【正文】 作命令文件系統(tǒng)的提示方式file prompt { alert | quiet } 文件系統(tǒng)使用舉例 顯示當(dāng)前目錄下的文件信息，其中fl為flash：/目錄下的子目錄。請(qǐng)?jiān)谟脩?hù)視圖下進(jìn)行下列操作，其中execute命令在系統(tǒng)視圖下執(zhí)行操作。請(qǐng)注意文件全名最多支持48字節(jié)，硬盤(pán)可支持49字節(jié)，超長(zhǎng)文件名將導(dǎo)致您不能正常進(jìn)行文件系統(tǒng)操作。此處不再贅述。表128 VPN Manager系統(tǒng)運(yùn)行平臺(tái)軟件要求服務(wù)器UNIX平臺(tái)Solaris 8 + Windows平臺(tái)Windows 2000 Server + SQL Server 2000客戶(hù)端Windows 2000 Professional + Internet / 3. VPN Manager提供的服務(wù)VPN Manager能夠在以下幾個(gè)方面為VPN業(yè)務(wù)提供便利的服務(wù)：l 資源（包括網(wǎng)絡(luò)、設(shè)備、接口等）的增加、修改和刪除；l 業(yè)務(wù)的規(guī)劃、部署、審計(jì)、自動(dòng)發(fā)現(xiàn)；l 任務(wù)的定制、調(diào)度和日志；l 網(wǎng)絡(luò)性能/故障監(jiān)控。用戶(hù)能夠通過(guò)該組件對(duì)華為公司以及其他公司的部分產(chǎn)品進(jìn)行IPSec VPN的配置和維護(hù)。[Eudemon] acl number 2001[Eudemonaclbasic2001] rule 0 permit 進(jìn)入域間模式，配置在域間應(yīng)用ACL規(guī)則2001，并打開(kāi)ACL對(duì)應(yīng)的流日志開(kāi)關(guān)。[Eudemon] interface Ethernet 2/0/0[EudemonEthernet2/0/0] ip address 配置接口Ethernet 0/0/0加入防火墻Trust域。(2) 組網(wǎng)圖同上圖。[Eudemon] infocenter enable[Eudemon] infocenter loghost language english 打開(kāi)攻擊防范的端口掃描攻擊開(kāi)關(guān)，將攻擊的源地址加入黑名單，老化時(shí)間為10分鐘。[Eudemon] interface Ethernet 2/0/0[EudemonEthernet2/0/0] ip address 配置接口Ethernet 0/0/0加入防火墻Trust域。表127 日志維護(hù)的顯示和調(diào)試操作命令顯示攻擊防范日志緩存的定期掃描時(shí)間display firewall logtime defend顯示統(tǒng)計(jì)日志緩存的定期掃描時(shí)間display firewall logtime statistic 日志典型配置舉例1. 輸出攻擊防范日志到日志主機(jī)(1) 組網(wǎng)需求防火墻Eudemon以太網(wǎng)口Ethernet0/0/0配置為T(mén)rust域，以太網(wǎng)口E1/0/0配置為Untrust域，以太網(wǎng)口Ethernet2/0/0配置為DMZ區(qū)。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。 二進(jìn)制流日志配置二進(jìn)制流日志的配置包括：l 使能域間二進(jìn)制流日志輸出開(kāi)關(guān)l 配置二進(jìn)制流日志主機(jī)地址和接收端口l 配置日志緩存的定期掃描時(shí)間間隔1. 使能域間二進(jìn)制流日志輸出開(kāi)關(guān)該命令用來(lái)打開(kāi)或關(guān)閉域間二進(jìn)制流日志的開(kāi)關(guān)。相比較而言，二進(jìn)制流日志的傳輸效率高于Syslog。Eudemon防火墻能夠輸出以下幾種日志信息：l 接口UP/DOWN信息l 用戶(hù)登錄/退出日志l 命令配置日志l NAT/ASPF日志l 攻擊防范日志l 流量監(jiān)控日志l 黑名單日志l 地址綁定日志2. Eudemon上的日志輸出原理對(duì)于上述這些日志，根據(jù)日志輸出方式的不同可以分為二進(jìn)制流日志、Syslog日志兩種。 說(shuō)明：綜合配置設(shè)備名稱(chēng)（facility），嚴(yán)重等級(jí)閾值（severity），模塊名稱(chēng)（filter），可以進(jìn)行相當(dāng)細(xì)致的分類(lèi)，達(dá)到信息篩選的目的。ps ae | grep syslogd147kill HUP 147進(jìn)行以上操作后，防火墻的相關(guān)信息就可以輸出到相應(yīng)的日志文件中了。l 選擇/動(dòng)作組合之間必須以一個(gè)制表符分隔，而不能輸入空格。下面以SunOS ，其它廠(chǎng)商UNIX操作系統(tǒng)上的配置操作基本與之相同。[Eudemon] infocenter enable 配置控制臺(tái)日志輸出，允許PPP模塊的日志輸出，嚴(yán)重等級(jí)限制為emergencies～debugging。