选择区域语言: EN CN HK

00-特性功能索引

手册下载


1 简介

1.1  本书简介

您可以通过以下条目了解到本书所涉及的主要内容。

业务特性明细:通过对本书所涉及的各个模块的主要业务特性进行简要介绍,帮助用户了解各模块的主要特性功能。

1.2  相关手册

如果需要了解U200系列产品的安装、启动与配置、软件维护、硬件维护、接口卡及接口模块的功能、电缆连接、安装故障处理等请参考《H3C SecPath U200系列统一威胁管理产品 安装手册》、《H3C SecPath U200-CS_U200-CM_U200-CA统一威胁管理产品 安装手册》。

可以通过www.h3c.com.cn获取最新版本配套的产品资料,方法如下:

l   单击主页的[服务支持/文档中心],然后即可按产品类别来查询资料;

l   选择产品后即可弹出相应的产品明细列表;

l   指定了设备类型后,即可选择与该产品相关的手册。

1.3  分册简介

SecPath U系列统一威胁管理产品支持的安全产品的软件特性可以划分为9个分册,各分册的主要内容介绍如下。

l   UTM防火墙功能Web配置UTM设备支持的通过Web界面来配置的防火墙安全特性如虚拟设备管理、安全域、RADIUSHWTACACS、入侵检测、会话管理、流量管理、NAT、地址资源、服务资源、ACLTCP ProxyIPSecIKEPKI、日志管理等。

l   UTM深度检测功能Web配置UTM设备支持的通过Web界面来配置的深度检测安全特性如IPS、防病毒、URL过滤等。

l   安全分册UTM设备支持的通过命令行来进行配置的部分安全协议如SSH2.0SSLALG等。

l   接入分册UTM设备支持的不同接口的配置及链路层协议的配置,通过命令行来进行配置。

l   IP业务分册UTM设备支持的如ARPIP性能等IP相关特性的配置,通过命令行来进行配置。

l   IP路由分册UTM设备支持的如静态路由、RIPOSPFBGP等路由协议的配置,通过命令行来进行配置。

l   系统分册UTM设备支持的如搭建配置环境、基本配置、用户登录、文件管理、系统维护、NTPSNMPRMONVRRP等系统相关的协议和特性的配置,通过命令行来进行配置。

l   VPN分册UTM设备支持的如GREL2TPVPN相关协议的配置。

l   IP组播分册UTM设备支持的如组播路由与转发、IGMPMSDPPIM等组播协议的配置。

 


2 业务特性明细

2.1  概述

SecPath U系列统一威胁管理产品是H3C公司自主研发的、面向企业级用户开发的新一代专业UTMUnified Threat Management,统一威胁管理)设备(以下简称“UTM设备”)。

SecPath U系列统一威胁管理产品除了具有传统的防火墙功能外,还支持虚拟设备、安全区域、入侵检测和防御、网关防病毒、防垃圾邮件、P2P流量控制、URL过滤等功能,且支持特征库动态更新,能够有效地保证网络安全;采用ASPF技术,可以对连接过程和非法操作进行监测,并协同ACL完成动态包过滤;支持多种VPN业务,如IPSec VPNL2TP VPNGRE VPN等,可以构建多种形式的VPN;提供丰富的路由能力,支持RIP/OSPF/BGP等路由协议。

2.2  特性功能索引

表2-1 SecPath U系列统一威胁管理产品特性功能索引

功能模块

业务特性

UTM防火墙功能Web配置

Web概述

设备概览

防火墙策略配置向导

IPSec VPN配置向导

设备基本配置向导

日期和时间

接口管理

安全域

虚拟设备管理

TR-069

配置管理

服务管理

软件升级

设备重启

地址资源

服务资源

时间段资源

VLAN

MAC地址表

MSTP

INLINE转发

PPPoE

DHCP

DNS

路由信息

静态路由

RIP

OSPF

BGP

组播路由

策略路由

IGMP

PIM

主机业务流量统计

二层转发报文统计

本地用户

在线用户

RADIUS

HWTACACS

域间策略

NAT

应用层协议检测

ACL

ARP

QoS

流量监管

会话管理

黑名单

报文异常检测

流量异常检测

URPF检查

TCP Proxy

入侵检测统计

IPS AV 应用控制

内容过滤

IKE

IPSec

PKI

L2TP

GRE

VRRP

日志管理

基本配置

双机热备

接口组联动

负载均衡

IDS联动

 

UTM深度检测功能Web配置

Web概述

设备管理

内容监控

高可靠性

时间表管理

动作管理

日志管理

IPS

防病毒

URL过滤

带宽管理

协议审计

黑名单

报表

反垃圾邮件

分层QoS

安全分册

ALG

Rsh

SSH2.0

SSL

WEB过滤

公钥管理

Portal

连接限制

接入分册

以太网接口

Loopback接口和NULL接口

以太网链路聚合

 

IP业务分册

ARP

IP性能优化

邻接表

DHCPv6

IPv6基础

FTPTFTP

隧道

NAT-PT

IP路由分册

IP路由基础

BGP

OSPF

RIP

静态路由

IPv6 静态路由

RIPng

OSPFv3

IPv6 BGP

IP单播策略路由

 

