【正文】 例 122 VPN Manager適配 124 VPN Manager簡介 124 Eudemon防火墻上的VPN Manager適配 126第2章 文件管理 21 文件系統(tǒng) 21 文件系統(tǒng)簡介 21 目錄操作 21 文件操作 21 存儲設備操作 22 文件系統(tǒng)提示方式 22 文件系統(tǒng)使用舉例 22 FTP配置 23 FTP簡介 23 FTP服務器配置 24 FTP服務器的顯示和調試 25 FTP連接典型舉例 25 TFTP配置 29 TFTP簡介 29 TFTP協(xié)議配置 29 XModem協(xié)議配置 210 XModem協(xié)議簡介 210 XModem協(xié)議配置 211第3章 NTP配置 31 NTP協(xié)議簡介 31 NTP協(xié)議配置 32 配置NTP工作模式 32 配置NTP身份驗證功能 36 配置NTP驗證密鑰 36 配置指定密鑰是可信的 37 配置本地發(fā)送NTP消息的接口 37 配置NTP主時鐘 37 配置禁止/允許接口接收NTP消息 38 配置對本地防火墻服務的訪問控制權限 38 配置本地允許建立的sessions數(shù)目 39 NTP顯示與調試 39 NTP典型配置舉例 310 配置NTP服務器 310 配置NTP對等體舉例 312 配置NTP廣播模式 313 配置NTP組播模式 314 配置帶身份驗證的NTP服務器模式 316第4章 SNMP配置 41 協(xié)議簡介 41 SNMP協(xié)議介紹 41 SNMP版本及支持的MIB 41 SNMP配置 43 啟動或關閉SNMP Agent服務 43 使能或禁止SNMP協(xié)議的相應版本 43 配置團體名（Community Name） 44 配置/刪除SNMP組 44 添加/刪除用戶 45 配置管理員的標識及聯(lián)系方法（sysContact） 45 允許/禁止發(fā)送Trap報文 46 配置本地設備的引擎ID 46 配置Trap目標主機的地址 47 配置防火墻位置（sysLocation） 47 指定發(fā)送Trap的源地址 47 視圖信息配置 48 配置消息包的最大值 48 配置Trap報文的消息隊列的長度 48 配置Trap報文的保存時間 49 SNMP顯示和調試 49 SNMP典型配置舉例 410第5章 RMON配置 51 RMON簡介 51 RMON配置 53 使能/禁止RMON接口統(tǒng)計 53 統(tǒng)計表的配置 53 歷史控制表的配置 54 事件表的配置 54 告警表的配置 55 擴展告警表的配置 55 RMON顯示和調試 56 RMON典型配置舉例 57 RMON故障診斷與排除 510第6章 RMON2配置 61 RMON2簡介 61 RMON2配置 61 協(xié)議目錄表的配置 61 主機控制表的配置 63 RMON2顯示和調試 64 RMON2典型配置舉例 64 RMON2故障診斷與排除 67iiiQuidway Eudemon 500/1000 防火墻 操作手冊（系統(tǒng)管理）第1章 系統(tǒng)維護管理第1章 系統(tǒng)維護管理 系統(tǒng)維護管理介紹系統(tǒng)維護管理主要包括以下幾項內容：l 配置文件管理l 系統(tǒng)狀態(tài)信息的收集和維護調試簡單工具的使用l 補丁升級管理l 系統(tǒng)信息中心的維護管理l 日志的維護和管理 配置文件管理 配置文件內容及格式配置文件為一文本文件，其格式如下：l 以命令格式保存。與起始配置相對應，防火墻運行過程中正在生效的配置稱為當前配置。擦除配置文件后，可用save命令保存當前配置為新的配置文件。表17 比較配置文件操作命令比較當前的配置與存儲設備中保存的配置文件內容是否一致。下表是對元字符的使用描述。l include：只輸出匹配指定正則表達式的所有行。表110 系統(tǒng)display命令操作命令顯示系統(tǒng)版本display version顯示系統(tǒng)時鐘display clock顯示終端用戶display users [ all ]顯示起始配置display savedconfiguration顯示當前配置display currentconfiguration顯示調試開關狀態(tài)display debugging [ interface { interfacetype interfacenumber } ] [ modulename ] 網(wǎng)絡連接的測試工具1. pingping主要用于檢查網(wǎng)絡連接及主機是否可達。