选择区域语言: EN CN HK
docurl=/cn/Products___Technology/Products/IP_Security/FW_VPN/F5000/SecPath_F5000/FAQ/201212/767770_30003_0.htm

H3C 安全产品用户FAQ-6W100

【发布时间:2012-12-12】

 

1 硬件类FAQ

1.1 安全系列产品包括哪几个型号

1.2 H3C安全业务插卡适配哪些主机设备

1.4 F5000-A5防火墙的12GE业务插卡和2X10GE业务插卡安装槽位是否有限制

1.5 哪些防火墙支持风扇调速

1.6 H3C防火墙产品的整机功耗是多少

1.7 防火墙机框的尺寸规格是多少

1.8 H3C防火墙产品中,哪些支持USB接口

1.9 防火墙插卡面板上的接口支持什么业务

1.10 防火墙插卡和防火墙插卡增强版有什么差异性

2 软件类FAQ

2.1 安全产品如何查看当前运行的版本和运行时间

2.2 安全产品为何需要升级主机软件版本以及存在的风险

2.3 安全产品如何查看已删除文件

2.4 安全产品如何彻底清除回收站中的文件

2.5 安全产品如何恢复已删除文件

2.6 超级终端连接安全设备配置口时,为何显示不正常

2.7 安全设备是否支持热补丁

2.8 安全设备通过TelnetWeb管理时,默认用户名和密码是什么

3 处理流程类FAQ

3.1 插卡式防火墙和盒式防火墙,在转发流程上有哪些不同之处

4 业务功能类FAQ

4.1 防火墙设备FAQ

4.1.1 规格列表描述的安全域可创建的个数,是整个设备可以创建的个数,还是每一个虚拟设备可以创建的个数

4.1.2 不同虚拟设备之间的安全域如何通信

4.1.3 缺省情况下,系统对设备端口的访问是permit还是deny

4.1.4 如何禁止外部用户访问设备自身端口的地址

4.1.5 防火墙设备的ALG功能默认是开启的还是关闭的,如何关闭ALG功能

4.1.6 防火墙设备的接口默认所属的虚拟设备是什么

4.1.7 防火墙设备,发现设备不转发报文,可能是什么原因导致的

4.1.8 二层Bridge端口加入安全域和三层Route端口加入安全域有哪些不同

4.1.9 防火墙插卡在二层跨VLAN转发时,二层子接口和物理口如何加入到安全域

4.1.10 两个逻辑接口之间转发业务流,相关逻辑口添加到安全域后,逻辑口所属的物理口是不是也必须加入到安全域?哪些端口所在域的域间策略有效

4.1.11 通过防火墙的某一流量,本应被防火墙deny但实际上permit了,可能是什么原因导致的

4.1.12 防火墙设备的会话管理功能实现的机制是什么

4.1.13 防火墙会话日志和NAT日志有什么区别

4.1.14 防火墙的ASPF会话和NAT会话是什么关系

4.1.15 会话长连接对什么报文有效?ACL有什么限制

4.1.16 会话单向流检测功能开启后,会话状态变迁机制有哪些变化

4.1.17 Web网管中,在虚拟设备上看不到所希望的会话,是什么原因导致的

4.1.18 查看会话信息,发现会话状态不正确,是什么原因导致的

4.1.19 更改了设备的ACL策略后,发现没有生效,是什么原因导致的

4.1.20 日志服务器上,没有收到日志,是什么原因导致的

4.1.21 通过Web无法看到日志,是什么原因导致的

4.1.22 在显示的会话日志中,无法看到vpn instance信息

4.1.23 NATARP是如何处理的

4.1.24 GRE隧道的Tunnel口是如何UP

4.1.25 GRETunnel口不能正常UP,是什么原因导致的

4.1.26 IPSec策略设置中,ACL设置要注意哪些问题

4.1.27 模板方式的IPsec有哪些特点

4.1.28 双机热备的2台设备不能进入双机同步状态,是什么原因导致的

4.1.29 防火墙设备支持的SSH的版本号

4.1.30 F5000-A5是否支持跨板端口汇聚(链路聚合)

4.1.31 聚合端口的端口号是否需要连续

4.1.32 防火墙设备支持802.1x

4.1.33 防火墙设备是否支持jumbo

4.1.34 是否支持HTTPS管理?如何配置

4.2 Netstream插卡FAQ

4.2.1 Netstream插卡与其他安全插卡相比,有哪些不同点

4.2.2 使用Netstream插卡进行流日志统计时,Seccenter上没有发现流量,是什么原因导致的

4.2.3 Netstream插卡统计信息中,非汇聚模式下,按照什么规则来划分不同的数据流

4.2.4 如何查看Netstream插卡的配置是否生效了

5 其他常见问题类FAQ

5.1 单板告警红灯亮

5.2 电口或光口互连是否应该设置强制双工和速率

 