 

系统分册

VRRP

设备管理

NQA

NTP

RMON

SNMP

文件系统管理

系统维护与调试

系统基本配置

信息中心

用户界面

HTTP

Track

热补丁

 

 

VPN分册

GRE

L2TP

L3VPN配置

 

IP组播分册

组播概述

组播路由与转发配置

IGMP配置

MSDP配置

PIM配置

IPv6组播路由与转发

IPv6 PIM

 

 

U200-SU200-CSU200-CM)不支持2-1BGPU200-M/-AU200-CA支持;U200-SU200-CSU200-CM)不支持2-1中流日志,U200-M/-AU200-CA支持;U200-SU200-CSU200-CM)不支持2-1中双机热备、接口组联动,U200-M/-AU200-CA支持。U200-SU200-CS支持2-1中无线设置,其它款型不支持。

 

2.3  特性功能明细

在本手册的PDF版本中,通过点击“操作、命令、Web手册”栏目中的链接访问各特性功能的操作、命令、Web手册,如果想返回特性功能明细页面,可以使用快捷键“Alt + ←”。

 

2.3.1  UTM防火墙功能Web配置

表2-2 Web配置业务特性

业务特性

手册

特性说明

Web概述

Web概述

对防火墙功能的Web网管进行了整体的介绍,包括:

l  登录Web网管

l  保存设备当前配置

l  退出Web网管

l  Web网管页面布局介绍

l  Web网管用户级别

l  Web网管功能介绍

l  Web页面常用控件介绍

l  通过命令行管理Web网管

设备概览

设备概览

设备概览模块可以帮助用户了解设备的状态和概要信息,如系统资源状态、设备接口信息等。

防火墙策略配置向导

防火墙策略配置向导

提供了对虚拟设备的防火墙策略的快速配置功能,可以帮助用户完成域间策略相关参数的配置。

IPSec VPN配置向导

IPSec VPN配置向导

IPSec VPN策略配置向导提供了对IPSec VPN的快速配置功能,可以帮助用户完成IPSec VPN相关参数的配置。

l  配置中心节点

l  配置分支节点

l  配置对等节点

设备基本配置向导

设备基本配置向导

设备基本配置向导可以帮助用户快速完成如下信息的配置:

l  基本信息

l  服务管理

l  接口IP地址

l  NAT

基本配置

基本配置

基本配置模块包括如下两个功能:

l  设备基本信息

l  Web管理

日期和时间

日期和时间

时间设置特性用于在Web网管上显示和设置系统时间。

l  配置日期和时间

接口管理

接口管理

接口管理特性用于在Web网管上管理设备所有的物理接口和几种逻辑接口。

l  查看接口信息和接口统计信息

l  新建接口

l  修改接口信息

l  关闭和开启接口

安全域

安全域

安全域是一个抽象的概念,它有两种划分方式:1.按照接口划分。它可以包含三层普通物理接口和逻辑接口,也可以包括二层物理Trunk接口+VLAN,划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。2.按照IP地址划分。根据IP地址划分不同的安全域,以实现按业务报文的源IP地址或目的IP地址进行安全策略控制。引入安全区域的概念之后,安全管理员将安全需求相同的接口或IP地址进行分类(划分到不同的区域),能够实现策略的分层管理。

l  创建安全域

l  配置安全域的成员

虚拟设备管理

虚拟设备管理

虚拟设备的引入主要是为了将一个物理设备划分为多个逻辑设备来使用。创建逻辑上的虚拟设备,能够提供设备的出租业务。

l  创建虚拟设备

l  转移接口成员到虚拟设备

l  转移VLAN成员到虚拟设备

l  选择虚拟设备

TR-069

TR-069

TR-069主要应用于DSL接入网络环境。在DSL接入网络中,由于用户设备数量繁多、部署分散,并通常存在于用户侧,不易进行设备的管理和维护。TR-069提出通过ACSAuto-Configuration Server,自动配置服务器)对CPECustomer Premise Equipment,用户设备)进行远程集中管理,解决CPE设备的管理困难,节约维护成本,提高问题解决效率。

配置管理

配置管理

配置维护功能是指用户管理设备配置,包括保存当前配置到设备上的配置文件,备份配置文件到TFTP服务器、从TFTP服务器下载配置文件到设备进行配置恢复。

l  配置保存

l  配置备份

l  配置恢复

服务管理

服务管理

服务管理模块提供了FTPTelnetSSHSFTPHTTPHTTPS服务的使能管理功能,可以使用户只在需要使用相应的服务时使能服务,否则关闭服务。这样,可以提高系统的性能和设备的安全性,实现对设备的安全管理。

