收藏
下载资源 加入VIP,省得不是一点点

H3C防火墙常见问题汇总.doc

上传人:11****ws 文档编号:3261473 上传时间:2019-05-27 格式:DOC 页数:9 大小:66.50KB
下载 相关 举报
H3C防火墙常见问题汇总.doc_第1页
第1页 / 共9页
H3C防火墙常见问题汇总.doc_第2页
第2页 / 共9页
H3C防火墙常见问题汇总.doc_第3页
第3页 / 共9页
H3C防火墙常见问题汇总.doc_第4页
第4页 / 共9页
H3C防火墙常见问题汇总.doc_第5页
第5页 / 共9页
点击查看更多>>
资源描述

1、ALG 的作用是什么 地址转换会导致许多对 NAT 敏感的应用协议无法正常工作,必须针对该协议进行特殊的处理。所谓对 NAT 敏感的协议是指该协议的某些报文的有效载荷中携带 IP 地址和(或)端口号,如果不进行特殊处理,将会严重影响后继的协议交互。 地址转换应用网关(NAT Application Level Gateway,NAT ALG)是解决特殊协议穿越 NAT 的一种常用方式,该方法按照地址转换规则,对载荷中的 IP 地址和端口号进行替换,从而实现对该协议的透明中继。目前 VRP 的 NAT ALG 支持PPTP、DNS 、FTP 、ILS、NBT、SIP、H.323 等协议。 在 S

2、ecPath 上,当开启 NAT 功能后,系统会自动开启 NAT ALG,无需手工设置。 防火墙的域(zone)是什么意思 区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于的主要特征。一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过 0100 的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。SecPath 缺省有 trust、untrust、DMZ、local 4 个安全域,同时还可以自定义 12 个区域。 SecPathfirewall zone ? DMZ DMZ security zone local Loca

3、l security zone name Specify a new security zone name and create it trust Trust security zone untrust Untrust security zone 一般来讲,安全区域与各网络的关联遵循下面的原则:内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说,Trust 所属接口用于连接用户要保护的网络;Untrust 所属接口连接外部网络;DMZ 区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从 Local 区域发起的连接。相应的所有对防火墙设备本

4、身的访问都属于向 Local 区域发起访问连接。 SecPath 防火墙中 inbound 和 outbound 的含义是什么呢 SecPath 防火墙的 ACL 规则和路由器一样,是应用在接口上的,inbound 指从接口进入防火墙的方向,outbound 是从防火墙出接口的方向。这点是与 Eudemon 和 SecPath1800F不同的。Eudemon 和 SecPath1800F 的 ACL 是应用在域间的, inbound 是指从低安全级别的域进入高安全级别域的流量,如从 untrust 进入 trust,outbound 的方向与此相反。 为什么我的接口配了 IP 地址和 PC 对

5、连却 ping 不通 接口必须加入且只能加入一个域才能生效。特别要注意的是,除了物理口要加入域外,virtual-template 和 tunnul 也必须加入域。如果不加入域,可能出现端口 up 但是却互相 ping不通、SecPoint 拨号接入却获取不到 IP 地址等情况。这是刚接触防火墙常犯的错误,希望大家能够牢记。 命令为 firewall zone trust/untrust Add interface eth 0/1 同时,在 3.4-0006 版本后,缺省情况下,更改了包过滤的缺省规则,缺省规则由permit 改为 deny,缺省情况下,所有的接口都是不通的,需要在系统视图下配

6、置 firewall packet-filter default permit 才能访问。 Secpath 系列产品如何查看 flash 中有哪些文件 dir/all Directory of flash:/ 1 -rw- 5800821 Oct 10 2002 10:10:10 system 2 -rw- 1021629 Oct 10 2002 10:10:10 http.zip 3 -rw- 962 Sep 22 2010 16:42:11 config.cfg 4 -rw- 524288 Aug 09 2010 09:35:41 bootromfull 15621 KB total (8

7、439 KB free) Secpath 系列产品如何备份配置文件和 VRP 文件 1、使用 TFTP 方式(需要有 TFTP 服务器,如 3CDaemon) 前提条件:保证 PC 机和设备之间可以双向 PING 通 tftp 1.1.1.1(TFTP 服务器的地址) put system (VRP 文件名) tftp 1.1.1.1(TFTP 服务器的地址) put config.cfg (VRP 文件名) 2、使用 FTP 方式 前提条件:保证 PC 机和设备之间可以双向 PING 通 Quidwayftp server enable 启动 FTP 服务 Quidway local-use

8、r huawe 创建 FTP 用户和密码及及登陆后的目录 Quidway password simple huawei Quidwayservice-type ftp ftp-directory flash:/ 在 PC“运行”键入 CMD 命令进入到 DOS 界面 ftp 设备 IP 地址 用户名和密码都是 huawei Secpath 产品 BOOTROM 升级说明 进入 bootrom 命令 Ctrl_D 进入 bootrom 升级 bootrom Ctrl_B 进入 bootrom 升级 VRP BOOTROM 文件 1、bootromd 的版本文件可能有 2 个,大小分别是 100

