H3C防火墻常見問題匯總

1、ALG的作用是什么地址轉(zhuǎn)換會導(dǎo)致許多對NAT敏感的應(yīng)用協(xié)議無法正常工作，必須針對該協(xié) 議進(jìn)行特殊的處理。所謂對 NAT敏感的協(xié)議是指該協(xié)議的某些報文的有效載荷 中攜帶IP地址和（或）端口號，如果不進(jìn)行特殊處理，將會嚴(yán)重影響后繼的協(xié) 議交互。地址轉(zhuǎn)換應(yīng)用網(wǎng)關(guān)（NAT Application Level Gateway NAT ALG 是解決特殊 協(xié)議穿越NAT的一種常用方式，該方法按照地址轉(zhuǎn)換規(guī)則，對載荷中的 IP地址 和端口號進(jìn)行替換，從而實(shí)現(xiàn)對該協(xié)議的透明中繼。目前 VRP的NAT ALG支持 PPTP DNS FTP ILS NB不 SIR H.323 等協(xié)議。在SecPath上，當(dāng)開啟N

2、AT功能后，系統(tǒng)會自動開啟 NAT ALG無需手工設(shè) 置。防火墻的域（zone）是什么意思區(qū)域（zone）是防火墻產(chǎn)品所引入的一個安全概念，是防火墻產(chǎn)品區(qū)別于 路由器的主要特征。一個安全區(qū)域包括一個或多個接口的組合，具有一個安全 級別。在設(shè)備內(nèi)部，安全級別通過 。100的數(shù)字來表示，數(shù)字越大表示安全級別 越高，不存在兩個具有相同安全級別的區(qū)域。 SecPath缺省有trust、untrust、 DMZ local 4個安全域，同時還可以自定義 12個區(qū)域。SecPathfirewall zone ?DMZ DMZ security zonelocal Local security zonena

3、me Specify a new security zone name and create ittrust Trust security zoneuntrust Untrust security zone一般來講，安全區(qū)域與各網(wǎng)絡(luò)的關(guān)聯(lián)遵循下面的原則：1 / 10內(nèi)部網(wǎng)絡(luò)應(yīng)安排在安全級別較高的區(qū)域、外部網(wǎng)絡(luò)應(yīng)安排在安全級別最低的區(qū)域。具體來說，Trust所屬接口用于連接用戶要保護(hù)的網(wǎng)絡(luò)；Untrust所屬接口連接外部網(wǎng)絡(luò)；DMZ區(qū)所屬接口連接用戶向外部提供服務(wù)的部分網(wǎng)絡(luò)；從防 火墻設(shè)備本身發(fā)起的連接即是從 Local區(qū)域發(fā)起的連接。相應(yīng)的所有對防火墻設(shè) 備本身的訪問都屬于向Local區(qū)域發(fā)起

4、訪問連接。SecPath防火墻中inbound和outbound的含義是什么呢SecPath防火墻的ACL規(guī)則和路由器一樣，是應(yīng)用在接口上的，inbound指 從接口進(jìn)入防火墻的方向，outbound是從防火墻出接口的方向。這點(diǎn)是與 Eudemon和 SecPath1800環(huán)同的。Eudemon和 SecPath1800用勺 ACL是應(yīng)用在域 間的，inbound是指從低安全級別的域進(jìn)入高安全級別域的流量，如從 untrust 進(jìn)入trust, outbound的方向與此相反。為什么我的接口配了 IP地址和PC對連卻ping不通接口必須加入且只能加入一個域才能生效。特別要注意的是，除了物理口

5、要加入域外，virtual-template和tunnul也必須加入域。如果不加入域，可能出 現(xiàn)端口 up但是卻互相ping不通、SecPoint撥號接入?yún)s獲取不到IP地址等情 況。這是剛接觸防火墻常犯的錯誤，希望大家能夠牢記。命令為 firewall zone trust/untrust同時，在3.4-0006版本后，缺省情況下，更改了包過濾的缺省規(guī)則，缺省 規(guī)則由permit改為deny,缺省情況下，所有的接口都是不通的，需要在系統(tǒng)視 圖下配置 firewall packet-filter default permit 才能訪問。Secpath系列產(chǎn)品如何查看flash中有哪些文件dir/

6、allDirectory of flash:/1 -rw- Oct 10 2002 10:10:10 system2 -rw- Oct 10 2002 10:10:10 HYPERLINK http:/http.zip http.zip2 / 103 -rw- 962 Sep 22 2010 16:42:11 config.cfg4 -rw- 524288 Aug 09 2010 09:35:41 bootromfull15621 KB total （8439 KB free）Secpath系列產(chǎn)品如何備份配置文件和 VRP文件1、使用TFTP方式（需要有TFTP務(wù)器，如3CDaemon）前提

