H3C防火墙常见问题汇总.doc

ALG的作用是什么  地址转换会导致许多对NAT敏感的应用协议无法正常工作，必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和（或）端口号，如果不进行特殊处理，将会严重影响后继的协议交互。  地址转换应用网关（NAT Application Level Gateway，NAT ALG）是解决特殊协议穿越NAT的一种常用方式，该方法按照地址转换规则，对载荷中的IP地址和端口号进行替换，从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。  在SecPath上，当开启NAT功能后，系统会自动开启NAT ALG，无需手工设置。  防火墙的域（zone）是什么意思  区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于的主要特征。一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。SecPath缺省有trust、untrust、DMZ、local 4个安全域，同时还可以自定义12个区域。  [SecPath]firewall zone ?   DMZ DMZ security zone   local Local security zone   name Specify a new security zone name and create it   trust Trust security zone   untrust Untrust security zone   一般来讲，安全区域与各网络的关联遵循下面的原则：内部网络应安排在安全级别较高的区域、外部网络应安排在安全级别最低的区域。具体来说，Trust所属接口用于连接用户要保护的网络；Untrust所属接口连接外部网络；DMZ区所属接口连接用户向外部提供服务的部分网络；从防火墙设备本身发起的连接即是从Local区域发起的连接。相应的所有对防火墙设备本身的访问都属于向Local区域发起访问连接。  SecPath防火墙中inbound和outbound的含义是什么呢  SecPath防火墙的ACL规则和路由器一样，是应用在接口上的，inbound指从接口进入防火墙的方向，outbound是从防火墙出接口的方向。这点是与Eudemon和SecPath1800F不同的。Eudemon和SecPath1800F的ACL是应用在域间的，inbound是指从低安全级别的域进入高安全级别域的流量，如从untrust进入trust，outbound的方向与此相反。  为什么我的接口配了IP地址和PC对连却ping不通  接口必须加入且只能加入一个域才能生效。特别要注意的是，除了物理口要加入域外，virtual-template和tunnul也必须加入域。如果不加入域，可能出现端口up但是却互相ping不通、SecPoint拨号接入却获取不到IP地址等情况。这是刚接触防火墙常犯的错误，希望大家能够牢记。  命令为firewall zone trust/untrust   Add interface eth 0/1  同时，在3.4-0006版本后，缺省情况下，更改了包过滤的缺省规则，缺省规则由permit改为deny，缺省情况下，所有的接口都是不通的，需要在系统视图下配置firewall packet-filter default permit才能访问。  Secpath系列产品如何查看flash中有哪些文件  dir/all  Directory of flash:/   1 -rw- 5800821 Oct 10 2002 10:10:10 system   2 -rw- 1021629 Oct 10 2002 10:10:10 http.zip   3 -rw- 962 Sep 22 2010 16:42:11 config.cfg   4 -rw- 524288 Aug 09 2010 09:35:41 bootromfull  15621 KB total (8439 KB free)  Secpath系列产品如何备份配置文件和VRP文件  1、使用TFTP方式（需要有TFTP服务器，如3CDaemon）   前提条件：保证PC机和设备之间可以双向PING通  tftp 1.1.1.1（TFTP服务器的地址） put system （VRP文件名）  tftp 1.1.1.1（TFTP服务器的地址） put config.cfg （VRP文件名）  2、使用FTP方式  前提条件：保证PC机和设备之间可以双向PING通  [Quidway]ftp server enable 启动FTP服务  [Quidway] local-user huawe 创建FTP用户和密码及及登陆后的目录  [Quidway] password simple huawei  [Quidway]service-type ftp ftp-directory flash:/  在PC“运行”键入CMD命令进入到DOS界面  ftp 设备IP地址  用户名和密码都是huawei  Secpath产品BOOTROM升级说明  进入bootrom命令  Ctrl_D 进入bootrom升级bootrom  Ctrl_B 进入bootrom升级VRP  BOOTROM文件  1、bootromd的版本文件可能有2个，大小分别是100多K和512K。 