請(qǐng)?jiān)谟脩?hù)視圖下進(jìn)行下列配置。表121 輸出信息操作命令向Console方向輸出信息infocenter console channel { channelnumber | channelname }向Telnet終端或啞終端輸出信息infocenter monitor channel { channelnumber | channelname }向SNMP輸出信息infocenter snmp channel { channelnumber | channelname }配置日志緩沖區(qū)的大小，配置向日志緩沖區(qū)輸出信息的通道infocenter logbuffer [ channel { channelnumber | channelname } | size buffersize ] *關(guān)閉日志緩沖區(qū)或恢復(fù)默認(rèn)值undo infocenter logbuffer [ channel | size ]配置向日志主機(jī)輸出信息的信息通道以及其它參數(shù)infocenter loghost [ channel { channelnumber | channelname } | facility localnumber | language { chinese | english } ] *取消向日志主機(jī)輸出信息undo infocenter loghost 配置告警緩沖區(qū)的大小，配置向告警緩沖區(qū)輸出信息的通道infocenter trapbuffer [ channel { channelnumber | channelname } | size buffersize ] *關(guān)閉告警緩沖區(qū)或恢復(fù)默認(rèn)值undo infocenter trapbuffer [ channel | size ]目前，系統(tǒng)對(duì)每個(gè)輸出方向缺省分配一個(gè)信息通道，它們是輸出方向 信息通道號(hào) 缺省的信息通道名控制臺(tái) 0 console監(jiān)視終端 1 monitor日志主機(jī) 2 loghost告警緩沖區(qū) 3 trapbuffer日志緩沖區(qū) 4 logbuffersnmp 5 snmpagentamp。l 在防火墻內(nèi)部分配適當(dāng)大小的告警緩沖區(qū)，用于記錄信息。5. 信息的輸出目前，防火墻主體軟件的信息中心可以在六個(gè)方向輸出各種信息：l 通過(guò)Console口向本地控制臺(tái)輸出信息。channelname是要配置的信息通道名。default代表信息通道中的缺省記錄。因此，當(dāng)配置嚴(yán)重等級(jí)閾值為debugging時(shí)，所有的信息都會(huì)輸出。表117 信息通道的命名操作命令將編號(hào)為channelnumber的信息通道命名為channelnameinfocenter channel channelnumber name channelnamechannelnumber是通道號(hào)，取值為0～9，即系統(tǒng)有10個(gè)通道。表116 開(kāi)啟/關(guān)閉信息中心功能操作命令開(kāi)啟信息中心infocenter enable關(guān)閉信息中心undo infocenter enableamp。l 信息在輸出時(shí)可以進(jìn)行中英文選擇。l 信息按重要性劃分為八種等級(jí)，可按等級(jí)進(jìn)行信息過(guò)濾。表115 補(bǔ)丁軟件升級(jí)的顯示操作命令顯示防火墻的補(bǔ)丁信息display patchinformation 信息中心功能 信息中心簡(jiǎn)介信息中心是防火墻主體軟件中不可或缺的一部分，它作為防火墻的信息樞紐而存在。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。表113 調(diào)試開(kāi)關(guān)的打開(kāi)、關(guān)閉和顯示操作命令打開(kāi)協(xié)議調(diào)試開(kāi)關(guān)debugging { all | modulename [ debugoption1 ] [ debugoption2 ] …} 關(guān)閉協(xié)議調(diào)試開(kāi)關(guān)undo debugging { all | modulename [ debugoption1 ] [ debugoption2 ] … }顯示已經(jīng)打開(kāi)的調(diào)試開(kāi)關(guān)display debugging [ interface { interfacetype interfacenumber } ] [ modulename ]具體調(diào)試命令的使用和調(diào)試信息的格式介紹參見(jiàn)相關(guān)章節(jié)。l 屏幕輸出開(kāi)關(guān)，控制是否在某個(gè)用戶(hù)屏幕上輸出調(diào)試信息。