華為USG9560防火墻測試方案

1、 STYLEREF Contents 目 錄 DOCPROPERTY Trademark&ProductType Error! Unknown document property name. DOCPROPERTY ManualName Error! Unknown document property name.Error! Unknown document property name. ( DOCPROPERTY ReleaseDate Error! Unknown document property name.) DOCPROPERTY ManualVersion * MERGEFORMA

2、T Error! Unknown document property name. DOCPROPERTY ProprietaryDeclaration * MERGEFORMAT Error! Unknown document property name.PAGE i華為USG9560防火墻測試方案目 錄 TOC o 1-4 h z u HYPERLINK l _Toc40387802 1操作指引 PAGEREF _Toc40387802 h 3 HYPERLINK l _Toc40387803 1.1系統(tǒng)功能驗收 PAGEREF _Toc40387803 h 3 HYPERLINK l _T

3、oc40387804 1.1.1系統(tǒng)上電驗收 PAGEREF _Toc40387804 h 3 HYPERLINK l _Toc40387805 單板指示燈驗收 PAGEREF _Toc40387805 h 3 HYPERLINK l _Toc40387806 風扇運轉(zhuǎn)驗收 PAGEREF _Toc40387806 h 3 HYPERLINK l _Toc40387807 一次電源開關(guān)驗收 PAGEREF _Toc40387807 h 4 HYPERLINK l _Toc40387808 1.1.2電源冗余備份驗收 PAGEREF _Toc40387808 h 4 HYPERLINK l _T

4、oc40387809 電源冗余功能驗收 PAGEREF _Toc40387809 h 4 HYPERLINK l _Toc40387810 1.1.3操作終端登錄驗收 PAGEREF _Toc40387810 h 5 HYPERLINK l _Toc40387811 SSH登錄功能驗收 PAGEREF _Toc40387811 h 5 HYPERLINK l _Toc40387812 1.1.4顯示系統(tǒng)信息功能驗收 PAGEREF _Toc40387812 h 6 HYPERLINK l _Toc40387813 顯示操作日志功能驗收 PAGEREF _Toc40387813 h 6 HYPE

5、RLINK l _Toc40387814 顯示告警信息功能驗收 PAGEREF _Toc40387814 h 6 HYPERLINK l _Toc40387815 1.2USG9500安全功能驗收 PAGEREF _Toc40387815 h 7 HYPERLINK l _Toc40387816 1.2.1ACL包過濾功能驗收 PAGEREF _Toc40387816 h 7 HYPERLINK l _Toc40387817 域間包過濾功能驗收 PAGEREF _Toc40387817 h 7 HYPERLINK l _Toc40387818 1.2.2NAT功能驗收 PAGEREF _Toc

6、40387818 h 8 HYPERLINK l _Toc40387819 域間出方向NAT功能驗收 PAGEREF _Toc40387819 h 8 HYPERLINK l _Toc40387820 內(nèi)部服務(wù)器功能驗收 PAGEREF _Toc40387820 h 9 HYPERLINK l _Toc40387821 1.2.3長連接功能驗收 PAGEREF _Toc40387821 h 11 HYPERLINK l _Toc40387822 長連接功能驗收 PAGEREF _Toc40387822 h 11 HYPERLINK l _Toc40387823 1.2.4雙機熱備功能驗收 PA

7、GEREF _Toc40387823 h 12 HYPERLINK l _Toc40387824 路由模式下雙機熱備驗收 PAGEREF _Toc40387824 h 12 HYPERLINK l _Toc40387825 1.2.5虛擬系統(tǒng)驗收 PAGEREF _Toc40387825 h 14 HYPERLINK l _Toc40387826 虛擬系統(tǒng)功能驗收 PAGEREF _Toc40387826 h 14操作指引系統(tǒng)功能驗收系統(tǒng)上電驗收單板指示燈驗收驗收目的驗證USG9500產(chǎn)品單板指示燈顯示正常。驗收連接圖編號無預(yù)置條件USG9500的電源、各單板及機箱連接正確，單板扳手都合上。測

