable[verbose]session-idsession-说明对于会话，基于源/目的地址或端口查询会话时，只能基于转换前的地址/端口查询，不能基于转换后的地址/端口查询。如果NAT转换前为IPv6地址，则使用displayfirewallipv6session[verbose]命令结合以下一个或多个参数组合查询：sourceinsidestart-ipv6-ipv6-address]、source-portinsideport-number、destination-portglobalport-执行命令exportfirewallsessiontableftp-serverserver-（如PC）说明

除USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E/USG9500目前只支持此FTP服务器使用默认的21SDWeb查看与导出支持情况硬盘或SD硬盘或SD6510E-POE/6510E-DK/6530E硬盘或SD硬盘或SD6510E-POE/6510E-DK/6530EURL6510E-POE/6510E-DK/6530E6510E-POE/6510E-DK/6530E带宽IP6510E-POE/6510E-DK/6530E6510E-POE/6510E-DK/6530E6510E-POE/6510E-DK/6530E6510E-POE/6510E-DK/6530E6510E-POE/6510E-DK/6530E6510E-POE/6510E-DK/6530ESDWeb查看支持情况（USG6000/USG9500NGFWModule）>告警信息”下查看。流量日志仅在硬盘/SD卡在位时支持查看。b>告警信息”下查看。d：SD说明FW带宽IPURLUSG9500>对于0：选择“源地址”、“目的地址”、“接口”、“应用”、“云应略”或“带宽策略”。对于USG9500说明可选：单击“导出”，可将流量报表以CSV格式导出到管理员PCVPNIPSec通过Web方式查看IPSecIPSec>通过CLI方式查看IPSec执行displayikesa查看IPSec执行displayipsecsa查看IPSec执行displayipsecstatistics查看IPSec通过Web方式查看L2TP>L2TP>单击“刷新”，查看已建立的L2TP本地通道对端通道对端设备的隧道IDID本端建立隧道的IP隧道对端的IP隧道对端的UDP端口号。如果本端为LACUDP端口号为固定值1701 GRE

通过CLI方式查看L2TP执行displayl2tptunnel查看L2TP执行displayl2tpsession查看IPSe执行displayl2tpstatistics查看L2TP通过Web方式查看GREGRE单击“刷新”，查看GRE44缺省情况下，上已经提供了系统管理员n和审计管理员n，还可以根据实际需要创建新的管理员。Web使用Web（可选）缺省情况下，上已经存在系统管理员syn角色、配置管理员devi角色、配置管理员（监控）devi)角色、审计管理员n角色。创建管理员时，可以直接把缺省的角色赋予管理员，也可以根据需要创建新的角色。>>单击“新建”，创建新的角色。例如，创建名称为“servi”的角色，该角色对网络、策略和对象拥有读写权限，对其他配置项无权限。service->>单击“新建”，创建新的管理员。例如，创建名称为“”的管理员，密码为“M3”，并为该管理员赋予“servi”角色。service-配置完成后，管理员使用“”和密码“M”，可以登录eb界面。使用CLI<sysname><sysname>system-[sysname]acl[sysname-acl-basic-2001]rulepermitsource[sysname-acl-basic-2001]（可选）缺省情况下，W上已经存在系统管理员syn角色、配置管理员devin角色、配置管理员（监控）devi角色、审计管理员角色。创建管理员时，可以直接把缺省的角色赋予管理员，也可以根据需要创建新的角色。例如，创建名称为“vt”的管理员，密码为“M3”，并为该管理员赋予缺省的“syn”角色。[sysname][sysname][sysname-aaa]manager-uservtyadmin[sysname-aaa-manager-user-vtyadmin]passwordEnterPassword:Confirm[sysname-aaa-manager-user-vtyadmin]service-typetelnet[sysname-aaa-manager-user-vtyadmin]acl-number2001[sysname-aaa-manager-user-vtyadmin]quit[sysname-aaa]bindmanager-uservtyadminrolesystem-[sysname-aaa]配置完成后，管理员使用“vtn”和密码“M3”，可以登录CLI命令行。<sysname><sysname>current-userpassword-modifyPleaseinputcurrentpassword: Pleaseinputnew //输入新密Pleaseconfirmnew //Info:Yourpasswordhasbeenchanged.Savethechangetosurvivea开启密码修改功能，并配置密码有效期为60<sysname><sysname>system-[sysname][sysname-aaa]manager-userpassword-modify[sysname-aaa]manager-userpasswordvalid-daysWeb介绍修改Web缺省情况下，打开了80端口和8443端口，当管理员使用Web浏览器访问80HTTP修改HTTP<sysname><sysname>system-[sysname]undoweb-managerDisablehttpserversuccessfully[sysname]web-managerenableportEnablehttpserversuccessfully配置完成后，管理员使用eb浏览器访问端口（xxxx8），会自动将管理员的访问重定向到TS使用的端口，使管理员通过TS方式登录。