2、bootrom升级时，从低版本到高版本使用100k的update，但是从高到低必须使用512k的重新down，建议都使用512K的bootrom文件  Secpath产品在线升级BOOTROM和VRP方法  BOOT在线升级：  【TFTP方式】  1、配置secpath F和PC地址，使之互通。  2、 PC上启用TFTP server程序，同时指定为升级的boot文件所在目录。  3、将boot文件拷入flash中。在用户视图下，执行以下命令：  <>copy x.x.x.x/bootromfull bootromfull  这里，x.x.x.x为PC的地址，bootromfull为升级的boot文件名，注意：只能为bootromfull。如果只升级boot扩展段，则拷入的文件名应为bootrom。如果无法确定需要升级boot扩展段还是整个boot，则建议直接升级整个boot文件。  4、将boot升级，执行：  <>upgrade bootrom bootromfull  这里，bootromfull为拷入的文件名称。  5、重启系统。  【FTP方式】  同中低端路由器版本。  版本软件在线升级：  【TFTP方式】  1、配置secpath F和PC地址，使之互通。  PC上启用TFTP server程序，同时指定为升级文件所在目录。  2、在用户视图下，执行以下命令：  copy x.x.x.x/system system  这里，x.x.x.x为PC的地址，system为升级的系统文件名，注意：只能为system。  3、 重启系统。  【FTP方式】  同中低端路由器版本。  说明：  防火墙应用程序缺省名称为system，配置文件缺省名称为config.cfg，Boot ROM扩展段文件缺省名称为bootrom，整个Boot ROM文件缺省名称为bootromfull。  Secpath在BOOT中升级VRP版本时，下载完文件提示“Writing into Flash Fails.”该如何处理  一般是由于Flash出了问题。可以把Flash先格式化再下载。格式化flash可以在进入BOOT菜单后按“ctrl+b”再按“CTRL+F”执行。  为什么从系统下升级VRP版本重启设备后未生效  SecPath产品默认的系统文件为system，如果是在Bootrom下TFTP升级，系统将自动自动覆盖以前的system文件。如果在用户视图下FTP下载系统文件，需要手动更改下载的文件名为system。  在BootRom模式下TFTP升级VRP版本时，为什么从有些接口上下载不了版本  SecPath系列防火墙在bootrom下TFTP升级版本时，有一个默认的eth0口用于下载，该接口是不能更改的。各系列产品所对应于eth0的接口如下：   Secpath1000/1000F: Gigabit0/0   Secpath100F: WAN2   Sepcath100: eth0/0   Secpath10/10F WAN  删除FLASH里面的VRP系统文件，从BootRom模式下TFTP升级VRP版时，系统却提示FLASH空间不足，版本无法下载，系统启动不了怎么办  删除文件时一定要 /u 才能完全删除，假如在用户视图直接del system，该系统文件将放入回收站，同样占用FLASH的空间。这时，如果重启，老系统文件不生效，新系统文件又无空间写入。这时的杀手锏就是在进入boot菜单时CTRL+F格式化FLASH了。  VRP系统损坏了怎么办  进入boot菜单时CTRL+F格式化FLASH，通过bootrom方式升级。  Secpath产品是否支持WEB管理  目前支持WEB管理的设备有：secpath10f、100f、1000f。但FLASH中一定得有“http.zip”文件，如果没有就采用detach命令来解压软件版本。例：  detach system   System file length 7856557 bytes, http file length 834724 bytes.  dir  Directory of flash:/   　　 0 -rw- 8691281 Jun 16 2009 06:46:36 system   1 -rw- 1830 Jun 17 2009 07:47:16 config.cfg   　　 2 -rw- 834724 Jun 18 2009 02:22:39 http.zip  注： 如果不能通过WEB方式连到SecPath防火墙上，请按照下面的步骤进行排查：  检查Flash中是否有“http.zip”文件；如果没有该文件，请使用命令：detach system来释放出“http.zip”文件；  如果有“http.zip”文件，说明此文件是以前VRP程序里面的，请先删除该文件，再使用命令：detach system来释放出“http.zip”文件；  如果在VRP下通过FTP、TFTP方式进行升级后，那么需要先删除“http.zip”，再使用命令：detach system来释放出“http.zip”文件；  如果在Boot Rom下进行升级，升级成功，则正常。  