【正文】 例 122 VPN Manager適配 124 VPN Manager簡(jiǎn)介 124 Eudemon防火墻上的VPN Manager適配 126第2章 文件管理 21 文件系統(tǒng) 21 文件系統(tǒng)簡(jiǎn)介 21 目錄操作 21 文件操作 21 存儲(chǔ)設(shè)備操作 22 文件系統(tǒng)提示方式 22 文件系統(tǒng)使用舉例 22 FTP配置 23 FTP簡(jiǎn)介 23 FTP服務(wù)器配置 24 FTP服務(wù)器的顯示和調(diào)試 25 FTP連接典型舉例 25 TFTP配置 29 TFTP簡(jiǎn)介 29 TFTP協(xié)議配置 29 XModem協(xié)議配置 210 XModem協(xié)議簡(jiǎn)介 210 XModem協(xié)議配置 211第3章 NTP配置 31 NTP協(xié)議簡(jiǎn)介 31 NTP協(xié)議配置 32 配置NTP工作模式 32 配置NTP身份驗(yàn)證功能 36 配置NTP驗(yàn)證密鑰 36 配置指定密鑰是可信的 37 配置本地發(fā)送NTP消息的接口 37 配置NTP主時(shí)鐘 37 配置禁止/允許接口接收NTP消息 38 配置對(duì)本地防火墻服務(wù)的訪問(wèn)控制權(quán)限 38 配置本地允許建立的sessions數(shù)目 39 NTP顯示與調(diào)試 39 NTP典型配置舉例 310 配置NTP服務(wù)器 310 配置NTP對(duì)等體舉例 312 配置NTP廣播模式 313 配置NTP組播模式 314 配置帶身份驗(yàn)證的NTP服務(wù)器模式 316第4章 SNMP配置 41 協(xié)議簡(jiǎn)介 41 SNMP協(xié)議介紹 41 SNMP版本及支持的MIB 41 SNMP配置 43 啟動(dòng)或關(guān)閉SNMP Agent服務(wù) 43 使能或禁止SNMP協(xié)議的相應(yīng)版本 43 配置團(tuán)體名（Community Name） 44 配置/刪除SNMP組 44 添加/刪除用戶(hù) 45 配置管理員的標(biāo)識(shí)及聯(lián)系方法（sysContact） 45 允許/禁止發(fā)送Trap報(bào)文 46 配置本地設(shè)備的引擎ID 46 配置Trap目標(biāo)主機(jī)的地址 47 配置防火墻位置（sysLocation） 47 指定發(fā)送Trap的源地址 47 視圖信息配置 48 配置消息包的最大值 48 配置Trap報(bào)文的消息隊(duì)列的長(zhǎng)度 48 配置Trap報(bào)文的保存時(shí)間 49 SNMP顯示和調(diào)試 49 SNMP典型配置舉例 410第5章 RMON配置 51 RMON簡(jiǎn)介 51 RMON配置 53 使能/禁止RMON接口統(tǒng)計(jì) 53 統(tǒng)計(jì)表的配置 53 歷史控制表的配置 54 事件表的配置 54 告警表的配置 55 擴(kuò)展告警表的配置 55 RMON顯示和調(diào)試 56 RMON典型配置舉例 57 RMON故障診斷與排除 510第6章 RMON2配置 61 RMON2簡(jiǎn)介 61 RMON2配置 61 協(xié)議目錄表的配置 61 主機(jī)控制表的配置 63 RMON2顯示和調(diào)試 64 RMON2典型配置舉例 64 RMON2故障診斷與排除 67iiiQuidway Eudemon 500/1000 防火墻 操作手冊(cè)（系統(tǒng)管理）第1章 系統(tǒng)維護(hù)管理第1章 系統(tǒng)維護(hù)管理 系統(tǒng)維護(hù)管理介紹系統(tǒng)維護(hù)管理主要包括以下幾項(xiàng)內(nèi)容：l 配置文件管理l 系統(tǒng)狀態(tài)信息的收集和維護(hù)調(diào)試簡(jiǎn)單工具的使用l 補(bǔ)丁升級(jí)管理l 系統(tǒng)信息中心的維護(hù)管理l 日志的維護(hù)和管理 配置文件管理 配置文件內(nèi)容及格式配置文件為一文本文件，其格式如下：l 以命令格式保存。與起始配置相對(duì)應(yīng)，防火墻運(yùn)行過(guò)程中正在生效的配置稱(chēng)為當(dāng)前配置。擦除配置文件后，可用save命令保存當(dāng)前配置為新的配置文件。表17 比較配置文件操作命令比較當(dāng)前的配置與存儲(chǔ)設(shè)備中保存的配置文件內(nèi)容是否一致。下表是對(duì)元字符的使用描述。l include：只輸出匹配指定正則表達(dá)式的所有行。表110 系統(tǒng)display命令操作命令顯示系統(tǒng)版本display version顯示系統(tǒng)時(shí)鐘display clock顯示終端用戶(hù)display users [ all ]顯示起始配置display savedconfiguration顯示當(dāng)前配置display currentconfiguration顯示調(diào)試開(kāi)關(guān)狀態(tài)display debugging [ interface { interfacetype interfacenumber } ] [ modulename ] 網(wǎng)絡(luò)連接的測(cè)試工具1. pingping主要用于檢查網(wǎng)絡(luò)連接及主機(jī)是否可達(dá)。