HTTPS修改HTTPS<sysname><sysname>system-[sysname]undoweb-managersecurityDisablehttpsecurity-serversuccessfully[sysname]web-managersecurityenableportEnablehttpsecurity-serversuccessfully配置完成后，管理员使用Web浏览器访问9999端口（https://x.x.x.x:9999），HTTPS方式登录FW当设备上原有License到期后，需要重新申请、加载和激活新的LicenseWeb续购Li后，您获得了Lie授权证书，还需申请Li文件（t）才能使用受Li控制的功能。Lie文件必须以“”作为扩展名，不支持中文。获取授权编码（EntitlementID）在发货附件中找到License授权证书，并获取授权编码（EntitlementID），如说明License授权证书以纸面件（A4大小）或CD4-1License获取设备序列号ESN（EquipmentSerialNumber）通过License自助服务系统获取License请登录/isdpLicense说明如果为多台设备申请Li，请确保每台设备的授权编码（ttD）与ESN一一对应。如果您无法及时获取到License文件，请联系客户服务4008302118对于因扩容或新增使用受Lie控制的其他功能，需要再次获取Lie文件。请仍然按照上述步骤操作。License中心会自动将原有License与新增特性的License合并，生成一个新登录Web>License在“License单击“浏览”，选择待上传的License单击“激活”，激活当前LicenseWeb说明USG9500不支持在线自动激活License在线自动激活过程无需申请License文件（*.dat）说明在线自动激活需要配置DNS服务器并开启DNS在发货附件中找到License授权证书，并获取授权编码（EntitlementID），如说明License授权证书以纸面件（A4大小）或CD登录Web>License在“License依次输入“License中心域名”和“LicenseLicense中心域名为License授权编码：请填写License授权证书上的授权编码（EntitlementID）单击“激活”，设备自动激活License获取授权编码（EntitlementID）在发货附件中找到License授权证书，并获取授权编码（EntitlementID），如4-1说明License授权证书以纸面件（A4大小）或CD获取ESN登录到设备后在任意视图下执行命令displayesnLicense。使用displayesn命令可查询背板ESN。通过License自助服务系统获取License请登录/isdpLicense说明如果为多台设备申请Li，请确保每台设备的授权编码（ttD）与ESN一一对应。如果您无法及时获取到License文件，请联系客户服务处理，电话为4008302118对于因扩容或新增使用受Li控制的其他功能，需要再次获取Li文件。请仍然按照上述步骤操作。License中心会自动将原有License与新增特性的License合并，生成一个新上传License执行命令dir，查看是否有足够存储空间存放LicenseLicense文件后缀为*.dat如何上传License-文件系统-激活License执行命令system-view执行命令licenseactivefile-name，手动激活指定的License文件。激活License后，可以通过命令displaylicense，查看License的信息。为保证配置文件的安全性，请定期将设备的当前配置文件备份到管理员PC

配置文件管理”保存配置或使>以设备作为FTPClient说明鉴于SFTP协议比FTP和TFTP有更高的安全保证，建议采用SFTP登录FTP<sysname><sysname>ftpTrying54PressCTRL+KtoabortConnectedto54.220WFTPD2.0service(byTexasImperialSoftware)readyfornewuser//WFTPD为本地FTP服务器程User(64:(none)):admin123//331Givemeyourpassword,pleaseEnterpassword://输入用户密码。230Loggedinsuccessfully[ftp][ftp]put200Portcommand150Openingdataconnectionforconfig.cfg.226FilereceivedokFTP:1257byte(s)sentin0.03second(s)