软件升级

软件升级

软件升级功能是指用户从TFTP服务器下载软件到设备,进行设备的软件升级。

l  配置软件升级

设备重启

设备重启

设备重启功能是指用户通过Web网管重新启动设备。

l  配置设备重启

地址资源

地址资源

地址资源分为IP地址资源、IP地址组资源、MAC地址资源和MAC地址组资源四种,可以被域间策略等模块所引用,作为报文匹配的条件。

l  配置主机地址资源

l  配置范围地址资源

l  配置子网地址资源

l   配置IP地址组资源

l  配置MAC地址资源

l  配置MAC地址组资源

l  导出和导入配置

服务资源

服务资源

服务资源定义了IP承载的协议类型和协议的特性(如TCPUDP的源端口/目的端口、ICMP协议的消息类型/消息码等),可以被域间策略等模块所引用,作为报文匹配的条件。

l  查看预定义服务资源

l  配置自定义服务资源

l  配置服务组资源

l  导出和导入配置

时间段资源

时间段资源

时间段资源用来定义时间段信息,并可以被ACLAccess Control List,访问控制列表)、域间策略等模块所引用,来设置该访问控制列表中的某条规则在指定时间段定义的范围内有效。

l  配置时间段资源

VLAN

VLAN

VLAN技术可以把一个LAN划分成多个逻辑的LAN(即VLAN),每个VLAN是一个广播域,VLAN间不能直接互通,广播报文被限制在一个VLAN内。

l  新建VLAN

l  修改VLAN中的端口

l  修改端口所属的VLAN

MAC地址表

MAC地址表

为了转发报文,设备需要维护MAC地址表。MAC地址表的表项包含了与该设备相连的设备的MAC地址、与此设备相连的设备的接口号以及所属的VLAN ID

l  增加MAC地址表项

l  设置MAC地址表项的老化时间

MSTP

MSTP

MSTP可以弥补STPRSTP的缺陷,它既可以快速收敛,也能使不同VLAN的流量沿各自的路径转发,从而为冗余链路提供了更好的负载分担机制。

l  配置MSTP

l  配置MSTP全局

l  配置MSTP端口

INLINE转发

INLINE转发

高端设备支持二层INLINE转发,二层INLINE转发分为转发类型(Forward)、反射类型(Reflect)、黑洞类型(Blackhole)三种。

l  配置INLINE转发

PPPoE

PPPoE

PPPoE利用以太网将大量主机组成网络通过一个远端接入设备连入因特网并对接入的每个主机实现控制、计费功能

l  配置PPPoE Client

DHCP

DHCP

DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回IP地址等相应的配置信息,以实现IP地址等信息的动态配置。

l  配置DHCP服务器

l  配置DHCP中继

DNS

DNS

域名系统(DNSDomain Name System)是一种用于TCP/IP应用程序的分布式数据库,提供域名与IP地址之间的转换。

l  静态域名解析配置

l  动态域名解析配置

路由信息

路由信息

l  路由信息

静态路由

静态路由

静态路由是一种特殊的路由,它由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。恰当地设置和使用静态路由可以改进网络的性能,并可为重要的网络应用保证带宽。

l  静态路由配置

RIP

RIP

RIPRouting Information Protocol,路由信息协议)是一种较为简单的内部网关协议(Interior Gateway ProtocolIGP),主要用于规模较小的网络中。

l  配置RIP

OSPF

OSPF

OSPFOpen Shortest Path First,开放最短路径优先)是IETF组织开发的一个基于链路状态的内部网关协议。

l  OSPF配置

BGP

BGP

BGPBorder Gateway Protocol,边界网关协议)是一种用于ASAutonomous System,自治系统)之间的动态路由协议。AS是拥有同一选路策略,在同一技术管理部门下运行的一组路由器。

l  BGP配置

组播路由

组播路由

组播路由表由一组(SG)表项组成,其中(SG)表示由源S向组播组G发送组播数据的路由信息。如果路由器支持多种组播路由协议,则其组播路由表中将包括由多种协议生成的组播路由。路由器根据组播路由策略,从组播路由表中选出最优的组播路由。

l  配置组播路由

策略路由

策略路由

策略路由是一种依据用户制定的策略进行路由选择的机制。

l  创建策略路由

l  应用策略路由

IGMP

IGMP

IGMPInternet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP协议族中负责IP组播成员管理的协议,用来在IP主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。

l  配置IGMP

PIM

PIM

PIMProtocol Independent Multicast(协议无关组播)的简称,表示可以利用静态路由或者任意单播路由协议(包括RIPOSPFIS-ISBGP等)所生成的单播路由表为IP组播提供路由。组播路由与所采用的单播路由协议无关,只要能够通过单播路由协议产生相应的组播路由表项即可。

l  配置PIM

主机业务流量统计

主机业务流量统计

主机业务流量统计模块提供了在局域网中,监控主机使用各种网络服务的流量,并将流量统计结果以Syslog的格式上报给指定的日志主机的功能。管理员通过查看这些日志信息就可以清楚地了解局域网中每台主机使用指定网络服务的收发报文数和报文字节数。