請(qǐng)?jiān)谒幸晥D下進(jìn)行下列操作。二者關(guān)系如下圖所示。表114 補(bǔ)丁軟件升級(jí)操作命令使補(bǔ)丁處于活動(dòng)狀態(tài)patch active使補(bǔ)丁處于非活動(dòng)狀態(tài)patch deactive刪除指定補(bǔ)丁patch delete加載補(bǔ)丁patch load使補(bǔ)丁處于運(yùn)行狀態(tài)patch run2. 補(bǔ)丁軟件升級(jí)的顯示防火墻的flash中可能有多個(gè)補(bǔ)丁。l 系統(tǒng)支持十個(gè)通道，其中前六個(gè)通道（通道0～通道5）有缺省通道名，并且這六個(gè)通道缺省的與六個(gè)輸出方向相關(guān)聯(lián)，可以通過(guò)命令改變通道名，也可以改變通道與輸出方向之間的關(guān)聯(lián)。 說(shuō)明：信息中心缺省情況下處于開(kāi)啟狀態(tài)。表119 syslog定義的嚴(yán)重等級(jí)（severity）嚴(yán)重等級(jí)嚴(yán)重等級(jí)閾值描述emergencies1極其緊急的錯(cuò)誤alerts2需立即糾正的錯(cuò)誤critical3關(guān)鍵錯(cuò)誤errors4需關(guān)注但不關(guān)鍵的錯(cuò)誤warnings5警告，可能存在某種差錯(cuò)notifications6需注意的信息informational7一般提示信息debugging8調(diào)試信息 配置將snmp通道中的IP協(xié)議模塊的日志類(lèi)信息打開(kāi)，且允許嚴(yán)重等級(jí)閾值小于等于warning級(jí)別的信息輸出。對(duì)每個(gè)信息通道設(shè)有一條缺省記錄，它的模塊名為default，但對(duì)于不同信息通道，此記錄對(duì)日志、告警、調(diào)試類(lèi)信息的缺省配置值可能不同。l 向SNMP Agent輸出信息。表123 顯示終端的配置操作命令打開(kāi)終端顯示日志、告警、調(diào)試等信息功能terminal { monitor | logging | trapping | debugging }關(guān)閉終端顯示日志、告警、調(diào)試等信息功能undo terminal { monitor | logging | trapping | debugging }此命令只影響輸入命令的當(dāng)前終端的顯示。 以超級(jí)用戶(hù)（root）的身份執(zhí)行以下命令 mkdir /var/log/Quidway touch /var/log/Quidway/information 以超級(jí)用戶(hù)（root）的身份編輯文件/etc/，加入以下選擇/動(dòng)作組合（selector/action pairs）。上面的配置只向日志主機(jī)輸出嚴(yán)重程度為informatinal及以上的日志信息，即級(jí)別為1～7的日志信息。日志種類(lèi)和日志輸出方式之間的對(duì)應(yīng)關(guān)系如下圖所示：圖123 Eudemon上的日志輸出原理在Eudemon防火墻中，攻擊防范、流量監(jiān)控、黑名單和地址綁定產(chǎn)生的日志信息量小，因此采用SysLog方式以文本格式進(jìn)行輸出。請(qǐng)?jiān)谟蜷g視圖下進(jìn)行下列配置。(2) 組網(wǎng)圖圖128 防火墻日志功能配置組網(wǎng)圖(3) 配置步驟 配置防火墻接口Ethernet 0/0/0。[Eudemon] firewall defend portscan maxrate 100 [Eudemon] firewall defend portscan blacklisttimeout 10 使能Trust域的IP出方向報(bào)文統(tǒng)計(jì)。[Eudemon] firewall zone trust[Eudemonzonetrust] add interface Ethernet 0/0/0 配置接口Ethernet 1/0/0加入防火墻Untrust域。1. VPN Manager的特點(diǎn)VPN Manager有如下特點(diǎn)：l 基于華為公司統(tǒng)一的iMAP軟件平臺(tái)；l 采用目前廣泛使用的Client/Server體系結(jié)構(gòu)；l 支持?jǐn)?shù)據(jù)庫(kù)系統(tǒng)、業(yè)務(wù)處理系統(tǒng)和前臺(tái)應(yīng)用系統(tǒng)的分布化和層次化；l 支持多客戶(hù)端操作，能適應(yīng)復(fù)雜、大型網(wǎng)絡(luò)的管理需求；l 采用多進(jìn)程的設(shè)計(jì)機(jī)制，具有靈活的擴(kuò)充能力，滿(mǎn)足網(wǎng)絡(luò)發(fā)展時(shí)期需求多變的環(huán)境；l 采用統(tǒng)一的消息分發(fā)中心并支持消息分發(fā)中心分布化，提高了系統(tǒng)通信處理的能力；l 系統(tǒng)中監(jiān)控進(jìn)程統(tǒng)一調(diào)度和監(jiān)控其他進(jìn)程，保證其他應(yīng)用進(jìn)程可持續(xù)穩(wěn)定地運(yùn)行，提高了整個(gè)系統(tǒng)的可靠性和穩(wěn)定性。