【正文】 i {interfacetype interfacenumber } ] [ ip ] [ n ] [ p pattern ] [ q ] [ r ] [ s packetsize ] [ t timeout ] [ tos tos ] [ v ] [ vpninstance vpninstancename ] host各選項及參數(shù)意義詳見命令參考手冊ping命令章節(jié)。l 最后的統(tǒng)計信息，包括發(fā)送報文數(shù)、接收報文數(shù)、未響應(yīng)報文百分比和響應(yīng)時間的最小、最大和平均值。tracert的執(zhí)行過程是：首先發(fā)送一個TTL為1的數(shù)據(jù)包，因此第一跳發(fā)送回一個ICMP錯誤消息以指明此數(shù)據(jù)包不能被發(fā)送（因為TTL超時），之后此數(shù)據(jù)包被重新發(fā)送，TTL為2，同樣第二跳返回TTL超時，這個過程不斷進行，直到到達目的地。請在所有視圖下進行下列操作。下面是應(yīng)用tracert分析網(wǎng)絡(luò)情況的例子。Eudemon tracert traceroute to (), 30 hops max1 () 0 ms 0 ms 0 ms2 () 19 ms 19 ms 19 ms3 () 39 ms 19 ms 19 ms4 () 19 ms 39 ms 39 ms5 () 20 ms 39 ms 39 ms6 () 59 ms 119 ms 39 ms7 () 59 ms 59 ms 39 ms8 () 80 ms 79 ms 99 ms9 () 139 ms 139 ms 159 ms10 () 199 ms 180 ms 300 ms11 () 300 ms 239 ms 239 ms12 * * *13 () 259 ms 499 ms 279 ms14 * * *15 * * *16 * * *17 * * *18 () 339 ms 279 ms 279 ms從上述結(jié)果中可以看出從源主機到目的主機經(jīng)過了哪些網(wǎng)關(guān)，以及哪些網(wǎng)關(guān)出現(xiàn)了故障。調(diào)試信息的輸出可以由兩個開關(guān)控制：l 協(xié)議調(diào)試開關(guān)，控制是否輸出某協(xié)議的調(diào)試信息。二者關(guān)系如下圖所示。打開顯示終端的操作請參見“ 顯示終端的配置”。amp。 補丁軟件升級 補丁軟件升級1. 補丁軟件升級的配置當用戶下載到新的補丁后，可以通過patch load命令將補丁加載到防火墻；可以通過patch active和patch deactive命令使補丁處于活動、非活動狀態(tài)；可以通過patch delete命令刪除一些不需要的補丁；可以通過patch run命令使防火墻運行該補丁。表114 補丁軟件升級操作命令使補丁處于活動狀態(tài)patch active使補丁處于非活動狀態(tài)patch deactive刪除指定補丁patch delete加載補丁patch load使補丁處于運行狀態(tài)patch run2. 補丁軟件升級的顯示防火墻的flash中可能有多個補丁。請在系統(tǒng)視圖下進行下列配置。信息中心接管大多數(shù)的信息輸出，并且能夠進行細致的分類，從而能夠有效地進行信息篩選。系統(tǒng)的信息中心具有以下一些特性：l 信息中心共有三類信息：log類（日志類信息）、trap類（告警類信息）、debug類（調(diào)試類信息）。l 系統(tǒng)支持十個通道，其中前六個通道（通道0～通道5）有缺省通道名，并且這六個通道缺省的與六個輸出方向相關(guān)聯(lián)，可以通過命令改變通道名，也可以改變通道與輸出方向之間的關(guān)聯(lián)。l 系統(tǒng)由眾多的協(xié)議模塊、單板驅(qū)動程序、配置模塊構(gòu)成，信息可按來源模塊進行劃分，可按模塊進行信息過濾。l 每個信息的頭部由固定的部分組成，包括時間戳、信息來源的模塊、信息級別、信息來源的槽號、信息摘要等。 信息中心配置1. 開啟/關(guān)閉信息中心的功能請在系統(tǒng)視圖下進行下列配置。 說明：信息中心缺省情況下處于開啟狀態(tài)。2. 信息通道的命名請在系統(tǒng)視圖下進行下列配置。channelname是通道名，最長為30個字符，首字符不能為數(shù)字，不支持“”、“/”和“\”等字符。越緊急的信息報文，其嚴重等級閾值越小，emergencies表示的等級為1，debugging為8。