【正文】 Eudemon防火墻都是Master，此時則按照 VRRP組優(yōu)先級、接口真實 IP地址從大到小的順序選擇配置主設(shè)備。 內(nèi)部資料，注意保密 74 HRP/VGMP/VRRP關(guān)系 VRRP 備份組VRRP 管理組VGMP 報文HRP 模塊HRP 報文當(dāng) VRRP管理組狀態(tài)變化時，系統(tǒng)將通知 HRP狀態(tài)和配置主 /從設(shè)備的狀態(tài)發(fā)生相應(yīng)的變化，從而確保兩臺防火墻之間配置命令和會話狀態(tài)信息得到及時備份。 同時， VRRP管理組狀態(tài)也要受 HRP狀態(tài)影響，即 VRRP會根據(jù) HRP狀態(tài)切換的結(jié)果來調(diào)整優(yōu)先級，并進(jìn)行 VRRP狀態(tài)切換。 內(nèi)部資料，注意保密 75 第一章 防火墻技術(shù)簡介 第二章 防火墻體系結(jié)構(gòu) 第三章 防火墻原理與特性 第四章 防火墻升級指導(dǎo) 第五章 防火墻故障處理指導(dǎo) 內(nèi)部資料，注意保密 76 升級方法 ? E200升級方法 ? 比較簡單，大包中包含大 Bootrom，直接升級大包即解決問題 ? 老命令行 E100升級方法 ? 應(yīng)對 E100問題，出新命令行升級版本 0315 ? 首先要升級小 Bootrom ? 然后升級為防火墻 Bootrom ? 最后下載防火墻新軟件 ? 可以支持軟件升級，不用更換硬件 ? 命令行變化，訪問列表變化 內(nèi)部資料，注意保密 77 第一章 防火墻技術(shù)簡介 第二章 防火墻體系結(jié)構(gòu) 第三章 防火墻原理與特性 第四章 防火墻升級指導(dǎo) 第五章 防火墻故障處理指導(dǎo) 內(nèi)部資料，注意保密 78 使用注意事項（一） ? 推薦配置 ? 管理網(wǎng)口性能高，推薦作為主要業(yè)務(wù)口 ? 打開快轉(zhuǎn)（ D013之前，之后缺省打開） ? 接口模式設(shè)置為百兆、全雙工，不要協(xié)商 ? ACL條目較多，使用 ACL加速算法 ? 不使能 ftp服務(wù)器（黑名單現(xiàn)在無法防范） ? 盡可能使用路由模式 ? TCP相關(guān)會話老化時間設(shè)置長一些默認(rèn) 40： fire sess agingtime ? 可以使能黑名單，防止非法登錄防火墻 內(nèi)部資料，注意保密 79 使用注意事項（二） ? 功能限制 ? 目前版本盡量避免使用動態(tài)路由， D10SP1 ? 目前不支持同一個報文在同一個接口上下，組網(wǎng)需要避免 ? 隧道 L2tp、 GRE等，最低版本 D10SP1 ? 避免開放流日志（日志服務(wù)器未發(fā)布、 D013） ? 系統(tǒng)統(tǒng)計不要關(guān)閉 ? 攻防模塊日志較多，沒有必要不要打開，防止 log沒有有效信息 內(nèi)部資料，注意保密 80 故障收集信息（一） ? display diagnosticinformation ? display arp ? display firewall session table ? display fib/display ip routingtable 內(nèi)部資料，注意保密 81 故障收集信息（二） ? debug ip packet ? disp acl ? display firewall session table v ? disp arp ? display fib/display ip routingtable ? debugging nat { alg | event | packet } ? display diagnosticinformation 內(nèi)部資料，注意保密 82 常見問題（一） Q：報文不轉(zhuǎn)發(fā)。 接口是否加入?yún)^(qū)域 防火墻是否進(jìn)行了限制 是否同一個接口進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)（注意其版本） 內(nèi)部資料，注意保密 83 常見問題（二） Q： Eudemon200告警燈亮的問題。 告警燈對那些進(jìn)行告警： rpu的 alarm燈對溫度、風(fēng)扇、電源異常進(jìn)行告警。 如果 fan、 pwr pwr2的告警燈亮了， rpu的告警燈也會亮 就是說電源模塊自己的告警可以反映到主控板 pwr告警燈上， 主控板 pwr告警可以反映到 rpu告警燈上。 風(fēng)扇、電源的狀態(tài)可以通過 display device命令查看。 