Eudemon tracert traceroute to (), 30 hops max, 56 byte packet1 () 19 ms 19 ms 0 ms2 () 39 ms 39 ms 19 ms3 () 39 ms 40 ms 39 ms4 () 39 ms 39 ms 39 ms5 () 40 ms 59 ms 59 ms6 () 59 ms 59 ms 59 ms7 () 99 ms 99 ms 80 ms8 () 139 ms 239 ms 319 ms9 () 220 ms 199 ms 199 ms10 () 239 ms 239 ms 239 ms從上面結(jié)果可以看出從源主機(jī)到目的地都經(jīng)過(guò)了哪些網(wǎng)關(guān)，這對(duì)于網(wǎng)絡(luò)分析是非常有用的。執(zhí)行這些過(guò)程的目的是記錄每一個(gè)ICMP TTL超時(shí)消息的源地址，以提供一個(gè)IP數(shù)據(jù)包到達(dá)目的地所經(jīng)歷的路徑。命令執(zhí)行結(jié)果輸出包括：l 對(duì)每一ping報(bào)文的響應(yīng)情況，如果超時(shí)到仍沒(méi)有收到響應(yīng)報(bào)文，則輸出“Request time out”，否則顯示響應(yīng)報(bào)文中數(shù)據(jù)字節(jié)數(shù)、報(bào)文序號(hào)、TTL和響應(yīng)時(shí)間等。請(qǐng)?jiān)谒幸晥D下進(jìn)行下列操作。l +regularexpression：只輸出匹配指定正則表達(dá)式的所有行。l exclude：輸出不匹配指定正則表達(dá)式的所有行。使用時(shí)注意，逗號(hào)與n和m之間不能有空格例如：^ip：匹配以字符串“ip”開(kāi)始的目標(biāo)對(duì)象。為幫助用戶(hù)靈活地構(gòu)建匹配模式，正則表達(dá)式提供了一些具有特殊含義的專(zhuān)用字符，也稱(chēng)為“元字符”（metacharacter），用來(lái)規(guī)定其它字符在目標(biāo)對(duì)象中的出現(xiàn)模式。表18 系統(tǒng)基本配置及管理操作命令配置防火墻名稱(chēng)sysname sysname配置系統(tǒng)時(shí)鐘clock datetime HH:MM:SS YYYY/MM/DD 正則表達(dá)式的使用1. 正則表達(dá)式的介紹正則表達(dá)式是一種可用于模式匹配和替換的工具，它的功能強(qiáng)大，使用也很靈活。表16 查看啟動(dòng)使用的文件信息操作命令查看啟動(dòng)使用的文件信息display startup4. 比較配置文件請(qǐng)?jiān)谟脩?hù)視圖下進(jìn)行下列操作。表14 配置下次啟動(dòng)時(shí)的系統(tǒng)軟件文件名操作命令配置下次啟動(dòng)時(shí)的系統(tǒng)軟件文件名startup systemsoftware sysfile缺省情況下，配置主控板下次啟動(dòng)時(shí)使用的系統(tǒng)軟件文件名。l 發(fā)現(xiàn)配置文件遭到破壞，如加載了錯(cuò)誤的配置文件。 說(shuō)明：配置文件的顯示格式與保存格式相同。 查看防火墻的當(dāng)前配置和起始配置防火墻上電時(shí)，從默認(rèn)存儲(chǔ)路徑中讀取配置文件進(jìn)行防火墻的初始化工作，因此該配置文件中的配置稱(chēng)為起始配置，如果默認(rèn)存儲(chǔ)路徑中沒(méi)有配置文件，則防火墻用缺省參數(shù)初始化。l 命令的組織以命令視圖為基本框架，同一命令視圖的命令組織在一起，形成一節(jié)，節(jié)與節(jié)之間通常用空行或注釋行隔開(kāi)（以開(kāi)始的為注釋行）。l 為了節(jié)省空間，只保存非缺省的參數(shù)（各配置參數(shù)的缺省值請(qǐng)?jiān)斠?jiàn)以后各章節(jié)）。l 以return為結(jié)束。表11 查看防火墻配置操作命令查看防火墻的起始配置display savedconfiguration查看防火墻的當(dāng)前配置display currentconfiguration查看防火墻的技術(shù)信息display diagnosticinformation顯示當(dāng)前視圖的配置信息display thisamp。表12 保存當(dāng)前配置操作命令保存當(dāng)前配置save 擦除配置文件用reset savedconfiguration命令可以擦除防火墻當(dāng)前存儲(chǔ)設(shè)備中的配置文件，配置文件被擦除后，防火墻下次上電將采用缺省的配置參數(shù)進(jìn)行初始化，在以下幾種情況時(shí)，需要擦除存儲(chǔ)設(shè)備中的配置文件：l 在防火墻軟件升級(jí)之后，可能會(huì)引起防火墻軟件和配置文件不匹配。表13 擦除存儲(chǔ)設(shè)備中的配置文件操作命令擦除配置文件reset savedconfiguration 配置文件使用1. 配置下次啟動(dòng)時(shí)的系統(tǒng)軟件文件名請(qǐng)?jiān)谟脩?hù)視圖下進(jìn)行下列配置。3. 查看啟動(dòng)使用的文件信息在完成上述配置后，在所有視圖下執(zhí)行display命令可以顯示配置文件的運(yùn)行情況，通過(guò)查看顯示信息驗(yàn)證配置的效果。請(qǐng)?jiān)谟脩?hù)視圖下進(jìn)行clock命令的操作。最簡(jiǎn)單的正則表達(dá)式不包含任何元字符，例如，可以規(guī)定一個(gè)正則表達(dá)式hello，它只匹配字