8、試過程打開電源。預(yù)期結(jié)果指示燈為綠燈并閃爍，表示正常。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字風扇運轉(zhuǎn)驗收驗收目的驗證USG9500產(chǎn)品的風扇運轉(zhuǎn)正常。驗收連接圖編號無預(yù)置條件USG9500的電源、各單板及機箱連接正確，風扇框安裝正常。測試過程打開電源。查看告警單元的風扇運行指示燈。預(yù)期結(jié)果風扇運行指示燈為綠燈，表示運轉(zhuǎn)正常。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字一次電源開關(guān)驗收驗收目的驗證USG9500產(chǎn)品的一次電源開關(guān)正常。驗收連接圖編號無預(yù)置條件USG9500的電源、各單板及機箱連接正確。測試過程打開電源。預(yù)期結(jié)果一次電源開關(guān)正常，系統(tǒng)能

9、夠正常上電。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字電源冗余備份驗收電源冗余功能驗收驗收目的測試USG9500的電源冗余備份功能驗收連接圖編號預(yù)置條件根據(jù)驗收連接圖搭建測試環(huán)境。USG9500上配置雙電源。測試過程將USG9500的兩個電源開關(guān)都打開，啟動USG9500。在USG9500正常運行過程中，關(guān)閉其中一個電源，可看到下面的預(yù)期結(jié)果。預(yù)期結(jié)果關(guān)閉其中一個電源后，USG9500仍能正常運行。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字操作終端登錄驗收SSH登錄功能驗收驗收目的驗證USG9500產(chǎn)品的SSH功能正常。驗收連接圖編號無預(yù)置條件通過交

10、換機正確連接USG9500的GE接口和PC。通過超級終端正確配置GE接口的IP地址。配置各PC的IP地址，使各PC能夠正常Ping通USG9500上各個相應(yīng)接口的IP地址。測試過程在USG9500上正確配置SSH參數(shù)。USG9500 aaaUSG9500-aaalocal-user test password Please cofigure the login password(8-16) Enter Password:Huawei123 Confirm Password:Huawei123 Submit password successfully. USG9500-aaa local-use

11、r test service-type sshUSG9500-aaa local-user test level 3USG9500-aaa quitUSG9500 user-interface vty 0 4USG9500-ui-vty0-4 authentication-mode aaaUSG9500-ui-vty0-4 protocol inbound sshUSG9500-ui-vty0-4 quitUSG9500 ssh user testUSG9500 ssh user test authentication-type passwordUSG9500 rsa local-key-pa

12、ir createPC上啟動SSH登錄客戶端程序，從USG9500接口板上的GE接口登錄USG9500，執(zhí)行配置命令，可以看到下面的預(yù)期結(jié)果。預(yù)期結(jié)果SSH命令均執(zhí)行成功，可以配置USG9500。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字顯示系統(tǒng)信息功能驗收顯示操作日志功能驗收驗收目的驗證USG9500顯示操作日志功能。驗收連接圖編號無預(yù)置條件正確連接USG9500的Console口和終端PC。測試過程在用戶視圖下輸入cd cfcard2: 命令。 cd cfcard2:輸入dir命令，顯示硬盤目錄。 dir進入logfile文件。 cd log/顯示logfile文件里

13、的內(nèi)容。 dir顯示操作日志文件內(nèi)容。 more log.log預(yù)期結(jié)果步驟5執(zhí)行成功后，顯示選定的操作日志信息。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字顯示告警信息功能驗收驗收目的驗證USG9500顯示告警信息功能。驗收連接圖編號無預(yù)置條件正確連接USG9500的Console口和終端PC。測試過程在用戶視圖下輸入display alarm all命令。 display alarm all預(yù)期結(jié)果顯示告警信息。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字USG9500安全功能驗收ACL包過濾功能驗收域間包過濾功能驗收驗收目的測試域間包過濾功能是否正

14、常驗收連接圖編號預(yù)置條件USG9500與PC機連接正確。USG9500千兆以太網(wǎng)口正常工作。測試過程根據(jù)驗收連接圖搭建測試環(huán)境，配置USG9500。USG9500 firewall packet-filter default deny allUSG9500 interface GigabitEthernet1/0/0USG9500-GigabitEthernet1/0/0 ip address USG9500 interface GigabitEthernet1/0/1USG9500-GigabitEthernet1/0/1 ip address USG9500-GigabitEthernet