l  配置主机业务流量统计

二层转发报文统计

二层转发报文统计

二层转发报文统计模块提供了显示设备上所有二层接口的转发统计信息的功能。

本地用户

本地用户

所谓本地用户,是指在NAS(即UTM设备)上设置的一组用户的集合。该集合以用户名为用户的唯一标识。

l  配置本地用户

在线用户

在线用户

在线用户是指通过AAA认证后连接上线的用户。

l  查看在线用户

RADIUS

RADIUS

RADIUS是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰。

l  配置RADIUS服务器信息

l  配置RADIUS参数

HWTACACS

HWTACACS

HWTACACS安全协议是在TACACS基础上进行了功能增强的一种安全协议。该协议是一种用于实现AAA的协议。

l  创建HWTACACS系统方案

l  配置HWTACACS服务器信息

l  配置HWTACACS参数

域间策略

域间策略

域间策略是基于ACLAccess Control List,访问控制列表),在安全域之间实现流识别功能的。

l  新建域间策略规则

l  导出和导入配置

l  调整规则的匹配顺序

l  查看策略匹配统计信息

NAT

NAT

NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

l  配置地址池

l  配置动态地址转换

l  配置静态地址映射

l  配置接口静态地址转换

l  配置内部服务器

l  配置DNS mapping

应用层协议检测

应用层协议检测

应用层协议检测,即ALGApplication Level Gateway,应用层网关),主要完成对应用层报文的处理。

l  配置应用层协议检测

ACL

ACL

ACL即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。

l  新建ACL

l  配置基本ACL规则

l  配置高级ACL规则

l  配置二层ACL规则

ARP

ARP

ARP协议有简单、易用的优点,但是也因为其没有任何安全机制而容易被攻击发起者利用。目前ARP攻击和ARP病毒已经成为局域网安全的一大威胁,为了避免各种攻击带来的危害,设备提供了多种技术对攻击进行检测和解决。

l  免费ARP定时发送功能

l  ARP自动扫描功能

l  ARP固化功能

QoS

QoS

QoSQuality of Service,服务质量)是各种存在服务供需关系的场合中普遍存在的概念,它评估服务方满足客户服务需求的能力。

l  新建类

l  配置分类规则

l  新建流行为

l  配置流行为中的动作

l  新建策略

l  配置策略中类和流行为的对应关系

l  应用策略到接口

l  在端口上配置端口限速

l  配置端口带宽限制

流量监管

流量监管

流量监管是指对进入设备的特定流量的规格进行监管,通常作用在接口入方向。当流量超出规格时,可以采取限制或惩罚措施,以保护运营商的商业利益和网络资源不受损害。

l  新建CAR列表

l  应用CAR列表到接口

会话管理

会话管理

会话管理是为了实现NATASPF、攻击防范等基于会话进行处理的业务而抽象出来的公共功能。

l  配置会话基本设置

l  查看会话列表

l  查看会话全局统计信息

l  配置会话统计使能状态

l  查看IP统计信息

l  查看安全区域统计信息

黑名单

黑名单

黑名单是根据报文的源IP地址进行过滤的一种攻击防范方式。

l  启用黑名单过滤功能

l  手动新建黑名单表项

l  查看黑名单

报文异常检测

报文异常检测

报文异常检测是指设备分析通过的网络报文的特征(即报文特有的标识,如端口号、报文内容中包含的特殊字段等),若报文具有攻击性,则输出告警日志并且阻断报文通过。

l  配置报文异常检测

流量异常检测

流量异常检测

设备通过检测网络流量,分析异常流量的特征,能成功检测出各种泛洪攻击和网络扫描攻击,具体功能包括:ICMP Flood攻击检测、UDP Flood攻击检测、SYN Flood攻击检测、连接数限制和扫描攻击检测。

l  配置ICMP Flood攻击检测

l  配置UDP Flood攻击检测

l  配置SYN Flood攻击检测

l  配置连接数限制

l  配置扫描攻击检测

URPF检查

URPF检查

URPF检查是用于防止基于源地址欺骗的网络攻击行为

l  配置URPF检查

TCP Proxy

TCP Proxy

TCP Proxy功能用来防止服务器受到SYN Flood攻击。

l  配置TCP Proxy全局参数

l  使能TCP Proxy功能

l  新建静态受保护IP表项

l  查看受保护IP表项及统计信息

IDS联动

IDS联动

IDS联动功能用来实现设备与IDS设备的联动

l  启用IDS联动

入侵检测统计

入侵检测统计

入侵检测统计是指对报文异常检测和流量异常检测功能所检测到的攻击次数和丢包个数进行统计,以帮助用户对入侵的类型和数量进行详细的分析,制定更好的防火墙策略。

l  查看入侵检测统计

IPS AV 应用控制

IPS AV 应用控制

设备除了能提供VPN、防火墙等基本的安全功能,还实现了防火墙与IPSIntrusion Prevention System,入侵防御系统)、AVAnti-Virus,防病毒)等应用的融合及协调工作的功能。

l  快速配置IPS策略

l  快速配置AV策略

l  新建深度安全策略

l  配置应用安全策略

内容过滤

内容过滤

目前设备所支持的内容过滤功能,可以阻止内部用户访问非法的网址,以及对网页内的JavaActiveX程序进行阻断。

l  配置内容过滤

IKE

IKE

IKEIPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。

l  配置IKE全局参数

l  配置IKE安全提议

l  配置IKE DPD

l  配置IKE对等体

l  查看IKE安全联盟

IPSec

IPSec

IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

l  配置IPSec安全提议

l  配置安全策略模板

l  配置安全策略

l  应用安全策略组

PKI

PKI

公钥基础设施,通过使用公开密钥技术和数字证书来确保系统信息安全,并负责验证数字证书持有者身份的一种体系。

l  新建PKI实体

l  新建PKI

l  生成RSA密钥对

l  销毁RSA密钥对

l  获取证书

l  申请本地证书

l  获取和查看CRL

L2TP

L2TP

L2TPLayer 2 Tunneling Protocol,二层隧道协议)是VPDNVirtual Private Dial-up Network,虚拟私有拨号网)隧道协议中使用最广泛的一种协议。