表119 syslog定義的嚴重等級（severity）嚴重等級嚴重等級閾值描述emergencies1極其緊急的錯誤alerts2需立即糾正的錯誤critical3關(guān)鍵錯誤errors4需關(guān)注但不關(guān)鍵的錯誤warnings5警告，可能存在某種差錯notifications6需注意的信息informational7一般提示信息debugging8調(diào)試信息 配置將snmp通道中的IP協(xié)議模塊的日志類信息打開，且允許嚴重等級閾值小于等于warning級別的信息輸出。表120 定義信息通道的內(nèi)容操作命令向信息通道中添加記錄infocenter source { modulename | default } { channel { channelnumber | channelname} } [ log { state { on | off } | level severity }* | trap { state { on | off } | level severity } * | debug { state { on | off } | level severity }* ]*刪除信息通道中的記錄undo infocenter source { modulename | default } { channel { channelnumber | channelname }modulename是模塊名。level配置信息級別，禁止信息級別大于所配置的severity的信息輸出。channelnumber是要配置的信息通道號。對每個信息通道設(shè)有一條缺省記錄，它的模塊名為default，但對于不同信息通道，此記錄對日志、告警、調(diào)試類信息的缺省配置值可能不同。 注意：同時有多個Telnet用戶或啞終端用戶時，各個用戶之間共享一些配置參數(shù)，其中包括按模塊過濾配置，中英文選擇，嚴重等級閾值，某一個用戶改變這些配置時，在別的用戶端也有所反映。l 向遠程Telnet終端輸出信息，此功能有助于遠程維護。l 配置日志主機，信息中心直接將信息發(fā)往日志主機，并在其上以文件的形式保存起來，供隨時查看。l 向SNMP Agent輸出信息。請在系統(tǒng)視圖下進行下列配置。 說明：六個輸出方向的配置相互獨立，但首先需要開啟信息中心，配置才會生效。表122 配置發(fā)送信息的源地址操作命令配置發(fā)送信息的源地址infocenter loghost source { interfacetype interfacenumber } [ subinterfacetype ]取消當前配置undo infocenter loghost source 顯示終端的配置顯示終端的配置就是控制是否在某個用戶屏幕上輸出信息中心發(fā)送的debug/log/trap信息。表123 顯示終端的配置操作命令打開終端顯示日志、告警、調(diào)試等信息功能terminal { monitor | logging | trapping | debugging }關(guān)閉終端顯示日志、告警、調(diào)試等信息功能undo terminal { monitor | logging | trapping | debugging }此命令只影響輸入命令的當前終端的顯示。 信息中心配置舉例1. 控制臺信息輸出配置舉例 開啟信息系統(tǒng)。[Eudemon] infocenter console channel console[Eudemon] infocenter source ppp channel console log level debugging 打開PPP模塊的調(diào)試開關(guān)Eudemon debugging ppp all2. 向日志主機（UNIX工作站）輸出日志信息配置舉例(1) 防火墻(2) 側(cè)配置如下 開啟信息中心。[Eudemon] infocenter loghost language english[Eudemon] infocenter loghost facility local4[Eudemon] infocenter source ppp channel loghost log level informational[Eudemon] infocenter source ip channel loghost log level informational(3) 日志主機側(cè)配置如下UNIX主機上也要進行相應(yīng)配置以完成上述功能。 