15、1/0/1 quit設(shè)置PC2的IP地址為00，設(shè)置PC1的IP地址為00。分別把GE1/0/0和GE1/0/1加到trust和新建test域。USG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEthernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone name testUSG9500-zone-test set priority 30USG9500-zone-test add interface GigabitEthernet 1/0/1USG9500

16、-zone-test quitUSG9500policy interzone trust test inboundUSG9500 -policy-interzone-trust-test-inboundpolicy 0USG9500-policy-interzone-trust-test-inbound-0policy source 00 55USG9500-policy-interzone-trust-test-inbound-0action permitUSG9500acl accelerate enable在PC2上執(zhí)行ping 00，可以看到結(jié)果1。接著步驟2在USG9500配置以下命

17、令。USG9500-policy-interzone-trust-test-inboundundo policy 0USG9500acl accelerate enable在PC2上執(zhí)行ping 00，可以看到結(jié)果2。預(yù)期結(jié)果可以ping通。不能ping通。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字NAT功能驗收域間出方向NAT功能驗收驗收目的測試USG9500的域間出方向NAT功能驗收連接圖編號預(yù)置條件根據(jù)網(wǎng)絡(luò)拓撲圖搭建測試環(huán)境。正確配置兩臺PC的IP地址，且PC1和PC2之間路由可達。PC2上安裝并啟動FTP服務(wù)器應(yīng)用程序。測試過程配置USG9500接口，并將其加入安

18、全域。USG9500 interface GigabitEthernet 1/0/0USG9500-GigabitEthernet1/0/0 ip address 24USG9500-GigabitEthernet1/0/0 quitUSG9500 interface GigabitEthernet 1/0/1USG9500-GigabitEthernet1/0/1 ip address 8USG9500-GigabitEthernet1/0/1 quitUSG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEth

19、ernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone untrustUSG9500-zone-untrust add interface GigabitEthernet 1/0/1USG9500-zone-untrust quit配置NAT地址池。USG9500nat address-group 0 USG9500-address-group-0section 0 0配置域間包過濾策略、ASPF及出方向NAT策略。USG9500policy interzone trust untrust outboundUSG9500-policy-i

20、nterzone-trust-untrust-outboundpolicy 0USG9500-policy-interzone-trust-untrust-outbound-0action permitUSG9500-policy-interzone-trust-untrust-outbound-0quitUSG9500-policy-interzone-trust-untrust-outboundquitUSG9500firewall interzone trust untrustUSG9500-interzone-trust-untrustdetect ftpUSG9500-interzo

21、ne-trust-untrustquitUSG9500nat-policy interzone trust untrust outboundUSG9500-nat-policy-interzone-trust-untrust-outboundpolicy 0USG9500-nat-policy-interzone-trust-untrust-outbound-0 policy source 55USG9500-nat-policy-interzone-trust-untrust-outbound-0action source-natUSG9500-nat-policy-interzone-tr

22、ust-untrust-outbound-0address-group 0USG9500-nat-policy-interzone-trust-untrust-outbound-0quitUSG9500-nat-policy-interzone-trust-untrust-outboundquit USG9500acl accelerate enablePC1通過FTP訪問PC2，同時查看USG9500會話表，可看到預(yù)期結(jié)果。預(yù)期結(jié)果PC1通過FTP訪問PC2成功，查看USG9500會話表Session已做地址轉(zhuǎn)換。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字內(nèi)部服務(wù)器功能

23、驗收驗收目的測試USG9500的內(nèi)部服務(wù)器Nat Server功能驗收連接圖編號預(yù)置條件根據(jù)網(wǎng)絡(luò)拓撲圖搭建測試環(huán)境。正確配置兩臺PC的IP地址，且PC1和PC2之間路由可達。PC1上安裝并啟動FTP服務(wù)器應(yīng)用程序。測試過程配置USG9500接口，并將其加入安全域。USG9500 interface GigabitEthernet 1/0/0USG9500-GigabitEthernet1/0/0 ip address 24USG9500-GigabitEthernet1/0/0 quitUSG9500 interface GigabitEthernet 1/0/1USG9500-Gigabit