7、條件：保證PC機(jī)和設(shè)備之間可以雙向PING通tftp （TFTP服務(wù)器的地址）put system （VRP文件名）tftp （TFTPS艮務(wù)器的地址）put config.cfg （VRP文件名）2、使用FTP方式前提條件：保證PC機(jī)和設(shè)備之間可以雙向PING通Quidwayftp server enable 啟動 FTP服務(wù)Quidway local-user huawe創(chuàng)建FTP用戶和密碼及及登陸后的目錄Quidway password simple huaweiQuidwayservice-type ftp ftp-directory flash:/ 在 PC運(yùn)行”鍵入 CMD命令進(jìn)入

8、 到DOS界面ftp設(shè)備IP地址用戶名和密碼都是huaweiSecpath產(chǎn)品BOOTRO憫級說明進(jìn)入bootrom命令Ctrl_D 進(jìn)入 bootrom 升級 bootrom3 / 10Ctrl_B 進(jìn)入 bootrom 升級 VRPBOOTROM 文件1、bootromd的版本文件可能有2個，大小分別是100多K和512K。2、bootrom升級時，從低版本到高版本使用 100k的update,但是從高到 低必須使用512k的重新down,建議都使用512K的bootrom文件Secpath產(chǎn)品在線升級BOOTRO解口 VRP方法BOOT在線升級：【TFTP方式】1、配置secpath F

9、和PC地址，使之互通。2、 PC上啟用TFTP serve程序，同時指定為升級的boot文件所在目錄。3、將boot文件拷入flash中。在用戶視圖下，執(zhí)行以下命令：copy x.x.x.x/bootromfull bootromfull這里，x.x.x.x為PC的地址，bootromfull為升級的boot文件名，注意：只能為bootromfull。如果只升級boot擴(kuò)展段，則拷入的文件名應(yīng)為 bootrom。如果無法確定需要升級boot擴(kuò)展段還是整個boot,則建議直接升級整個 boot文件。4、將boot升級，執(zhí)行：upgrade bootrom bootromfull這里，bootro

10、mfull為拷入的文件名稱。5、重啟系統(tǒng)?！綟TP方式】4 / 10同中低端路由器版本。版本軟件在線升級：【TFTP方式】1、配置secpath F和PC地址，使之互通。PC上啟用TFTP serve程序，同時指定為升級文件所在目錄。2、在用戶視圖下，執(zhí)行以下命令：copy x.x.x.x/system system這里，x.x.x.x為PC的地址，system為升級的系統(tǒng)文件名，注意：只能為systemo3、重啟系統(tǒng)?！綟TP方式】同中低端路由器版本。說明：防火墻應(yīng)用程序缺省名稱為system,配置文件缺省名稱為config.cfg, Boot ROM擴(kuò)展段文件缺省名稱為 bootrom,整

11、個Boot ROM文件缺省名稱為bootromfull。Secpath在BOOT中升級VRP版本時，下載完文件提示 “Writinginto Flash Fails,該如何處理一般是由于Flash出了問題。可以把Flash先格式化再下載。格式化flash可 以在進(jìn)入BOOT菜單后按“ctrl+礴按“CTRL鎖行。為什么從系統(tǒng)下升級VRP版本重啟設(shè)備后未生效5 / 10SecPath產(chǎn)品默認(rèn)的系統(tǒng)文件為system,如果是在Bootrom下TFTP#級， 系統(tǒng)將自動覆蓋以前的system文件。如果在用戶視圖下FTP下載系統(tǒng)文件，需 要手動更改下載的文件名為system。在BootRom模式下TF

12、T陽級VRP版本時，為什么從有些接口上下載不了 版本SecPath系列防火墻在bootrom下TFT葉級版本時，有一個默認(rèn)的 eth0 口 用于下載，該接口是不能更改的。各系列產(chǎn)品所對應(yīng)于eth0的接口如下：Secpath100F:WAN2刪除FLASH1面的VRP系統(tǒng)文彳從BootRom模式下TFT葉級VRP版 時，系統(tǒng)卻提示FLASHY間不足，版本無法下載，系統(tǒng)啟動不了怎么辦刪除文件時一定要/u才能完全刪除，假如在用戶視圖直接 del system,該系 統(tǒng)文件將放入回收站，同樣占用 FLASH勺空間。這時，如果重啟，老系統(tǒng)文件 不生效，新系統(tǒng)文件又無空間寫入。這時的殺手銅就是在進(jìn)入boo

13、t菜單時CTRL+格式化 FLASHT。VRP系統(tǒng)損壞了怎么辦進(jìn)入boot菜單時CTRL+格式化FLASH通過bootrom方式升級。Secpath產(chǎn)品是否支持WEB管理目前支持WEB管理的設(shè)備有：secpath10f、100f、1000f。彳S FLASHY一定得有 “http.zip文件，如果沒有就 采用detach命令來解壓軟件版本。例：detach systemSystem file length bytes, http file length 834724 bytes.dirDirectory of flash:/0 -rw- Jun 16 2009 06:46:36 system6