IP-MACWebIP-MAC>>IP-MAC在“配置IP-MAC在“IP-MAC地址绑定列表”界面中，配置MAC和IP配置IP-MACIP地址绑定关系中的IP（可能是攻击）的主机IPIPMAC地址绑定关系中的MAC某地址的主机真实的C地址或任意指定的地址。VLANIP地址所属VLANIP-MACCLIIP-MAC执行命令system-view执行命令firewallmac-bindingenable，开启MAC和IP配置IP和MAC执行命令firewallmac-bindingip-addressmac-addressvpn-instancevpn-instance-name][vidvlan-id][descriptiondescription-text]，在在接口上对指定的网段发起ARP探测并进行IP和MAC说明仅USG6000E/USG6000执行命令interfaceinterface-typeinterface-number，进入接口视图。说明缺省情况下，0和We的学习免费功能处于开启状态。0的学习免费功能处于关闭状态。如需关闭，执行命令ogplearne。执行命令ip-addressip-addressmask|mask-lengthsub]，配置执行命令pscan[-ip-addessend-ip-addess]，开启地址解析协议（AddesstnPotoo）自动扫描的功能，对接口地址所在网段的所有地址发送请求报文，学习相应的P表项。说明仅USG6000E/USG6000可选可选：执行命令gratuitous-arpsendenableintervaltime-interval]，通过接口定期向客户端发送免费ARP，可以更新主机的网关可选：执行命令gratuitous-arpsendenableintervaltime-interval]，通过接口定期向客户端发送免费ARP，可以更新主机的网关执行命令quit执行命令firewallmac-bindinginterfaceinterface-typeinterface-说明用户也可根据实际情况将指定接口下的部分ARP绑定，通过displayarpinterface命令查看指定接口下的ARP表项，然后再执行命令firewallmac-介绍配置NAT图4-所示，某公司在网络边界处部署了W作为安全网关。为了使私网中的eb服务器能够对外提供服务，需要在上配置TSerer功能。另外，和e一个安全区域，并且地址同在一个网段的也需要访问eb服务器。由于公司希望可以使用公网地址访问eb服务器，因此还需要在W上配置源T功能。除了公网接口的地址外，公司还向申请了两个公网地址，其中0作为内网服务器对外提供服务的地址，作为C的地址转换后的公网地址。4-2NATWeb使用Web配置NAT说明此处仅给出了NAT>NAT>单击“新建”，配置服务器映射（NATServer）>NAT>源NAT>NAT单击“新建”，配置NATIPNAT源NAT源NAT单击“新建”，配置NATNAT配置完成后，Internet上的用户可以通过0:8080访问内部的WebPC也可以通过0:8080访问WebCLI使用CLI配置NAT说明此处仅给出了NAT配置NATServer<sysname><sysname>system-[sysname]natserverpolicy_webprotocoltcpglobal08080insidewwwunr-配置NAT[sysname]nataddress-group[sysname]nataddress-group[sysname-address-group-addressgroup1]section005[sysname-address-group-addressgroup1]routeenable[sysname-address-group-addressgroup1]配置NAT[sysname][sysname]nat-[sysname-policy-nat]rulename[sysname-policy-nat-rule-policy_nat1]source-zone[sysname-policy-nat-rule-policy_nat1]destination-address0[sysname-policy-nat-rule-policy_nat1]actionsource-nataddress-groupaddressgroup1[sysname-policy-nat-rule-policy_nat1]actiondestination-nataddress-groupaddressgroup2[sysname-policy-nat-rule-policy_nat1]quit[sysname-policy-nat]配置完成后，Internet上的用户可以通过0:8080访问内部的WebPC也可以通过0:8080访问Web55Console说明Telnet方式存在安全风险，请使用Web或SSH方式登录设备，本例以SSH管理员使用admin1账号，通过SSH使用displayusers命令查看所有登录账号，其中带有“+”标记一行为当前管理员，记录对应的编号VTY0。<sysname><sysname>displayUser-IntfDelayTypeNetwork0CON0Username:+34VTY016:32:31SSHUsername:AuthenStatusAuthorcmdFlag执行命令displayuser-interface，查看管理员账号的权限，确认VTY0对应的级<sysname><sysname>displayuser-Idx ModemPriviActualPriviAuth0CON0 15+34VTY 15 根据Console口的认证方式，修改Console Console口使用Password修改Console口的密码为<sysname>system-view<sysname>system-view[sysname]user-interfaceconsole0[sysname-ui-console0]setauthenticationpasswordPleaseconfiguretheloginpassword(8-16)EnterConfirm Console口使用AAA修改admin账号的密码为<sysname><sysname>system-view[sysname]aaa[sysname-aaa]manager-user[FW-aaa-manager-user-admin]passwordEnterPassword:Confirm修改完成后，管理员可以使用修改后的密码或账号/密码通过ConsoleTelnet登录密码遗忘处理（USG6000E/USG6000NGFW介绍Telnett协议可以对设备进行远程维护和管理，如果t密码丢失，只能通过其他方式登录设备后重新进行配置。