24、Ethernet1/0/1 ip address 8USG9500-GigabitEthernet1/0/1 quitUSG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEthernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone untrustUSG9500-zone-untrust add interface GigabitEthernet 1/0/1USG9500-zone-untrust quit配置NAT地址池和NAT Server。USG9500

25、nat address-group 0 USG9500-address-group-0section 0 0USG9500 nat server global 9 inside 00配置域間包過濾策略、ASPF及出方向NAT 策略。USG9500policy interzone trust untrust inboundUSG9500-policy-interzone-trust-untrust-inboundpolicy 0USG9500-policy-interzone-trust-untrust-inbound-0action permitUSG9500-policy-interzone

26、-trust-untrust-inbound-0quitUSG9500-policy-interzone-trust-untrust-inboundquitUSG9500firewall interzone trust untrustUSG9500-interzone-trust-untrustdetect ftpUSG9500-interzone-trust-untrustquitUSG9500nat-policy interzone trust untrust outboundUSG9500-nat-policy-interzone-trust-untrust-outboundpolicy

27、 0USG9500-nat-policy-interzone-trust-untrust-outbound-0 policy source 55USG9500-nat-policy-interzone-trust-untrust-outbound-0action source-natUSG9500-nat-policy-interzone-trust-untrust-outbound-0address-group 0USG9500-nat-policy-interzone-trust-untrust-outbound-0quitUSG9500-nat-policy-interzone-trus

28、t-untrust-outboundquit USG9500acl accelerate enablePC2通過FTP訪問9，同時查看USG9500會話表，可看到預(yù)期結(jié)果。預(yù)期結(jié)果PC2通過FTP訪問9成功，可以進行正常數(shù)據(jù)傳輸，查看USG9500會話表Session已做地址轉(zhuǎn)換。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字長連接功能驗收長連接功能驗收驗收目的測試USG9500長連接功能驗收連接圖編號預(yù)置條件根據(jù)網(wǎng)絡(luò)拓撲圖搭建測試環(huán)境。正確配置兩臺PC的IP地址，且PC1和PC2之間路由可達。PC2上安裝并啟動FTP服務(wù)器應(yīng)用程序。測試過程配置USG9500接口，并將其加入

29、安全域。USG9500 interface GigabitEthernet 1/0/0USG9500-GigabitEthernet1/0/0 ip address 24USG9500-GigabitEthernet1/0/0 quitUSG9500 interface GigabitEthernet 1/0/1USG9500-GigabitEthernet1/0/1 ip address 8USG9500-GigabitEthernet1/0/1 quitUSG9500 firewall zone trustUSG9500-zone-trust add interface GigabitEt

30、hernet 1/0/0USG9500-zone-trust quitUSG9500 firewall zone untrustUSG9500-zone-untrust add interface GigabitEthernet 1/0/1USG9500-zone-untrust quit配置ACL過濾規(guī)則。USG9500 acl number 3000USG9500-acl-adv-3000 rule 0 permit tcp source 55USG9500-acl-adv-3000 quitUSG9500acl accelerate enable配置域間包過濾、ASPF和長連接。USG9

31、500 firewall interzone trust untrustUSG9500-interzone-trust-untrust packet-filter 3000 outboundUSG9500-interzone-trust-untrust detect ftpUSG9500-interzone-trust-untrust firewall long-link 3000 outboundUSG9500-interzone-trust-untrust quit配置長連接老化時間。USG9500firewall long-link agingtime 100PC1通過FTP訪問PC2，

32、同時查看USG9500會話表項，可看到結(jié)果1。預(yù)期結(jié)果PC1通過FTP訪問PC2成功，可以進行正常數(shù)據(jù)傳輸。查看USG9500會話表項，有長連接標志，同時會話的ttl顯示為所設(shè)置的老化時間。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字雙機熱備功能驗收路由模式下雙機熱備驗收驗收目的測試路由模式USG9500的雙機熱備功能驗收連接圖編號預(yù)置條件根據(jù)網(wǎng)絡(luò)拓撲圖搭建測試環(huán)境。正確配置PC的IP地址和默認網(wǎng)關(guān)。Server1和Server2上安裝并啟動FTP服務(wù)器應(yīng)用程序。測試過程配置USG9500_A的HRP功能。USG9500_A interface GigabitEtherne