14、 / 101 -rw- 1830 Jun 17 2009 07:47:16 config.cfg2 -rw- 834724 Jun 18 2009 02:22:39 HYPERLINK http:/http.zip http.zip注：如果不能通過 WEB方式連到SecPath防火墻上，請按照下面的步驟進(jìn)行排 查：檢查Flash中是否有“http.zip文件；如果沒有該文件，請使用命令：detach system 來釋放出 “ http.zip文件；如果有“http.zip文件，說明此文件是以前 VRP程序里面的，請先刪除該文 件，再使用命令：detach system 來釋放出 “ http

15、.zip文件；如果在VRP下通過FTP TFTP!f式進(jìn)行升級后，那么需要先刪除“http.zip,再使用命令：detach system來釋放出“http.zip文件；如果在 Boot Rom下進(jìn)行升級，升級 成功，則正常。為什么WEB管理操作時從設(shè)備讀取頁面很慢首先查看你的IE設(shè)置：第一次Web訪問某個頁面時，要從FLASH1面讀取大量數(shù)據(jù)，頁面顯示 會相對較慢。以后系統(tǒng)緩存后，訪問已訪問過的頁面會比較快。當(dāng)你做了上述 設(shè)置之后，發(fā)現(xiàn)讀取頁面還是異常慢，不妨換臺PC試試，有時會碰到有的PC機(jī)訪問頁面異常慢的情況，原因不明。在3.4-0006版本中，對 WEB的訪問流程進(jìn)行了優(yōu)化，訪問速度較

16、以前的版 本快。如果客戶反映 WEB訪問很慢，請升級到最新版本。注意，如果在使用過 程中單獨(dú)升級http.zip文件，需要重啟設(shè)備才能生效。如果只在用戶模式下，7 / 10FTP上傳新版本到FLASH必須手動在用戶模式下用 detach system命令來解壓 出新的HTTP.ZI收件。LNS位于NAT網(wǎng)關(guān)之后如何處理有兩種方式：1、NAT上做靜態(tài)NAT映射，將LNS的私網(wǎng)地址映射為一個公網(wǎng)地址。2、NAT上做1701/UDP的NAT server;將LNS的1701端口映射為公網(wǎng)的 1701 端口。在Secpath10f/100f/1000f上配置為LNS但出現(xiàn)連接到 驗(yàn)證用戶名和密碼 時”

17、出現(xiàn)錯誤619: ,是什么原因?qū)⒎阑饓舴婪吨小?I欺騙攻擊”關(guān)閉即可解決此問題。IPSECW關(guān)也位于NAT網(wǎng)關(guān)之后，如何處理1、NAT上做靜態(tài)NAT映射，將VPN網(wǎng)關(guān)的私網(wǎng)地址映射為一個公網(wǎng)地 址。同時，雙方啟用NAT穿越。2、NAT上做500/UDP的NAT server,將VPN網(wǎng)關(guān)的500端口映射為公網(wǎng)的 500端口。同時，雙方啟用 NAT穿越，且IPSEm用AH和ES刖議，協(xié)議號分 別為51、50,也需要放開。配置GRE時tunnel 口協(xié)議層已經(jīng)UP,但是卻無法ping通對端tunnel 口地 址請確認(rèn)interface tunnel已經(jīng)加入了安全域。Tunnel如果不加入安全域

18、時防 火墻是不進(jìn)行處理和轉(zhuǎn)發(fā)的；同時檢查 gre key是否一致。GRE的TUNNEL中定義的ip address、source和destination這三個地址的作8 / 10GRE的TUNNEL中，ip addr是作路由用的。即，當(dāng)查找路由表時，發(fā)現(xiàn)所 要發(fā)送的數(shù)據(jù)包的下一跳是和自己tunnel 口 ip addr同一網(wǎng)段的對端GRE的地 址，則從tunnel 口轉(zhuǎn)發(fā)數(shù)據(jù)，進(jìn)行GRE的封裝。當(dāng)數(shù)據(jù)進(jìn)行GREM裝時，外層封裝的IP地址即為tunnel 口定義的source和 destination定義的地址。Secpath系列產(chǎn)品如何根據(jù)版本來區(qū)分支持 DVPN1.0和2.0secpath

19、網(wǎng)關(guān)產(chǎn)品(secpath100N/100V/1000)只有VRP3.40-E160微本才支持DVPN2.0其它以前的所有版本都只支持DVPN1.0secpath 防火墻產(chǎn)品(secpath10f/100f/500f/1000f)可以通過VRBD去查看vrbdRouting Platform SoftwareVersion SecPath 100F 8042V100R002B01D020 (COMWAREV300R002B40D003),RELEASE SOFTWARECompiled Jun 22 2006 15:44:28 by xiedong若release為002和006，則表示此版本支持 DVPN2.0若release為001則表 示此版本支持DVPN1.0Eudemon系列產(chǎn)品目前所有版本都不支持 DVPN注息：DVPN1.0版本和DVPN2.0不能互通DVPN已經(jīng)建立，