9、多 K 和 512K。 2、bootrom 升级时,从低版本到高版本使用 100k 的 update,但是从高到低必须使用512k 的重新 down,建议都使用 512K 的 bootrom 文件 Secpath 产品在线升级 BOOTROM 和 VRP 方法 BOOT 在线升级:【 TFTP 方式】 1、配置 secpath F 和 PC 地址,使之互通。 2、 PC 上启用 TFTP server 程序,同时指定为升级的 boot 文件所在目录。 3、将 boot 文件拷入 flash 中。在用户视图下,执行以下命令: upgrade bootrom bootromfull 这里,boot

10、romfull 为拷入的文件名称。 5、重启系统。【 FTP 方式】 同中低端路由器版本。 版本软件在线升级:【 TFTP 方式】 1、配置 secpath F 和 PC 地址,使之互通。 PC 上启用 TFTP server 程序,同时指定为升级文件所在目录。 2、在用户视图下,执行以下命令: copy x.x.x.x/system system 这里,x.x.x.x 为 PC 的地址,system 为升级的系统文件名,注意:只能为 system。 3、 重启系统。【 FTP 方式】 同中低端路由器版本。 说明: 防火墙应用程序缺省名称为 system,配置文件缺省名称为 config.cf

11、g,Boot ROM 扩展段文件缺省名称为 bootrom,整个 Boot ROM 文件缺省名称为 bootromfull。 Secpath 在 BOOT 中升级 VRP 版本时,下载完文件提示“Writing into Flash Fails.”该如何处理 一般是由于 Flash 出了问题。可以把 Flash 先格式化再下载。格式化 flash 可以在进入BOOT 菜单后按“ctrl+b”再按“CTRL+F ”执行。 为什么从系统下升级 VRP 版本重启设备后未生效 SecPath 产品默认的系统文件为 system,如果是在 Bootrom 下 TFTP 升级,系统将自动自动覆盖以前的 s

12、ystem 文件。如果在用户视图下 FTP 下载系统文件,需要手动更改下载的文件名为 system。 在 BootRom 模式下 TFTP 升级 VRP 版本时,为什么从有些接口上下载不了版本 SecPath 系列防火墙在 bootrom 下 TFTP 升级版本时,有一个默认的 eth0 口用于下载,该接口是不能更改的。各系列产品所对应于 eth0 的接口如下: Secpath1000/1000F: Gigabit0/0 Secpath100F: WAN2 Sepcath100: eth0/0 Secpath10/10F WAN 删除 FLASH 里面的 VRP 系统文件,从 BootRom

13、模式下 TFTP 升级 VRP 版时,系统却提示 FLASH 空间不足,版本无法下载,系统启动不了怎么办 删除文件时一定要 /u 才能完全删除,假如在用户视图直接 del system,该系统文件将放入回收站,同样占用 FLASH 的空间。这时,如果重启,老系统文件不生效,新系统文件又无空间写入。这时的杀手锏就是在进入 boot 菜单时 CTRL+F 格式化 FLASH 了。 VRP 系统损坏了怎么办 进入 boot 菜单时 CTRL+F 格式化 FLASH,通过 bootrom 方式升级。 Secpath 产品是否支持 WEB 管理 目前支持 WEB 管理的设备有:secpath10f、10

14、0f、1000f。但 FLASH 中一定得有“http.zip”文件,如果没有就采用 detach 命令来解压软件版本。例: detach system System file length 7856557 bytes, http file length 834724 bytes. dir Directory of flash:/ 0 -rw- 8691281 Jun 16 2009 06:46:36 system 1 -rw- 1830 Jun 17 2009 07:47:16 config.cfg 2 -rw- 834724 Jun 18 2009 02:22:39 http.zip 注:

15、 如果不能通过 WEB 方式连到 SecPath 防火墙上,请按照下面的步骤进行排查: 检查 Flash 中是否有“http.zip”文件;如果没有该文件,请使用命令: detach system来释放出“http.zip”文件; 如果有“http.zip”文件,说明此文件是以前 VRP 程序里面的,请先删除该文件,再使用命令:detach system 来释放出“http.zip”文件; 如果在 VRP 下通过 FTP、TFTP 方式进行升级后,那么需要先删除“http.zip” ,再使用命令:detach system 来释放出“http.zip”文件; 如果在 Boot Rom 下进行升

16、级,升级成功,则正常。 为什么 WEB 管理操作时从设备读取页面很慢 首先查看你的 IE 设置:工具Internet 选项设置 第一次 Web 访问某个页面时,要从 FLASH 里面读取大量数据,页面显示会相对较慢。以后系统缓存后,访问已访问过的页面会比较快。当你做了上述设置之后,发现读取页面还是异常慢,不妨换台 PC 试试,有时会碰到有的 PC 机访问页面异常慢的情况,原因不明。 在 3.4-0006 版本中,对 WEB 的访问流程进行了优化,访问速度较以前的版本快。如果客户反映 WEB 访问很慢,请升级到最新版本。注意,如果在使用过程中单独升级http.zip 文件,需要重启设备才能生效。