33、t1/0/0USG9500_A-GigabitEthernet1/0/0 ip address USG9500_A-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 0 masterUSG9500_A-GigabitEthernet1/0/0 quitUSG9500_A interface GigabitEthernet1/0/1USG9500_A-GigabitEthernet1/0/1 ip address USG9500_A-GigabitEthernet1/0/1 vrrp vrid 2 virtual-ip 0 masterUSG9500_A-G

34、igabitEthernet1/0/1 quitUSG9500_A interface GigabitEthernet 2/0/0USG9500_A-GigabitEthernet2/0/0 ip address USG9500_A-GigabitEthernet2/0/0 quitUSG9500_A hrp interface GigabitEthernet 2/0/0 remote USG9500_A hrp enable配置USG9500_B的HRP功能。USG9500_B interface GigabitEthernet 1/0/0USG9500_B-GigabitEthernet1

35、/0/0 ip address USG9500_B-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 0 slaveUSG9500_B-GigabitEthernet1/0/0 quitUSG9500_B int erface GigabitEthernet 1/0/1USG9500_B-GigabitEthernet1/0/1 ip address USG9500_B-GigabitEthernet1/0/1 vrrp vrid 2 virtual-ip 0 slaveUSG9500_B-GigabitEthernet1/0/1 quitUSG9500_

36、B interface GigabitEthernet 2/0/0USG9500_B-GigabitEthernet2/0/0 ip address USG9500_B-GigabitEthernet2/0/0 quitUSG9500_B hrp interface GigabitEthernet 2/0/0 remote USG9500_B hrp enable將USG9500的接口加入安全域。HRP_MUSG9500_A firewall zone trustHRP_MUSG9500_A-zone-trust add interface GigabitEthernet 1/0/0HRP_M

37、USG9500_A-zone-trust add interface GigabitEthernet 2/0/0HRP_MUSG9500_A-zone-trust quitHRP_MUSG9500_A firewall zone untrustHRP_MUSG9500_A-zone-untrust add interface GigabitEthernet 1/0/1HRP_MUSG9500_A-zone-untrust quit配置域間策略。HRP_MUSG9500_A policy interzone untrust trust outboundHRP_MUSG9500_A-policy-

38、interzone-trust-untrust-outboundpolicy 1 HRP_MUSG9500_A-policy-interzone-trust-untrust-outbound-1policy service service-set tcpHRP_MUSG9500_A-policy-interzone-trust-untrust-outbound-1action permitHRP_MUSG9500_A-policy-interzone-trust-untrust-outbound-1qHRP_MUSG9500_A-policy-interzone-trust-untrust-o

39、utboundq配置ASPF，可以看到結(jié)果1。HRP_MUSG9500_A firewall interzone trust untrust HRP_MUSG9500_A-interzone-trust-untrust detect ftpHRP_MUSG9500_A-interzone-trust-untrust quitPC1通過FTP訪問Server1，斷開主設(shè)備USG9500_A與Switch2之間的連接（模擬失效環(huán)境）?？梢钥吹浇Y(jié)果2?；謴筒襟E6中USG9500_A與Switch2之間的連接?？梢钥吹浇Y(jié)果3。直接將主設(shè)備USG9500_A斷電（模擬失效環(huán)境），觀察USG9500上的狀