以超級用戶（root）的身份執(zhí)行以下命令 mkdir /var/log/Quidway touch /var/log/Quidway/information 以超級用戶（root）的身份編輯文件/etc/，加入以下選擇/動作組合（selector/action pairs）。 說明：在編輯/etc/：l 注釋只允許獨立成行，并以字符開頭。l 在文件名之后不得有多余的空格。當日志文件config建立且/etc/，應(yīng)執(zhí)行以下命令給系統(tǒng)守護進程syslogd一個HUP信號，使syslogd重新讀取它的配置文件/etc/。上面的配置只向日志主機輸出嚴重程度為informatinal及以上的日志信息，即級別為1～7的日志信息。amp。 日志維護 日志簡介1. 日志種類劃分日志特性能夠?qū)⑾到y(tǒng)消息或包過濾的動作等存入緩沖區(qū)或定向發(fā)送到日志主機上。Eudemon防火墻統(tǒng)一考慮各種攻擊、事件，將它們的各種日志輸出格式、統(tǒng)計信息等內(nèi)容進行規(guī)范，從而保證了日志風(fēng)格的統(tǒng)一和日志功能的嚴肅性。日志種類和日志輸出方式之間的對應(yīng)關(guān)系如下圖所示：圖123 Eudemon上的日志輸出原理在Eudemon防火墻中，攻擊防范、流量監(jiān)控、黑名單和地址綁定產(chǎn)生的日志信息量小，因此采用SysLog方式以文本格式進行輸出。相反，NAT/ASPF產(chǎn)生的日志信息量很大，因此對于這種類型的流提供了一種“二進制”輸出方式，直接輸出到日志服務(wù)器上以便對日志進行存儲和分析，無需Eudemon上的信息中心模塊的參與。Eudemon500/1000只支持二進制流日志。 說明：NAT/ASPF、攻擊防范、黑名單、地址綁定等內(nèi)容請參見“安全防范”部分。請在域間視圖下進行下列配置。2. 配置二進制流日志主機地址和接收端口該命令用來配置接收二進制流日志的日志主機地址和接收端口。表125 配置二進制流日志主機地址和接收端口操作命令配置二進制流日志主機地址和接收端口firewall session logtype binary host ipaddress portnumber刪除二進制流日志主機地址和接收端口，恢復(fù)日志輸出格式為缺省值undo firewall session logtype3. 配置日志緩存的定期掃描時間間隔請在系統(tǒng)視圖下進行下列配置。用戶可以在所有視圖下執(zhí)行display命令，查看防火墻日志緩存的定期掃描時間。(2) 組網(wǎng)圖圖128 防火墻日志功能配置組網(wǎng)圖(3) 配置步驟 配置防火墻接口Ethernet 0/0/0。[Eudemon] interface Ethernet 1/0/0[EudemonEthernet1/0/0] ip address 配置防火墻接口Etherent 2/0/0。[Eudemon] firewall zone trust[Eudemonzonetrust] add interface Ethernet 0/0/0 配置接口Ethernet 1/0/0加入防火墻Untrust域。[Eudemon] firewall zone dmz[Eudemonzonedmz] add interface Ethernet 2/0/0 開啟信息中心。[Eudemon] firewall defend portscan maxrate 100 [Eudemon] firewall defend portscan blacklisttimeout 10 使能Trust域的IP出方向報文統(tǒng)計。2. 輸出二進制流日志到日志主機(1) 組網(wǎng)需求防火墻Eudemon以太網(wǎng)口Ethernet0/0/0配置為Trust域，以太網(wǎng)口Ethernet1/0/0配置為Untrust域，以太網(wǎng)口Ethernet1/1/0配置為DMZ區(qū)。(3) 配置步驟 配置防火墻接口Ethernet 0/0/0。[Eudemon] interface Ethernet 1/0/0[EudemonEthernet1/0/0] ip address 配置防火墻接口Etherent 2/0/0。[Eudemon] firewall zone trust[Eudemonzonetrust] add interface Ethernet 0/0/0 配置接口Ethernet 1/0/0加入防火墻Untrust域。[Eudemon] firewall zone dmz