常見情況： Eudmeon200有兩路電源，如果一開始就只有一路電源折不會產(chǎn)生告警 如果一開始有兩路電源，但是后來拔掉一路電源，則告警燈會亮 如果有兩路電源，但是有一路沒有開，告警燈會亮 內(nèi)部資料，注意保密 84 常見問題（二）續(xù) 告警產(chǎn)生后的查看命令： bxtt_E200disp device 看單板狀態(tài) bxtt_E200disp environment 看環(huán)境信息 bxtt_E200disp alarm u 看告警信息 bxtt_E200disp log 看日志信息 例子：本溪鐵通接了地線導(dǎo)致電源告警，網(wǎng)上問題 內(nèi)部資料，注意保密 85 常見問題（二）續(xù) 確認(rèn)問題后對出現(xiàn)異常的上報信息，可以做以下兩個操作： 1）在診斷模式下執(zhí)行以下操作： [Quidwaydiagnose]tinit nv Initialize the NVRAM succeeded! 清除 NVRAM中以往錯誤記錄，以免誤導(dǎo)； 0－－－－這個清除將清除disp alarm 中的所有記錄都清除 2）使用以下命令關(guān)閉告警燈 Quidwayquench alarm light rpu －－－－ Eudemon200 0313（包括）之后才可以使用 備注：如何進(jìn)入診斷模式： sys模式下輸入下劃線“ _”回車即可。 內(nèi)部資料，注意保密 86 常見問題（三） Q：關(guān)于主板接口的使用問題。 Eudemon200主控板接口轉(zhuǎn)發(fā)性能高，建議使用 Eudemon1000主控板接口轉(zhuǎn)發(fā)性能低，不建議使用 內(nèi)部資料，注意保密 87 常見問題（四） Q： (07)與軟交換配合無法正常實現(xiàn) NAT ALG功能的問題 (07)與軟交換配合實現(xiàn) ALG功能，下接麗臺可視電話通信時，出現(xiàn)話路雙不通情況。 Eudemon100去掉 NAT功能，做路由器時使用可視電話正常。 內(nèi)部資料，注意保密 88 常見問題（五） Q： Eudemon0324/0322版本 L2tp問題 Eudemon200作為 LNS服務(wù)器，在配置了多個 L2tp Group的情況下目前不支持精確匹配功能，即如果 l2tp Group 1沒有配置remote信息，則所有的登陸請求將都匹配 l2tp Group 1，而不是根據(jù) remote名和域名進(jìn)行精確匹配。正確的匹配算法是應(yīng)該先匹配 remote名和域名都相同的 l2tp Group組，如果不存在則匹配 remote名相同的 l2tp Group組，如果還不存在則看 l2tp Group 1是否配置了 remote名，如果沒有配置則匹配 l2tp Group 1如果配置了則返回匹配失敗，用戶將不能登錄。 內(nèi)部資料，注意保密 89 常見問題（六） Q：使用 console登錄 eudemon出現(xiàn)與遠(yuǎn)程連接斷開但是 console無法操作的情況，處理方法： 0313（包括）之前版本，使用 console登錄 eudemon后 telent遠(yuǎn)程主機(jī)。有可能出現(xiàn)與遠(yuǎn)程連接斷開但是console無法操作的情況，處理方法： 等待超時 ctrl+k 內(nèi)部資料，注意保密 90 常見問題（七） Q： NAT轉(zhuǎn)換常見問題 Eudmeon200做 NATserver時候是使用訪問列表方式運(yùn)行外網(wǎng)（ untrust區(qū)域）訪問內(nèi)網(wǎng)的 server（ trust區(qū)域），這個時候訪問列表使用的地址是NATSERVER公網(wǎng)地址還是私網(wǎng)地址呢？ 私網(wǎng)地址。 內(nèi)部資料，注意保密 91 常見問題（八） Q： E1000不支持 l2tp 計劃 4月支持 內(nèi)部資料，注意保密 92 常見問題（九） Q： Eudemon200FTP注意事項 使用工具 Filezille傳輸程序不成功，使用命令行可以成功。 FTP server enable localuser huawei password simple huawei localuser huawei servicetype ftp localuser huawei level 3－－－這點(diǎn)和路由器不同，如果不設(shè)置級別 3是無法正常上傳下載數(shù)據(jù) localuser huawei ftpdirectory flash: 例如在 trust ftp登錄到 Eudmeon，必須設(shè)置允許用戶訪問 local區(qū)域，方法： firewall interzone local trust――― 配置命令允許用戶雙向訪問 或者允許單向訪問 配置 detect ftp命令，允許反相數(shù)據(jù)通過 最簡單就是使用 fire packet default permit all，使用該命令后注意根據(jù)客戶需求進(jìn)行相應(yīng)的訪問控制 華為版權(quán)所有，未經(jīng)許可不得擴(kuò)散