40、態(tài)切換結(jié)果(Master/Slave)及PC1與Server1之間的FTP數(shù)據(jù)傳輸業(yè)務(wù)。 可以看到結(jié)果4。預(yù)期結(jié)果查看備設(shè)備USG9500_B當前域間配置與主設(shè)備USG9500_A同步。備設(shè)備USG9500_B(處于Slave狀態(tài))迅速切換為主設(shè)備（處于Master狀態(tài)），而USG9500_A切換為備設(shè)備（處于Slave狀態(tài)）。PC1與Server1之間的FTP數(shù)據(jù)傳輸業(yè)務(wù)正常（未中斷）。USG9500_A重新切換為主設(shè)備（處于Master狀態(tài)），USG9500_B切換為備設(shè)備（處于Slave狀態(tài)）。PC1與Server1之間的FTP數(shù)據(jù)傳輸業(yè)務(wù)正常（未中斷）。備設(shè)備USG9500_B(處于S

41、lave狀態(tài))迅速切換為主設(shè)備（處于Master狀態(tài)），而USG9500_A切換為備設(shè)備（處于Slave狀態(tài)）。PC1與Server1之間的FTP數(shù)據(jù)傳輸業(yè)務(wù)正常（未中斷）。測試結(jié)果 通過 部分通過 未通過 未測試備注客戶簽字廠家人員簽字虛擬系統(tǒng)驗收虛擬系統(tǒng)功能驗收驗收目的測試虛擬系統(tǒng)功能驗收連接圖編號預(yù)置條件根據(jù)網(wǎng)絡(luò)拓撲圖搭建測試環(huán)境。正確配置兩臺PC的IP地址及網(wǎng)關(guān)。PC2和PC4上安裝并啟動FTP服務(wù)器應(yīng)用程序。測試過程配置虛擬系統(tǒng)vpn1，并分配接口和資源。USG9500resource-class r1USG9500-resource-class-r1resource-item-li

42、mit policy reser ved-number 10USG9500-resource-class-r1resource-item-limit session reser ved-number 100 maximum 1000USG9500vsys vpn1USG9500-vsys-vpn1assign interface GigabitEthernet 1/0/0USG9500-vsys-vpn1assign interface GigabitEthernet 1/0/1USG9500-vsys-vpn1assign resource-class r1USG9500-vsys-vpn1

43、quit配置USG9500接口，并將其加入對應(yīng)虛擬系統(tǒng)安全域，配置虛擬系統(tǒng)域間安全策略策略、ASPF。配置方式1：通過根對虛擬系統(tǒng)進行配置USG9500switch vsys vpn1system-viewUSG9500-vpn1 interface GigabitEthernet 1/0/0USG9500-vpn1-GigabitEthernet1/0/0ip address 24USG9500-vpn1-GigabitEthernet1/0/0quitUSG9500-vpn1 interface GigabitEthernet 1/0/1USG9500-vpn1-GigabitEthern

44、et1/0/1ip address 8USG9500-vpn1-GigabitEthernet1/0/1quitUSG9500-vpn1firewall zone trustUSG9500-vpn1-zone-trustadd interface GigabitEthernet 1/0/0USG9500-vpn1-zone-trustquitUSG9500-vpn1firewall zone untrustUSG9500-vpn1-zone-untrust add interface GigabitEthernet 1/0/1USG9500-vpn1-zone-untrustquitUSG95

45、00-vpn1policy interzone trust untrust outboundUSG9500-vpn1-policy-interzone-trust-untrust-vpn1-outboundpolicy 0USG9500-vpn1-policy-interzone-trust-untrust-vpn1-outbound-0policy source 55USG9500-vpn1-policy-interzone-trust-untrust-vpn1-outbound-0policy service service-set tcpUSG9500-vpn1-policy-inter

46、zone-trust-untrust-vpn1-outbound-0action permitUSG9500-vpn1-policy-interzone-trust-untrust-vpn1-outbound-0quitUSG9500-vpn1-policy-interzone-trust-untrust-vpn1-outboundquitUSG9500-vpn1firewall interzone trust untrustUSG9500-vpn1-interzone-trust-untrustdetect ftpUSG9500-vpn1-interzone-trust-untrustquitUSG9500-vpn1acl accelerate enableUSG9500-vpn1quit quit 配置虛擬系統(tǒng)vpn2，并分配接口和資源。USG9500resource-class r2USG9500-resource-class-r2resource-item-limit policy reser ved-number 10USG9500-resource-class-r2resource-item-limit session reser ved-number 100 maximum 1000USG9500vsys vpn2US