l  启用L2TP功能

l  新建L2TP用户组

GRE

GRE

GREGeneric Routing Encapsulation,通用路由封装)协议是对某些网络层协议(如IPIPX)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IP)中传输。GRE采用了Tunnel(隧道)技术,是VPNVirtual Private Network)的第三层隧道协议。

l  配置概述

l  新建GRE隧道

VRRP

VRRP

VRRP是一种容错协议,在提高可靠性的同时,简化了主机的配置。

l  新建VRRP备份组

l  配置VRRP备份组的具体属性

双机热备

双机热备

l  双机热备概述

l  配置双机热备

接口组联动

接口组联动

l  接口组联动概述

l  配置接口组联动

日志管理

日志管理

日志管理模块能够将系统消息或包过滤的动作产生的日志等存入缓冲区或定向发送到日志主机上。

l  会话日志

l  日志报表

负载均衡

负载均衡

负载均衡将特定的业务(网络服务、网络流量等)分担给多台网络设备(包括服务器、防火墙等)或多条链路,从而提高了业务处理能力,保证了业务的高可靠性。

l  配置链路负载均衡

返回特性功能索引

 

2.3.2  UTM深度检测功能Web配置

表2-3 Web配置业务特性

业务特性

手册

特性说明

Web概述

Web概述

对深度检测功能的Web网管进行了整体的介绍,包括:

l  登录Web网管

l  退出Web网管

l  Web网管用户类型及其权限

l  Web网管页面布局

l  Web网管功能

l  常用Web界面元素

l  Web网管使用限制

设备管理

设备管理

设备管理模块提供了如下功能:

l  系统状态

l  系统信息

l  系统监控

l  配置维护

l  特征库升级

l  License

高可靠性

高可靠性

l  二层回退配置

时间表管理

时间表管理

时间表用来定义时间信息,可以被带宽管理、URL过滤和共享接入等策略的规则引用,以对匹配的报文在不同的时间段实施不同的动作。

l  创建时间表

动作管理

动作管理

动作管理模块用于对动作和动作集的管理。动作集是一组动作的集合,可以被IPS、带宽和URL等策略引用,用于设置对匹配报文所采取的动作。

l  创建阻断动作

l  创建限速动作

l  创建通知动作

l  创建动作集

l  配置报文跟踪上传

日志管理

日志管理

包括如下几种日志类型的管理:

l  系统日志

l  操作日志

l  攻击日志

l  服务日志

l  病毒日志

l  流日志

IPS

IPS

IPSIntrusion Prevention System,入侵防御系统)以在线方式运行于网络主干上。通过采用实时分析,自动阻截异常报文与异常流量。通常针对这些异常流量,施以阻截、隔离或干扰的处置,以预防可疑程序代码进入目标主机中执行。用户可以通过配置策略实现实时分析、检测网络流量,并执行定义的动作。

l  创建IPS策略

l  配置策略中的规则

l  在段上应用IPS策略

l  配置IPS策略快捷应用

防病毒

防病毒

用户可以通过配置策略实现实时分析、检测网络流量,针对携带病毒的报文与异常流量,施以阻截、隔离或干扰的处置,以预防病毒在网络中传播。

l  创建防病毒策略

l  配置策略中的规则

l  在段上应用防病毒策略

URL过滤

URL过滤

URLUniform Resource Locator,统一资源定位符)过滤是一种网页过滤功能,支持根据域名和URIUniform Resource Identifier,统一资源标识符)路径对HTTP的请求报文进行过滤。

l  创建URL过滤策略

l  配置策略中的规则

l  在段上应用URL过滤策略

内容监控

内容监控

内容监控特性能够对用户的上网行为,如Web网页访问、IMInstant Messaging,即时消息服务)应用、远程交互应用和数据库应用进行过滤或监控,并产生相应的监控日志。

带宽管理

带宽管理

网络流量按照其用途的不同划分成不同的服务类型,例如E-Mail服务、VoIP服务等,对不同的服务类型实施不同的管理控制行为,称为带宽管理。

l  配置带宽管理

l  配置BWC

协议审计

协议审计

协议内容审计主要包括如下几个协议的审计:

l  HTTP协议的审计

l  SMTP/POP3协议审计

l  FTP协议审计

黑名单

黑名单

黑名单是指根据报文的段、方向和源IP地址进行过滤的一种方式。由于黑名单进行匹配的域非常简单,可以实现对报文的高速过滤,从而有效地将特定IP地址发送来的报文过滤掉。

