H3C防火墙常见问题汇总Word下载.docx
《H3C防火墙常见问题汇总Word下载.docx》由会员分享,可在线阅读,更多相关《H3C防火墙常见问题汇总Word下载.docx(8页珍藏版)》请在冰豆网上搜索。
Untrust所属接
口连接外部网络;
DMZ区所属接口连接用户向外部提供服务的部分网络;
从防火墙设备本身发起的连接即是从Local区域发起的连接。
相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。
SecPath防火墙中inbound和outbound的含义是什么呢
SecPath防火墙的ACL规则和路由器一样,是应用在接口上的,inbound指从接口进入防火墙的方向,outbound是从防火墙出接口的方向。
这点是与Eudemon和SecPath1800F不同的。
Eudemon和SecPath1800F的ACL是应用在域间的,inbound是指从低安全级别的域进入高安全级别域的流量,如从untrust进入trust,outbound的方向与此相反。
为什么我的接口配了IP地址和PC对连却ping不通
接口必须加入且只能加入一个域才能生效。
特别要注意的是,除了物理口要加入域外,virtual-template和tunnul也必须加入域。
如果不加入域,可能出现端口up但是却互相ping不通、SecPoint拨号接入却获取不到IP地址等情况。
这是刚接触防火墙常犯的错误,希望大家能够牢记。
命令为firewallzonetrust/untrust
同时,在3.4-0006版本后,缺省情况下,更改了包过滤的缺省规则,缺省规则由permit改为deny,缺省情况下,所有的接口都是不通的,需要在系统视图下配置firewallpacket-filterdefaultpermit才能访问。
Secpath系列产品如何查看flash中有哪些文件
dir/all
Directoryofflash:
/1-rw-Oct10200210:
10:
10system
2-rw-Oct10200210:
10http.zip
3-rw-962Sep22201016:
42:
11config.cfg
4-rw-524288Aug09201009:
35:
41bootromfull
15621KBtotal(8439KBfree)
Secpath系列产品如何备份配置文件和VRP文件
1、使用TFTP方式(需要有TFTP服务器,女口3CDaemon)
前提条件:
保证PC机和设备之间可以双向PING通
tftp1.1.1.1(TFTP服务器的地址)putsystem(VRP文件名)tftp1.1.1.1
(TFTP服务器的地址)putconfig.cfg(VRP文件名)
2、使用FTP方式
[Quidway]ftpserverenable启动FTP服务
[Quidway]local-userhuawe创建FTP用户和密码及及登陆后的目录[Quidway]passwordsimplehuawei
[Quidway]service-typeftpftp-directoryflash:
/在PC运行”键入CMD命令进入到DOS界面
ftp设备IP地址
用户名和密码都是huawei
Secpath产品BOOTROM升级说明
进入bootrom命令
Ctrl_D进入bootrom升级bootrom
Ctrl_B进入bootrom升级VRP
BOOTROM文件
1、bootromd的版本文件可能有2个,大小分别是100多K和512K。
2、bootrom升级时,从低版本到高版本使用100k的update,但是从高到低必须使用512k的重新down,建议都使用512K的bootrom文件
Secpath产品在线升级BOOTROM和VRP方法
BOOT在线升级:
【TFTP方式】
1、配置secpathF和PC地址,使之互通。
2、PC上启用TFTPserve程序,同时指定为升级的boot文件所在目录。
3、将boot文件拷入flash中。
在用户视图下,执行以下命令:
<
>
copyx.x.x.x/bootromfullbootromfull
这里,xxx.x为PC的地址,bootromfull为升级的boot文件名,注意:
只能为bootromfull。
如果只升级boot扩展段,则拷入的文件名应为
bootrom。
如果无法确定需要升级boot扩展段还是整个boot,则建议直接升级整个boot文件。
4、将boot升级,执行:
upgradebootrombootromfull
这里,bootromfull为拷入的文件名称。
5、重启系统。
【FTP方式】
同中低端路由器版本。
版本软件在线升级:
PC上启用TFTPserve程序,同时指定为升级文件所在目录。
2、在用户视图下,执行以下命令:
copyx.x.x.x/systemsystem
这里,xxx.x为PC的地址,system为升级的系统文件名,注意:
只能为system。
3、重启系统。
说明:
防火墙应用程序缺省名称为system,配置文件缺省名称为config.cfg.BootROM扩展段文件缺省名称为bootrom,整个BootROM文件缺省名称为
bootromfull。
Secpath在BOOT中升级VRP版本时,下载完文件提示“WritingintoFlash
Fails.该”如何处理
一般是由于Flash出了问题。
可以把Flash先格式化再下载。
格式化flash可以在进入BOOT菜单后按“ctrl+b再按“CTRL+”行。
为什么从系统下升级VRP版本重启设备后未生效
SecPath产品默认的系统文件为system,如果是在Bootrom下TFTP升级,系统将自动覆盖以前的system文件。
如果在用户视图下FTP下载系统文件,需要手动更改下载的文件名为system。
在BootRom模式下TFTP升级VRP版本时,为什么从有些接口上下载不了版本
SecPath系列防火墙在bootrom下TFTP升级版本时,有一个默认的ethO口用于下载,该接口是不能更改的。
各系列产品所对应于ethO的接口如下:
Secpath1OOF:
WAN2
删除FLASH里面的VRP系统文件,从BootRom模式下TFTP升级VRP版时,系统却提示FLASH空间不足,版本无法下载,系统启动不了怎么办
删除文件时一定要/u才能完全删除,假如在用户视图直接delsystem,该系统文件将放入回收站,同样占用FLASH的空间。