126Quidway Eudemon 500/1000 防火墻 操作手冊(cè)（系統(tǒng)管理）第2章 文件管理第2章 文件管理 文件系統(tǒng) 文件系統(tǒng)簡(jiǎn)介文件系統(tǒng)實(shí)現(xiàn)的主要功能為管理存儲(chǔ)設(shè)備，把文件保存在存儲(chǔ)設(shè)備中。表22 文件操作操作命令刪除文件delete [ /unreserved ] fileurl恢復(fù)刪除文件undelete fileurl徹底刪除回收站中的文件reset recyclebin [ fileurl ]顯示文件的內(nèi)容more fileurl重新命名文件rename fileurl_source fileurl_dest拷貝文件copy fileurl_source fileurl_dest移動(dòng)文件move fileurl_source fileurl_dest顯示目錄或文件信息dir [ / all ] [ fileurl ]執(zhí)行批處理文件execute filename 存儲(chǔ)設(shè)備操作文件系統(tǒng)可以格式化指定的存儲(chǔ)設(shè)備，請(qǐng)?jiān)谟脩?hù)視圖下進(jìn)行下列操作。l FTP Client服務(wù)，用戶(hù)在微機(jī)上通過(guò)終端仿真程序或Telnet程序建立與防火墻的連接后，可以輸入FTP命令建立與遠(yuǎn)程FTP Server的連接并訪問(wèn)遠(yuǎn)程主機(jī)上的文件。只有驗(yàn)證通過(guò)和授權(quán)成功的用戶(hù)，才能享受FTP服務(wù)器的服務(wù)。display ftpuser顯示登錄的FTP用戶(hù)的詳細(xì)情況。Eudemon ftp Trying ...Press CTRL+K to abortConnected to .220ServU FTPServer for WinSock ready...220 This FTP server is an unregistered 45 day tryout version of ServUUser(:(none)): pcuser331 User name okay, need password.Password:*****230 User logged in, proceed.[ftp]第六步：配置二進(jìn)制傳輸方式，并用put命令將VRP軟件上載到遠(yuǎn)端PC機(jī)進(jìn)行備份。組網(wǎng)如下圖所示：圖29 Eudemon作為FTP Server的組網(wǎng)第二步：在Eudemon防火墻的Flash中。[Eudemon] quitEudemon reboot TFTP配置 TFTP簡(jiǎn)介T(mén)FTP（Trivial File Transfer Protocol）是一種簡(jiǎn)單文件傳輸協(xié)議。Eudemon tftp get hda1:/2. 上傳文件請(qǐng)?jiān)谟脩?hù)視圖下進(jìn)行下列配置。先由接收程序發(fā)送協(xié)商字符，協(xié)商校驗(yàn)方式，協(xié)商通過(guò)之后發(fā)送程序就開(kāi)始發(fā)送數(shù)據(jù)包，接收程序接收到完整的一個(gè)數(shù)據(jù)包之后按照協(xié)商的方式對(duì)數(shù)據(jù)包進(jìn)行校驗(yàn)，校驗(yàn)通過(guò)之后發(fā)送確認(rèn)字符，然后發(fā)送程序繼續(xù)發(fā)送下一包；如果校驗(yàn)失敗，則發(fā)送否認(rèn)字符，發(fā)送程序重傳此數(shù)據(jù)包。 使用XModem協(xié)議從AUX口接收文件，接收的文件保存在flash上。不支持多用戶(hù)的同時(shí)操作。表210 配置訪問(wèn)控制列表操作命令指定可以訪問(wèn)TFTP服務(wù)器的訪問(wèn)控制列表tftpserver acl aclnumber刪除配置的訪問(wèn)控制列表undo tftpserver acl 配置可以訪問(wèn)TFTP服務(wù)器的訪問(wèn)控制列表號(hào)為2001。當(dāng)需要下載文件時(shí)，由客戶(hù)端向TFTP服務(wù)器發(fā)送讀請(qǐng)求包，然后從服務(wù)器接收數(shù)據(jù)包，并向服務(wù)器發(fā)送確認(rèn)；當(dāng)需要上傳文件時(shí)，由客戶(hù)端向TFTP服務(wù)器發(fā)送寫(xiě)請(qǐng)求包，然后向服務(wù)器發(fā)送數(shù)據(jù)包，并接收服務(wù)器的確認(rèn)。[Eudemonaaa] authenticationscheme ftpuser[Eudemonaaaauthenftpuser] authenticationmode local[Eudemonaaaauthenftpuser] quit[Eudemonaaa] quit[Eudemon] userinterface vty 0[Eudemonuivty0] authenticationmode aaa第六步：從遠(yuǎn)端PC機(jī)（FTP Client）向Eudemon防火墻（FTP Server）發(fā)起FTP連接。 說(shuō)明：盡量不要直接覆蓋舊的VRP版本，保留舊版本備份，以備異常情況下