报表

报表

包括以下几种报表:

l  报文统计

l  流量统计报表

l  攻击报表

l  病毒报表

反垃圾邮件

反垃圾邮件

反垃圾邮件检测实现对去往内网的电子邮件进行检测,并根据需要对检测到的垃圾邮件进行修改标题、丢弃、记录日志等处理,以防止垃圾邮件占用内网资源。

l  配置反垃圾邮件检测基本功能

l  配置日志输出参数

l  创建并应用反垃圾邮件策略

分层QoS

分层QoS

分层QoS技术根据不同的段、用户、应用或业务分层次的划分出多条不同的通道,对这些通道分别进行带宽控制。每条通道上需要配置分类规则和控制策略。

l  新建通道

l  新建子通道

返回特性功能索引

 

2.3.3  安全分册

表2-4 安全分册业务特性

业务特性

操作、命令手册

特性说明

Portal

Portal配置

Portal命令

Portal业务可以为运营商提供方便的管理功能,门户网站可以开展广告、社区服务、个性化的业务等。

l  Portal的基本配置

l  Portal显示和维护

ALG

ALG配置

ALG命令

ALG主要完成对应用层报文的处理,与NATASPF配合使用的情况下,可以实现地址转换、数据通道检测和应用层状态检查的功能。

l  ALG配置

Rsh

Rsh配置

Rsh命令

用户可以在客户端使用Rsh命令远程执行服务器端主机上的命令。

l  Rsh配置

SSH2.0

SSH2.0配置

SSH2.0命令

安全外壳,用户通过一个不能保证安全的网络环境远程登录到设备时,SSH特性可以提供安全保障和强大的认证功能。

l  SSH服务器配置

l  SSH客户端配置

l  配置SFTP客户端

SSL

SSL配置

SSL命令

SSL是一个安全协议,为基于TCP的应用层协议提供安全连接。

l  配置SSL服务器端策略

l  配置SSL客户端策略

WEB过滤

WEB过滤配置

WEB过滤命令

通过WEB过滤功能,可以阻止内部用户访问非法的网址,以及对网页内的JavaActiveX程序进行阻断。

l  配置URL参数过滤

l  配置Java阻断

l  配置ActiveX阻断

公钥管理

公钥管理配置

公钥管理命令

非对称密钥算法包括RSARivest Shamir and Adleman)和DSADigital Signature Algorithm,数字签名算法)。RSA既可以用于加密,又可以用于签名,而DSA只用于签名。

l  配置本地的非对称密钥对

l  配置远端主机的公钥

连接限制

连接限制配置

连接限制命令

为了保护内部网络资源(主机或服务器)以及合理分配设备系统资源,需要制定相应的连接限制策略来对设备上建立的连接进行统计和限制。

l  连接限制简介

l  创建连接限制策略

返回特性功能索引

 

2.3.4  接入分册

表2-5 接入分册业务特性

业务特性

操作、命令手册

特性说明

以太网接口

以太网接口配置

以太网接口命令

l  以太网接口通用配置

l  二层以太网接口/子接口的配置

l  三层以太网接口/子接口的配置

Loopback接口和NULL接口

Loopback接口和NULL接口配置

Loopback接口和NULL接口命令

l  LoopBack接口配置

l  NULL接口配置

以太网链路聚合

以太网链路聚合配置

以太网链路聚合命令

l  配置聚合组

l  聚合接口相关配置

l  配置聚合负载分担

返回特性功能索引

 

2.3.5  IP业务分册

表2-6 IP业务分册业务特性

业务特性

操作、命令手册

特性说明

ARP

ARP配置

ARP命令

ARP是将IP地址解析为MAC地址的协议。

l  ARP配置

l  免费ARP配置

l  代理ARP的配置

l  ARP攻击防御配置

IP性能优化

IP性能优化配置

IP性能优化命令

在一些特定的网络环境里,需要调整IP的参数,以便网络性能达到最佳。

l  配置接口的TCP最大报文段长度

l  配置SYN Cookie功能

l  配置防止Naptha攻击功能

l  配置TCP的可选参数

l  配置ICMP差错报文发送功能

邻接表

邻接表配置

邻接表命令

邻接表用于管理相连且处于激活态的邻居的信息如网络层地址(下一跳)、路由出接口、链路层业务类型、链路层地址等。

DHCPv6

DHCPv6配置

DHCPv6命令

DHCPv6是针对IPv6编址方案设计的,为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议。

l  配置DHCPv6服务器

l  配置DHCPv6中继

l  配置DHCPv6客户端

IPv6基础

IPv6基础配置

IPv6基础命令

IPv6是网络层协议的第二代标准协议,是IPv4的升级版本。、

l  配置IPv6基本功能

l  配置IPv6邻居发现协议

l  配置PMTU发现

l  配置TCP6

l  配置IPv6 FIB转发功能

l  配置ICMPv6报文发送

FTPTFTP

FTPTFTP配置

FTPTFTP命令

FTPTFTP协议用于在远端服务器和本地主机之间传输文件,是IP网络上传输文件的通用协议。

l  配置FTP客户端

l  配置FTP服务器

l  配置TFTP客户端

隧道

隧道配置

隧道命令

隧道技术是一种封装技术,它利用一种网络协议来传输另一种网络协议,即一种网络协议将其他协议产生的数据报文封装在自己的报文中,然后在网络中传输。

l  配置Tunnel接口

l  配置IPv6手动隧道

l  配置IPv4兼容IPv6自动隧道

l  配置6to4隧道

l  配置ISATAP隧道

l  配置IPv4 over IPv4隧道

l  配置IPv4 over IPv6隧道

l  配置IPv6 over IPv6隧道

NAT-PT

NAT-PT配置

NAT-PT命令

NAT-PT提供了IPv4IPv6地址之间的相互转换功能。

l  配置NAT-PT前缀

l  配置IPv6侧报文的映射

l  配置IPv4侧报文的映射

l  配置NAT-PT转换后报文的ToS字段值

l  配置NAT-PT转换后报文的Traffic Class字段值

l  配置IPv6服务器的静态NAPT-PT映射

返回特性功能索引

 