請在所有視圖下進行下列操作。二者關系如下圖所示。表114 補丁軟件升級操作命令使補丁處于活動狀態(tài)patch active使補丁處于非活動狀態(tài)patch deactive刪除指定補丁patch delete加載補丁patch load使補丁處于運行狀態(tài)patch run2. 補丁軟件升級的顯示防火墻的flash中可能有多個補丁。l 系統(tǒng)支持十個通道，其中前六個通道（通道0～通道5）有缺省通道名，并且這六個通道缺省的與六個輸出方向相關聯(lián)，可以通過命令改變通道名，也可以改變通道與輸出方向之間的關聯(lián)。 說明：信息中心缺省情況下處于開啟狀態(tài)。表119 syslog定義的嚴重等級（severity）嚴重等級嚴重等級閾值描述emergencies1極其緊急的錯誤alerts2需立即糾正的錯誤critical3關鍵錯誤errors4需關注但不關鍵的錯誤warnings5警告，可能存在某種差錯notifications6需注意的信息informational7一般提示信息debugging8調試信息 配置將snmp通道中的IP協(xié)議模塊的日志類信息打開，且允許嚴重等級閾值小于等于warning級別的信息輸出。對每個信息通道設有一條缺省記錄，它的模塊名為default，但對于不同信息通道，此記錄對日志、告警、調試類信息的缺省配置值可能不同。l 向SNMP Agent輸出信息。表123 顯示終端的配置操作命令打開終端顯示日志、告警、調試等信息功能terminal { monitor | logging | trapping | debugging }關閉終端顯示日志、告警、調試等信息功能undo terminal { monitor | logging | trapping | debugging }此命令只影響輸入命令的當前終端的顯示。 以超級用戶（root）的身份執(zhí)行以下命令 mkdir /var/log/Quidway touch /var/log/Quidway/information 以超級用戶（root）的身份編輯文件/etc/，加入以下選擇/動作組合（selector/action pairs）。上面的配置只向日志主機輸出嚴重程度為informatinal及以上的日志信息，即級別為1～7的日志信息。日志種類和日志輸出方式之間的對應關系如下圖所示：圖123 Eudemon上的日志輸出原理在Eudemon防火墻中，攻擊防范、流量監(jiān)控、黑名單和地址綁定產(chǎn)生的日志信息量小，因此采用SysLog方式以文本格式進行輸出。請在域間視圖下進行下列配置。(2) 組網(wǎng)圖圖128 防火墻日志功能配置組網(wǎng)圖(3) 配置步驟 配置防火墻接口Ethernet 0/0/0。[Eudemon] firewall defend portscan maxrate 100 [Eudemon] firewall defend portscan blacklisttimeout 10 使能Trust域的IP出方向報文統(tǒng)計。[Eudemon] firewall zone trust[Eudemonzonetrust] add interface Ethernet 0/0/0 配置接口Ethernet 1/0/0加入防火墻Untrust域。1. VPN Manager的特點VPN Manager有如下特點：l 基于華為公司統(tǒng)一的iMAP軟件平臺；l 采用目前廣泛使用的Client/Server體系結構；l 支持數(shù)據(jù)庫系統(tǒng)、業(yè)務處理系統(tǒng)和前臺應用系統(tǒng)的分布化和層次化；l 支持多客戶端操作，能適應復雜、大型網(wǎng)絡的管理需求；l 采用多進程的設計機制，具有靈活的擴充能力，滿足網(wǎng)絡發(fā)展時期需求多變的環(huán)境；l 采用統(tǒng)一的消息分發(fā)中心并支持消息分發(fā)中心分布化，提高了系統(tǒng)通信處理的能力；l 系統(tǒng)中監(jiān)控進程統(tǒng)一調度和監(jiān)控其他進程，保證其他應用進程可持續(xù)穩(wěn)定地運行，提高了整個系統(tǒng)的可靠性和穩(wěn)定性。