H3C 安全产品用户FAQ

硬件类FAQ

1.1  安全系列产品包括哪几个型号

主机包括:

l   H3C SecPath F5000-A5

l   H3C SecPath F5000-S/F5000-C

l   H3C SecPath F1000-E

l   H3C SecPath F1000-S-EI

l   H3C SecPath F1000-S-AI/F1000-A-EI/F1000-E-SI

l   H3C SecPath F100-C-G/F100-S-G/F100-M-G/F100-A-G/F100-E-G

l   H3C SecPath U200-A/U200-M/U200-S

l   H3C SecPath U200-CA/U200-CM/U200-CS

l   H3C SecBlade系列防火墙插卡(简称:FW插卡)

l   H3C SecBlade系列防火墙插卡增强版(简称:FW Enhanced插卡)

l   H3C SecBlade系列NetStream插卡(简称:NS插卡)

l   H3C SecBlade系列Load Balancing插卡(简称:LB插卡)

l   H3C SecBlade系列SSL VPN插卡

上述列举的安全插卡能够适配的主机型号,请参见1

1.2  H3C安全业务插卡适配哪些主机设备

表1 业务插卡和主机的适配情况

业务插卡类型

适配主机

防火墙插卡

H3C S5800/S7500E/S9500E/S10500/S12500/SR6600/SR8800/CR16000

防火墙插卡增强版

H3C S10500/S12500

负载均衡插卡

H3C S7500E/S9500E/S12500/SR8800/CR16000

NetStream插卡

H3C S7500E/S9500E/S12500/CR16000

SSL VPN插卡

H3C S7500E/SR6600/SR8800

1.3  盒式设备支持哪些插卡

表2 盒式设备支持的插卡类型

设备型号

支持插卡

F5000-A5

l  NSQ1GT8C4012端口千兆以太网业务板(8个电口和4Combo

l  NSQ1GT8P4012端口千兆以太网业务板(8个光口和4Combo

l  NSQ1XP202端口万兆以太网业务板

F5000-S/F5000-C

l  NSQ1G24XS6024端口千兆以太网(12个电口和12个光口)及6端口万兆光接口模块

F1000-E

l  8GBE8端口千兆以太网电接口模块

l  4GBE4端口千兆以太网电接口模块

l  4GBP4端口千兆以太网光接口模块

l  1EXP1端口万兆以太网光接口模块

F1000-S-AI/F1000-A-EI/F1000-E-SI

l  NSQ1XS2U02端口万兆光接口模块

l  NSQ1GT2UA02端口千兆以太网电接口模块

NSQ1GP4U04端口千兆以太网光接口模块

F100-C-G/F100-S-G

2GE2端口千兆以太网电接口模块

F100-M-G/F100-A-G/F100-E-G

l  NSQ1GT2UA02端口千兆以太网电接口模块

l  NSQ1GP4U04端口千兆以太网光接口模块

U200-A/U200-M/U200-CA

l  NSQ1GT2UA02端口千兆以太网电接口模块

l  NSQ1GP4U04端口千兆以太网光接口模块

U200-S/U200-CM/U200-CS

2GE2端口千兆以太网电接口模块

 

1.4  盒式设备的插卡/电源的热插拔支持情况

表3 盒式设备热插拔支持情况

设备型号

热插拔支持情况

F5000-A5

l  业务插卡不支持热插拔

l  电源支持热插拔,但请保证在一个电源能够正常供电的情况下,才可以热插拔另一个备份电源

F5000-S/F5000-C

l  业务插卡不支持热插拔

l  电源支持热插拔,但请保证在一个电源能够正常供电的情况下,才可以热插拔另一个备份电源

F1000-E

插卡不支持热插拔

F1000-S-AI/F1000-A-EI/F1000-E-SI

l  插卡不支持热插拔

l  电源支持热插拔,请保证在一个电源能够正常供电的情况下,才可以热插拔另一个备份电源

F100-C-G/F100-S-G

插卡不支持热插拔

F100-M-G/F100-A-G/F100-E-G

插卡不支持热插拔

U200-A/U200-M/U200-CA

插卡不支持热插拔

U200-S/U200-CM/U200-CS

插卡不支持热插拔

 

1.5  F5000-A5防火墙的12GE业务插卡和2X10GE业务插卡安装槽位是否有限制

12GE业务插卡和10GE业务插卡可以插在4个业务槽位中的任意一个。

1.6  哪些防火墙支持风扇调速

F5000-A5F5000-SF5000-CF1000-A-EI/F1000-E-SI/F1000-S-AI,这些防火墙设备支持风扇的调速功能,能够根据机框内的温度高低来自动调整风扇运行转速。可以使用命令display fan查看风扇状态。