为什么WEB管理操作时从设备读取页面很慢  首先查看你的IE设置：工具－>Internet选项－>设置  第一次Web访问某个页面时，要从FLASH里面读取大量数据，页面显示会相对较慢。以后系统缓存后，访问已访问过的页面会比较快。当你做了上述设置之后，发现读取页面还是异常慢，不妨换台PC试试，有时会碰到有的PC机访问页面异常慢的情况，原因不明。  在3.4-0006版本中，对WEB的访问流程进行了优化，访问速度较以前的版本快。如果客户反映WEB访问很慢，请升级到最新版本。注意，如果在使用过程中单独升级http.zip文件，需要重启设备才能生效。如果只在用户模式下，FTP上传新版本到FLASH，必须手动在用户模式下用detach system命令来解压出新的HTTP.ZIP文件。  LNS位于NAT网关之后如何处理  有两种方式：  1、NAT上做静态NAT映射，将LNS的私网地址映射为一个公网地址。  2、NAT上做1701/UDP的NAT server， 将LNS的1701端口映射为公网的1701端口。  在Secpath10f/100f/1000f上配置为LNS，但出现连接到“验证用户名和密码时”出现“错误619：…………”是什么原因  将防火墙攻击防范中“IP欺骗攻击”关闭即可解决此问题。  IPSEC网关也位于NAT网关之后，如何处理  1、NAT上做静态NAT映射，将VPN网关的私网地址映射为一个公网地址。同时，双方启用NAT穿越。  2、NAT上做500/UDP的NAT server， 将VPN网关的500端口映射为公网的500端口。同时，双方启用NAT穿越，且IPSEC使用AH和ESP协议，协议号分别为51、50，也需要放开。  配置GRE时tunnel口协议层已经UP，但是却无法ping通对端tunnel口地址  请确认 interface tunnel已经加入了安全域。Tunnel如果不加入安全域时防火墙是不进行处理和转发的；同时检查gre key是否一致。  GRE的TUNNEL中定义的ip address、source 和destination这三个地址的作用  GRE的TUNNEL中，ip addr 是作路由用的。即，当查找路由表时，发现所要发送的数据包的下一跳是和自己tunnel口ip addr同一网段的对端GRE的地址，则从tunnel口转发数据，进行GRE的封装。  当数据进行GRE封装时，外层封装的IP地址即为tunnel口定义的source和destination定义的地址。  Secpath系列产品如何根据版本来区分支持DVPN1.0和2.0  secpath网关产品(secpath100N/100V/1000)   只有VRP3.40-E1604版本才支持DVPN2.0,其它以前的所有版本都只支持DVPN1.0   secpath防火墙产品(secpath10f/100f/500f/1000f)   可以通过VRBD去查看  vrbd  Routing Platform. Software  Version SecPath 100F 8042V100R002B01D020 (COMWAREV300R002B40D003), RELEASE SOFTWARE  Compiled Jun 22 2006 15:44:28 by xiedong  若release为002和006,则表示此版本支持DVPN2.0,若release为001则表示此版本支持DVPN1.0  Eudemon系列产品目前所有版本都不支持DVPN  注意：DVPN1.0版本和DVPN2.0不能互通  DVPN已经建立，tunnel已经UP，为何ping不通对方tunnel地址  通常是由于没有把int tunnel加入untrust安全域引起的。防火墙除了loopback口外，所有的物理接口、逻辑接口都必须加入安全域中。  DVPN已经建立，tunnel已经UP，PC 能ping通对方tunnel地址，为何ping不通对方私网地址  通常是由于路由不正确的原因。假设用户拓扑和地址如下：  私网1――――DVPN网关1―――――DVPN网关2―――――私网2  私网1地址为10.1.1.0/24，DVPN隧道口地址为Tunnel 0: 192.168.1.1/24。  私网2地址为10.1.2.0/24，DVPN隧道口地址为Tunnel 0: 192.168.1.2/24。  不少人会按习惯在网关1上加如下路由：  ip route-static 10.1.2.0 24 tunnel 0  由于DVPN隧道为P2MP类型，一个隧道地址可以与多个对端建立隧道，因此设备无法通过Tunnel口找到对端，还必须指定对端隧道的地址才可以，正确的路由设置如下：  ip route-static 10.1.2.0 24 192.168.1.2  网关2同样。  Secpath系列产品中如何知道设备是否带IPSec加密卡  用display interface可以看到，如果看到encrypt接口，说明设备时带了加密卡的。SecPath100V、SecPath1000、SecPath100F-E、SecPath500F、SecPath1000F内置硬件加密卡，其它设备可以选配加密插卡。  如何开启IPSec加密卡的快转  在系统试图下执行命令：encrypt-card fast-switch即可。 rd fast-switch即可。路由器 本文来自CSDN博客，转载请标明出处：