目前系统支持Telnet登录的2AAA方式：使用账号+Password说明VTY是设备为Telnet登录创建的逻辑接口，根据管理员登录的次序依次为其分配（或～）接口供其使用。因为无法为管理员指定其登录使用的VTY所有的VTY接口进行相同的配置。当管理员登录到设备配置界面后，可使用displaycurrent-configurationconfigurationuser-interface命令查看VTY的认证方式。您可以在原有认证方式的基AAA<sysname>system-view[sysname]<sysname>system-view[sysname]user-interfacevty04[sysname-ui-vty0-4]quit[sysname]aaa[sysname-aaa]manager-useradmin1[sysname-aaa-manager-user-admin1]passwordEnterPassword:Confirm[sysname-aaa-manager-user-admin1]service-typetelnet[sysname-aaa-manager-user-admin1]level15该配置完成后管理员可以使用admin1Password<sysname>system-view[sysname]<sysname>system-view[sysname]user-interfacevty04[sysname-ui-vty0-4]authentication-modepassword[sysname-ui-vty0-4]setauthenticationpasswordWarning:The"password"authenticationmodeisnotsecure,anditisstronglyrecommendedtouse"aaa"authenticationmode.Pleaseconfiguretheloginpassword(6-16)EnterPassword:Confirm管理员账号/密码遗忘处理（USG6000E/USG6000NGFW当ConsoleBootLoaderCtrl+Btobreakautostartup...”时，在三秒内按下Ctrl+B，输入BootLoader密码说明对于E0，BootLoade有缺省密码，为了提高安全性，建议在进入BootLoader主菜单后选择6进行修改。具体修改操作请参见修改BootLoade密码（USG6000E），BootLoader对于E0，缺省情况下，BootLoade密码为空，首次登录时系统会要求设置密码，请按系统提示设置密码，要求：密码长度不小于位，且至少包含英文大写字母（～Z）、英文小写字母（～z）、数字（～）、特殊字符（如、@、、、等）中的二种。密码设置后请妥善保管。此处以设置密码后进入BootLoader主菜单为例进行介绍。对于USG6000，BootROMBootROM主菜单后选择5进行修改。具体修改操作请参见修改BootROM（USG6000和NGFWModule），密码修改后请妥善保管以免丢失。此处以修改后的密WL中称为“BootLoader对于USG6000EPressCtrl+Btobreakautostartup...3EnterPassword:************PressCtrl+Btobreakautostartup...3EnterPassword:************MainDefaultSerialEthernetStartupparametersFilesystemPasswordmanagerResetfactoryResetfactory0.Enteryourchoice(0-8):8//此处选择8对于USG6000PressCtrl+BtoEntermainmenu...3Password:********PressCtrl+BtoEntermainmenu...3Password:********====================<ExtendMainMenu|<1>Boot |<2>SetStartupApplicationSoftwareandConfiguration|<3>FileManagement|<4>LoadandUpgrade|<5>ModifyBootrom|<6>ResetFactory|<7>ResetFactory|<0> |PressCtrl+TtoEnterManufactureTest |PressCtrl+ZtoEnterDiagnose Enteryourchoice(0-7)7//此处选择7NOTE:Thisoperationwillresetcurrentpassword.Choose'yes'tocontinue,or'no'tostopandreturn.<1>NOTE:Thisoperationwillresetcurrentpassword.Choose'yes'tocontinue,or'no'tostopandreturn.