2.3.6  IP路由分册

表2-7 IP路由分册业务特性

业务特性

操作、命令手册

特性说明

IP路由基础

IP路由基础配置

IP路由基础命令

IP路由基本概述。

l  IP路由和路由表

l  路由协议概述

l  配置全局路由器ID

静态路由

静态路由配置

静态路由命令

由管理员手工配置,恰当地设置和使用静态路由可以改进网络的性能,并可为重要的网络应用保证带宽。

静态路由配置

RIP

RIP配置

RIP命令

一种内部网关协议,主要用于规模较小的网络中。

l  RIP基本功能配置

l  RIP路由特性配置

l  调整和优化RIP网络

OSPF

OSPF配置

OSPF命令

是基于链路状态的内部网关协议。

l  OSPF基本功能配置

l  OSPF的区域特性配置

l  OSPF的网络类型配置

l  OSPF的路由信息控制配置

l  配置OSPF网络调整优化

BGP

BGP配置

BGP命令

是一种自治系统之间的动态路由协议。

l  BGP的基本功能配置

l  路由属性配置

l  大型BGP网络配置

IPv6 静态路由

IPv6 静态路由配置

IPv6 静态路由命令

静态路由是一种特殊的路由,它由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。

l  配置IPv6静态路由

RIPng

RIPng配置

RIPng命令

RIPng又称为下一代RIP协议(RIP next generation),它是对原来的IPv4网络中RIP-2协议的扩展。大多数RIP的概念都可以用于RIPng

l  配置RIPng的基本功能

l  配置RIPng路由特性

l  调整和优化RIPng网络

l  配置RIPng IPsec安全策略

OSPFv3

OSPFv3配置

OSPFv3命令

OSPFv3OSPFOpen Shortest Path First,开放式最短路径优先)版本3的简称,主要提供对IPv6的支持,遵循的标准为RFC 2740OSPF for IPv6)。

l  配置OSPFv3的区域属性

l  配置OSPFv3网络类型

l  配置OSPFv3的路由信息控制

l  调整和优化OSPFv3网络

l  配置OSPFv3 GR

l  配置OSPFv3 IPsec安全策略

IPv6 BGP

IPv6 BGP配置

IPv6 BGP命令

为了提供对多种网络层协议的支持,IETFBGP-4进行了扩展,形成IPv6 BGP,目前的IPv6 BGP标准是RFC 2858

l  配置IPv6 BGP的基本功能

l  控制路由信息的发布与接收

l  配置IPv6 BGP的路由属性

l  调整和优化IPv6 BGP网络

l  组建大型IPv6 BGP网络

l  配置6PE

IP单播策略路由

IP单播策略路由配置

IP单播策略路由命令

IP单播策略路由功能可以用来对IP单播报文进行策略路由。

l  配置策略

l  配置本地策略路由

l  配置接口策略路由

返回特性功能索引

 

2.3.7  系统分册

表2-8 系统分册业务特性

业务特性

操作、命令手册

特性说明

VRRP

VRRP配置

VRRP命令

VRRP是一种容错协议,在提高可靠性的同时,简化了主机的配置。在具有多播或广播能力的局域网(如以太网)中,借助VRRP能在某台路由器出现故障时仍然提供高可靠的缺省链路,有效避免单一链路发生故障后网络中断的问题,而无需修改动态路由协议、路由发现协议等配置信息。