17、如果只在用户模式下,FTP 上传新版本到FLASH,必须手动在用户模式下用 detach system 命令来解压出新的 HTTP.ZIP 文件。 LNS 位于 NAT 网关之后如何处理 有两种方式: 1、NAT 上做静态 NAT 映射,将 LNS 的私网地址映射为一个公网地址。 2、NAT 上做 1701/UDP 的 NAT server, 将 LNS 的 1701 端口映射为公网的 1701 端口。 在 Secpath10f/100f/1000f 上配置为 LNS,但出现连接到“验证用户名和密码时”出现“错误 619:”是什么原因 将防火墙攻击防范中“IP 欺骗攻击”关闭即可解决此问题。

18、IPSEC 网关也位于 NAT 网关之后,如何处理 1、NAT 上做静态 NAT 映射,将 VPN 网关的私网地址映射为一个公网地址。同时,双方启用 NAT 穿越。 2、NAT 上做 500/UDP 的 NAT server, 将 VPN 网关的 500 端口映射为公网的 500 端口。同时,双方启用 NAT 穿越,且 IPSEC 使用 AH 和 ESP 协议,协议号分别为 51、50,也需要放开。 配置 GRE 时 tunnel 口协议层已经 UP,但是却无法 ping 通对端 tunnel 口地址 请确认 interface tunnel 已经加入了安全域。Tunnel 如果不加入安全域时

19、防火墙是不进行处理和转发的;同时检查 gre key 是否一致。 GRE 的 TUNNEL 中定义的 ip address、source 和 destination 这三个地址的作用 GRE 的 TUNNEL 中,ip addr 是作路由用的。即,当查找路由表时,发现所要发送的数据包的下一跳是和自己 tunnel 口 ip addr 同一网段的对端 GRE 的地址,则从 tunnel 口转发数据,进行 GRE 的封装。 当数据进行 GRE 封装时,外层封装的 IP 地址即为 tunnel 口定义的 source 和destination 定义的地址。 Secpath 系列产品如何根据版本来区分

20、支持 DVPN1.0 和 2.0 secpath 网关产品(secpath100N/100V/1000) 只有 VRP3.40-E1604 版本才支持 DVPN2.0,其它以前的所有版本都只支持 DVPN1.0 secpath 防火墙产品(secpath10f/100f/500f/1000f) 可以通过 VRBD 去查看 vrbd Routing Platform. Software Version SecPath 100F 8042V100R002B01D020 (COMWAREV300R002B40D003), RELEASE SOFTWARE Compiled Jun 22 2006 1

21、5:44:28 by xiedong 若 release 为 002 和 006,则表示此版本支持 DVPN2.0,若 release 为 001 则表示此版本支持 DVPN1.0 Eudemon 系列产品目前所有版本都不支持 DVPN 注意:DVPN1.0 版本和 DVPN2.0 不能互通 DVPN 已经建立,tunnel 已经 UP,为何 ping 不通对方 tunnel 地址 通常是由于没有把 int tunnel 加入 untrust 安全域引起的。防火墙除了 loopback 口外,所有的物理接口、逻辑接口都必须加入安全域中。 DVPN 已经建立,tunnel 已经 UP,PC 能

22、ping 通对方 tunnel 地址,为何 ping 不通对方私网地址 通常是由于路由不正确的原因。假设用户拓扑和地址如下: 私网 1DVPN 网关 1DVPN 网关 2私网 2 私网 1 地址为 10.1.1.0/24,DVPN 隧道口地址为 Tunnel 0: 192.168.1.1/24。 私网 2 地址为 10.1.2.0/24,DVPN 隧道口地址为 Tunnel 0: 192.168.1.2/24。 不少人会按习惯在网关 1 上加如下路由: ip route-static 10.1.2.0 24 tunnel 0 由于 DVPN 隧道为 P2MP 类型,一个隧道地址可以与多个对端建

23、立隧道,因此设备无法通过 Tunnel 口找到对端,还必须指定对端隧道的地址才可以,正确的路由设置如下: ip route-static 10.1.2.0 24 192.168.1.2 网关 2 同样。 Secpath 系列产品中如何知道设备是否带 IPSec 加密卡 用 display interface 可以看到,如果看到 encrypt 接口,说明设备时带了加密卡的。SecPath100V、SecPath1000 、SecPath100F-E 、SecPath500F、SecPath1000F 内置硬件加密卡,其它设备可以选配加密插卡。 如何开启 IPSec 加密卡的快转 在系统试图下执行命令:encrypt-card fast-switch 即可。 rd fast-switch 即可。路由器本文来自 CSDN 博客,转载请标明出处:http:/

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 重点行业资料库 > 医药卫生

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。