这时,如果重启,老系统文件不生效,新系统文件又无空间写入。
这时的杀手锏就是在进入boot菜单时
CTRL+格式化FLASHT。
VRP系统损坏了怎么办
进入boot菜单时CTRL+格式化FLASH通过bootrom方式升级。
Secpath产品是否支持WEB管理
目前支持WEB管理的设备有:
secpath10f、100f、1000f。
但FLASH中一定得有“http.zip文件,如果没有就采用detach命令来解压软件版本。
例:
detachsystem
Systemfilelengthbytes,httpfilelength834724bytes.dir
/O-rw-Jun162OO9O6:
46:
36system
1-rw-1830Jun17200907:
47:
16config.cfg
2-rw-834724Jun18200902:
22:
39http.zip
注:
如果不能通过WEB方式连到SecPath防火墙上,请按照下面的步骤进行排查:
检查Flash中是否有“http.zip文件;
如果没有该文件,请使用命令:
detachsystem来释放出“http.zip文件;
如果有“http.zip文件,说明此文件是以前VRP程序里面的,请先删除该文件,再使用命令:
如果在VRP下通过FTPTFTP方式进行升级后,那么需要先删除
“http.zip,再使用命令:
detachsystem来释放出“http.zip文件;
如果在BootRom下进行升级,升级成功,则正常。
为什么WEB管理操作时从设备读取页面很慢
首先查看你的IE设置:
第一次Web访问某个页面时,要从FLASH里面读取大量数据,页面显示会相对较慢。
以后系统缓存后,访问已访问过的页面会比较快。
当你做了上述设置之后,发现读取页面还是异常慢,不妨换台PC试试,有时会碰到有的PC
机访问页面异常慢的情况,原因不明。
在3.4-0006版本中,对WEB的访问流程进行了优化,访问速度较以前的版本快。
如果客户反映WEB访问很慢,请升级到最新版本。
注意,如果在使用过程中单独升级http.zip文件,需要重启设备才能生效。
如果只在用户模式下,
FTP上传新版本到FLASH必须手动在用户模式下用detachsystem命令来解压出新的HTTP.ZIP文件。
LNS位于NAT网关之后如何处理
有两种方式:
1、NAT上做静态NAT映射,将LNS的私网地址映射为一个公网地址。
2、NAT上做1701/UDP的NATserve,将LNS的1701端口映射为公网的1701端口。
在Secpath10f/100f/1000f上配置为LNS但出现连接到验证用户名和密码时”出现“错误619:
,,,”是什么原因
将防火墙攻击防范中“I欺骗攻击”关闭即可解决此问题。
IPSEC网关也位于NAT网关之后,如何处理
1、NAT上做静态NAT映射,将VPN网关的私网地址映射为一个公网地址。
同时,双方启用NAT穿越。
2、NAT上做500/UDP的NATserver,将VPN网关的500端口映射为公网的500端口。
同时,双方启用NAT穿越,且IPSEC使用AH和ESP协议,协议号分别为
51、50,也需要放开。
配置GRE时tunnel口协议层已经UP,但是却无法ping通对端tunnel口地址
请确认interfacetunnel已经加入了安全域。
Tunnel如果不加入安全域时防火墙是不进行处理和转发的;
同时检查grekey是否一致。
GRE的TUNNEL中定义的ipaddress、source和destination这三个地址的作
GRE的TUNNEL中,ipaddr是作路由用的。
即,当查找路由表时,发现所
要发送的数据包的下一跳是和自己tunnel口ipaddr同一网段的对端GRE的地
址,则从tunnel口转发数据,进行GRE的封装。
当数据进行GRE封装时,外层圭寸装的IP地址即为tunnel口定义的source和destination定义的地址。
Secpath系列产品如何根据版本来区分支持DVPN1.0和2.0
secpath网关产品(secpath100N/100V/1000)
只有VRP3.40-E1604版本才支持DVPN2.0其它以前的所有版本都只支持DVPN1.0
secpath防火墙产品(secpath10f/100f/500f/1000f)
可以通过VRBD去查看
vrbd
RoutingPlatformSoftware
VersionSecPath100F8042V100R002B01D020(COMWAREV300R002B40D003),RELEASESOFTWARE
CompiledJun22200615:
44:
28byxiedong
若release为002和006,则表示此版本支持DVPN2.0若release为001则表示此版本支持DVPN1.0
Eudemon系列产品目前所有版本都不支持DVPN
DVPN1.0版本和DVPN2.0不能互通
DVPN已经建立,tunnel已经UP,为何ping不通对方tunnel地址通常是由于没有把inttunnel加入untrust安全域引起的。
防火墙除了loopback口外,所有的物理接口、逻辑接口都必须加入安全域中。
DVPN已经建立,tunnel已经UP,PC能ping通对方tunnel地址,为何ping不通对方私网地址
通常是由于路由不正确的原因。
假设用户拓扑和地址如下:
私网1DVPN网关1DVPN网关2网2私网1
地址为,DVPN隧道口地址为Tunnel0:
。
私网2地址为,DVPN隧道口地址为Tunnel0:
不少人会按习惯在网关1上加如下路由:
iproute-static10.1.2.024tunnel0
由于DVPN隧道为P2MP类型,一个隧道地址可以与多个对端建立隧道,因此设备无法通过Tunnel口找到对端,还必须指定对端隧道的地址才可以,正确的路由设置如下:
iproute-static10.1.2.024192.168.1.2
网关2同样。
Secpath系列产品中如何知道设备是否带IPSec加密卡
用displayinterface可以看到,如果看到encrypt接口,说明设备时带了加密卡的。
SecPath100V、SecPath
1000、SecPath100F-
E、SecPath
500F、SecPath1000F内置硬件加密卡,其它设备可以选配加密插卡。
如何开启IPSecx>卡的快转
在系统试图下执行命令:
encrypt-cardfast-switch即可。
升级会员 