<1><0>Enteryourchoice(0-1):RestoringfactorypasswordMainDefaultSerialEthernetStartupparametersFilesystemPasswordmanagerResetfactoryResetfactory0.Enteryourchoice(0-8):1//此处选择1对于USG6000NOTE:Thisoperationwillresetcurrentpasswrod.Choose'yes'tocontinue,or'no'tostopandreturn.NOTE:Thisoperationwillresetcurrentpasswrod.Choose'yes'tocontinue,or'no'tostopandreturn.<1><0>Enteryourchoice(0-1):====================<ExtendMainMenu|<1>Boot |<2>SetStartupApplicationSoftwareandConfiguration|<3>FileManagement|<4>LoadandUpgrade|<5>ModifyBootrom|<6>ResetFactory|<7>ResetFactory|<0> |PressCtrl+TtoEnterManufactureTest |PressCtrl+ZtoEnterDiagnose Enteryourchoice(0-7):1//此处选择1RecoverRecoverconfigurationbegin...RecoverconfigurationendPressENTERtogetstarted.Warning:Thereisariskontheuser-interfacewhichyouloginthrough.Pleasechangetheconfigurationoftheuser-interfaceassoonaspossible.Copyright(C)2014-2020HuaweiTechnologiesCo.,AllrightsWithouttheowner'spriorwrittennodecompilingorreverse-engineeringshallbe Info:Pleasechangetheconfigurationofthepasswordassoonas说明重新设置管理员密码，假设管理员为admin，密码重新设置为Admin@12345<sysname><sysname>system-[sysname][sysname-aaa]manager-user[sysname-aaa-manager-user-admin]passwordcipherInfo:Info:Youareadvisedtoconfigonman-machinemode.[sysname-aaa-manager-user-admin]quit[sysname-aaa][sysname]quit<sysname>说明介绍管理员登录账号/当管理员账号/提前准备一个可以在USG9500newvrpcfg.zip的配置文件，并获取到该配置文件中的管理员账号/在BM菜单下上传p配置文件到设备中，然后设置其为下次启动时使用的配置文件。设备正常启动后，使用newvrpcfg.zip说明通过manage-userofy命令开启管理员登录时修改自身密码功能的情况下，设备重启后，会从卡的数据库中读取管理员密码，而不是从配置文件中读取密码。如果omanage-userofy命令关闭管理员登录时修改自身密码的功能。与设备搭建配置环境的PC机或配置终端屏幕上显示如下时，在3+B”，输入密码，进入BootROM主菜单（MainMenu）8090bootROM,Ver166.01Creationdate:Aug22016,16:34:23CPU :PressCtrl+BtoenterMainMenu...1Password:**********BootROMMainMainMenu(bootloadver:BootwithdefaultBootfromEnterethernetSetbootfileandModifybootROMChkdskChkdskFormatListfileinDeletefilefromSetpatchSetversionbackEnteryourchoice(1-Enteryourchoice(1-12):3EthernetEnteryourchoice(1-12):3EthernetSubmenuModifyethernetinterfacebootReturntomain Bootdevice是固定值，USG9520主控板MPUD为mottsec3，USG9520主控EKEX16-FWCD00MPUB00为motetsec0说明Bootdevice建议使用默认值，一般不需要修改，否则会导致FTPfilename对应要下载的文件，此处以加载**.zip文件为例。修改方法是：直接gateayt表示网关的地址，当W与不在同一网段时，需要指定该参数。hostinet(h)必须设置为提供FTP服务的PC机的实际IPftppassword(pw)(blank=usersh)输入对应的FTPflags(f)是固定值，0x0对应通过FTP方式下载；0x80对应通过TFTP方式下EnterEnteryourchoice(1-4):Note:twoprotocolsfordownload,tftp&Youcanmodifytheflagsfollowingthemenu.tftp--0x80,ftp--0x0.'.'=clearfield;'-'=gotopreviousfield;^D=quitbootdevice :mottsec3processor host :filename inetonethernet(e):inetonbackplane(b):hostinet(h) gatewayinet(g) user :flags(f) :0x0targetname(tn)