l  配置VRRP

设备管理

设备管理配置

设备管理命令

通过设备管理功能,用户能够查看设备当前的工作状态,配置设备运行的相关参数,实现对设备的日常维护和管理。

l  设备管理的配置

NQA

NQA配置

NQA命令

NQA通过发送测试报文,对网络性能、网络提供的服务及服务质量进行分析,并为用户提供网络性能和服务质量的参数。

l  配置NQA服务器

l  使能NQA客户端功能

l  创建NQA测试组

l  配置NQA测试组

l  配置联动功能

l  配置发送Trap消息

l  配置NQA统计功能

l  配置NQA历史记录功能

l  配置NQA测试组通用可选参数

l  调度NQA测试组

NTP

NTP配置

NTP命令

网络时间协议,用来在分布式时间服务器和客户端之间进行时间同步。

l  NTP工作模式配置

l  配置本地时钟作为参考时钟

l  NTP可选参数配置

l  访问控制权限配置

l  NTP验证功能配置

RMON

RMON配置

RMON命令

远程网络监视,使SNMP更有效、更积极主动地监测远程网络设备能够减少网管站同代理间的通讯流量,达到简便而有力地管理大型互连网络的目的。

l  RMON配置

SNMP

SNMP配置

SNMP命令

简单网络管理协议是使用TCP/IP协议族对互联网上的设备进行管理的一个框架,它提供一组基本的操作来监视和维护互联网。

l  SNMP基本功能配置

l  Trap配置

文件系统管理

文件系统管理配置

文件系统管理命令

设备运行过程中所需要的文件保存在设备的存储设备中,为了方便用户对存储设备进行有效的管理,设备以文件系统的方式对这些文件进行管理。

l  文件系统的管理配置

l  文件管理配置

系统维护与调试

系统维护与调试配置

系统维护与调试命令

对于设备所支持的各种协议和特性,系统基本上都提供了相应的调试功能,帮助用户对错误进行诊断和定位。

l  系统调试配置

l  pingtracert等命令配置

系统基本配置

系统基本配置

系统基本命令

为了使设备更好运行,需要对设备进行一些配置

l  显示设备的配置

l  系统基本配置

l  命令行特性

信息中心

信息中心配置

信息中心命令

信息中心是系统的信息枢纽,它能够对所有的系统信息进行分类、管理。

l  信息中心的配置

用户界面

用户界面配置

用户界面命令

用户界面视图是系统提供的一种视图,主要用来管理工作在流方式下的异步串口。通过在用户界面视图下的各种操作,可以达到统一管理各种用户配置的目的。

l  异步串口属性的配置

l  终端属性的配置

l  自动执行命令的配置

l  用户级别的配置

l  VTY用户界面访问限制\支持协议的配置

l  异步串口重定向功能的配置

l  登陆用户界面认证方式的配置

HTTP

HTTP配置

HTTP命令

HTTP用来在Internet上传递Web页面信息。HTTPS是支持SSL协议的HTTP协议。

l  HTTP配置

l  HTTPS配置

Track

Track配置

Track命令

Track的用途是实现联动功能。监测模块负责对链路状态等进行探测,并将探测结果通知给Track模块,以便及时改变Track项的状态;Track项的状态发生变化后,Track模块将通知应用模块进行相应的处理。

l  Track简介

l  配置Track与监测模块联动

l  配置Track与应用模块联动

热补丁

热补丁配置

热补丁命令

在不重启设备的情况下,可以对设备当前软件版本的缺陷进行修复。

l  一步式安装补丁

l  分步安装补丁

l  一步式卸载补丁

l  分步卸载补丁

返回特性功能索引

 

2.3.8  VPN分册

表2-9 VPN分册业务特性

业务特性

操作、命令手册

特性说明

GRE

GRE配置

GRE命令

通用路由封装,对某些网络层协议的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议中传输。

l  GRE简介

l  GRE over IPv4隧道配置

L2TP

L2TP配置

L2TP命令

L2TP协议提供了对PPP链路层数据包的隧道传输支持。

l  L2TP基本功能配置

l  LAC配置

l  LNS配置

l  L2TP连接参数配置

L3VPN

L3VPN配置

L3VPN命令

L3VPN组网方式灵活、可扩展性好,并能够方便地支持MPLS QoSMPLS TE,因此得到越来越多的应用。

l  配置VPN实例

l  配置基本L3VPN

返回特性功能索引

 

2.3.9  IP组播分册

表2-10 IP组播业务特性

业务特性

操作、命令手册

特性说明

组播概述

组播概述

组播技术概述,不支持二层组播特性。

l  组播模型分类

l  组播的框架结构

l  组播的转发机制

组播路由与转发

组播路由与转发配置

组播路由与转发命令

组播策略就是为了对RPF路由选择信息进行过滤而实施的一些策略。

l  组播策略简介

l  组播策略配置

IGMP

IGMP配置

IGMP命令

IGMP,互联网组管理协议,是TCP/IP协议族中负责IP组播成员管理的协议。

l  IGMP基本功能配置

l  调整IGMP的性能

MSDP

MSDP配置

MSDP命令

组播源发现协议,基于多个PIM-SM域的互连而开发的一种域间组播解决方案。

l  MSDP基本功能配置

l  MSDP对等体配置

l  SA消息配置

PIM

PIM配置

PIM命令

协议无关组播,可以利用任何单播路由协议生成的单播路由表为IP组播提供路由。

l  PIM-DM配置

l  PIM-SM配置

l  PIM-SSM配置

l  PIM公共信息配置

IPv6组播路由与转发

IPv6组播路由与转发配置

IPv6组播路由与转发命令

路由器根据组播路由和转发策略,从IPv6组播路由表中选出最优的组播路由,并下发到IPv6组播转发表中。

l  配置IPv6组播路由策略

l  配置IPv6组播转发范围

l  配置IPv6组播转发表容量

IPv6 PIM

IPv6 PIM配置

IPv6 PIM命令

IPv6 PIM借助RPF机制实现对IPv6组播报文的转发。

l  配置IPv6 PIM-DM

l  配置IPv6 PIM-SM

l  配置IPv6 PIM-SSM

l  配置IPv6 PIM公共特性

返回特性功能索引