126Quidway Eudemon 500/1000 防火墻 操作手冊（系統(tǒng)管理）第2章 文件管理第2章 文件管理 文件系統(tǒng) 文件系統(tǒng)簡介文件系統(tǒng)實現(xiàn)的主要功能為管理存儲設備，把文件保存在存儲設備中。表22 文件操作操作命令刪除文件delete [ /unreserved ] fileurl恢復刪除文件undelete fileurl徹底刪除回收站中的文件reset recyclebin [ fileurl ]顯示文件的內容more fileurl重新命名文件rename fileurl_source fileurl_dest拷貝文件copy fileurl_source fileurl_dest移動文件move fileurl_source fileurl_dest顯示目錄或文件信息dir [ / all ] [ fileurl ]執(zhí)行批處理文件execute filename 存儲設備操作文件系統(tǒng)可以格式化指定的存儲設備，請在用戶視圖下進行下列操作。l FTP Client服務，用戶在微機上通過終端仿真程序或Telnet程序建立與防火墻的連接后，可以輸入FTP命令建立與遠程FTP Server的連接并訪問遠程主機上的文件。只有驗證通過和授權成功的用戶，才能享受FTP服務器的服務。display ftpuser顯示登錄的FTP用戶的詳細情況。Eudemon ftp Trying ...Press CTRL+K to abortConnected to .220ServU FTPServer for WinSock ready...220 This FTP server is an unregistered 45 day tryout version of ServUUser(:(none)): pcuser331 User name okay, need password.Password:*****230 User logged in, proceed.[ftp]第六步：配置二進制傳輸方式，并用put命令將VRP軟件上載到遠端PC機進行備份。組網(wǎng)如下圖所示：圖29 Eudemon作為FTP Server的組網(wǎng)第二步：在Eudemon防火墻的Flash中。[Eudemon] quitEudemon reboot TFTP配置 TFTP簡介TFTP（Trivial File Transfer Protocol）是一種簡單文件傳輸協(xié)議。Eudemon tftp get hda1:/2. 上傳文件請在用戶視圖下進行下列配置。先由接收程序發(fā)送協(xié)商字符，協(xié)商校驗方式，協(xié)商通過之后發(fā)送程序就開始發(fā)送數(shù)據(jù)包，接收程序接收到完整的一個數(shù)據(jù)包之后按照協(xié)商的方式對數(shù)據(jù)包進行校驗，校驗通過之后發(fā)送確認字符，然后發(fā)送程序繼續(xù)發(fā)送下一包；如果校驗失敗，則發(fā)送否認字符，發(fā)送程序重傳此數(shù)據(jù)包。 使用XModem協(xié)議從AUX口接收文件，接收的文件保存在flash上。不支持多用戶的同時操作。表210 配置訪問控制列表操作命令指定可以訪問TFTP服務器的訪問控制列表tftpserver acl aclnumber刪除配置的訪問控制列表undo tftpserver acl 配置可以訪問TFTP服務器的訪問控制列表號為2001。當需要下載文件時，由客戶端向TFTP服務器發(fā)送讀請求包，然后從服務器接收數(shù)據(jù)包，并向服務器發(fā)送確認；當需要上傳文件時，由客戶端向TFTP服務器發(fā)送寫請求包，然后向服務器發(fā)送數(shù)據(jù)包，并接收服務器的確認。[Eudemonaaa] authenticationscheme ftpuser[Eudemonaaaauthenftpuser] authenticationmode local[Eudemonaaaauthenftpuser] quit[Eudemonaaa] quit[Eudemon] userinterface vty 0[Eudemonuivty0] authenticationmode aaa第六步：從遠端PC機（FTP Client）向Eudemon防火墻（FTP Server）發(fā)起FTP連接。 說明：盡量不要直接覆蓋舊的VRP版本，保留舊版本備份，以備異常情況下