1.7  H3C防火墙产品的整机功耗是多少

产品

整机功耗

F5000-A5

189W460W

F1000-E

64W110W

F1000-E-SI/F1000-A-EI/F1000-S-AI

57W133W

F1000-S-EI/U200-A/U200-CA/F100-M-G/F100-A-G/F100-E-G

30W46W

U200-S/U200-CM/U200-CS/F100-C-G/F100-S-G

20W27W

 

1.9  H3C防火墙产品中,哪些支持USB接口

虽然硬件预留有USB接口,但是软件都暂时不支持USB接口。

1.10  防火墙插卡面板上的接口支持什么业务

防火墙插卡面板上的接口可以用来做管理口、双机热备备份口或者日志输出接口,不做普通业务端口。

1.11  防火墙插卡和防火墙插卡增强版有什么差异性

软件差异性:

防火墙插卡增强版和防火墙插卡在软件功能上是相同的。防火墙插卡增强版和防火墙插卡相比,在吞吐量、会话新建和并发的性能上,具有更高的性能。

硬件内联口差异:

防火墙插卡,和交换机内联的端口只有110GE端口。防火墙插卡增强版,和交换机的内联口有多个10GE端口,其中,S10500系列上的防火墙插卡增强版,有410GE内联口。S12500系列上的防火墙 插卡增强版,有210GE内联口。

硬件面板口差异:

防火墙插卡面板口有4Combo口,主要用来做管理口。而防火墙插卡增强版有2Combo口,主要用来做管理口。

软件类FAQ

2.1  安全产品如何查看当前运行的版本和运行时间

可以使用命令display version查看系统当前运行的主机程序版本、BootWare版本和设备运行时间:

<H3C>display version

H3C Comware Platform Software

Comware Software Version 5.20 Release 3166P14  

//主机版本号

Copyright (c) 2010-2011 Hewlett-Packard Development Company L.P.

H3C F1000-E uptime is 0 week 0 day 1 hour 18 minutes  

//运行时间

 

 CPU type: RMI XLR732 1000MHz CPU

 2048M bytes DDR2 SDRAM Memory

 4M bytes Flash Memory

 249M bytes CF0 Card

 249M bytes CF1 Card

 PCB             Version:Ver.B

 Logic           Version:  2.0

 Basic  BootWare  Version:  1.28

//Bootrom基本段版本

 Extend BootWare  Version:  1.38

//Bootrom扩展段版本

2.2  安全产品为何需要升级主机软件版本以及存在的风险

为了进一步提高设备性能、加强稳定性和设备的抗攻击能力,H3C会不断地给设备增加新功能和新特性、或者修正软件错误、优化程序。请用户根据自己的实际需要,选择合适的版本升级

2.3  安全产品如何查看已删除文件

安全产品提供回收站功能,可以使用delete命令删除文件但是文件还保留在回收站中只有使用delete /unreserved命令才能真正彻底删除文件。

使用dir命令不会显示已经被删除并被放入回收站中的文件只有使用dir /all命令才能显示回收站中的文件这些文件的文件名被"[ ]"包含。

2.4  安全产品如何彻底清除回收站中的文件

可以使用命令reset recycle-bin彻底清除回收站中的文件,以释放FlashCF卡的空间。

2.5  安全产品如何恢复已删除文件

如果文件没有彻底删除,可以恢复。恢复命令如下:

在用户视图下执行:undelete filename

filename为要恢复的文件名。

2.6  超级终端连接安全设备配置口时,为何显示不正常

安全设备上电后,如果系统运行正常,将在配置终端上显示启动信息;如果终端参数设置错误,配置终端可能无显示或者显示乱码。

1. 终端无显示故障处理

如果上电后配置终端无显示信息,首先要做以下检查:

l   电源系统是否正常;

l   安全设备是否正常

l   是否已将配置电缆接到安全设备的配置口(Console)。

如果以上检查未发现问题,很可能有如下原因:

l   配置电缆连接的串口错误(实际选择的串口与终端设置的串口不符);

l   配置终端参数设置错误(参数要求:设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无);

l   配置电缆本身有问题。

l   配置线是否串口转USB的了,串口转USB的驱动可能导致无法显示命令行。

2. 终端显示乱码故障处理

如果配置终端上显示乱码,很可能是配置终端参数设置错误(设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100),请进行相应检查。

图1 配置终端参数的设置

ৼৼX

 

2.7  安全设备是否支持热补丁

安全产品目前发货版本都支持热补丁功能,较早之前使用的设备是否支持热补丁功能可以咨询各地办事处的技术服务工程师。

2.8  安全设备通过TelnetWeb管理时,默认用户名和密码是什么

l   用户名:admin

l   密码:admin

管理权限为管理员级别,3级。

处理流程类FAQ

3.1  插卡式防火墙和盒式防火墙,在转发流程上有哪些不同之处

主要有如下不同:

l   业务转发接口:防火墙插卡的业务转发接口只有一个背板10GE接口。插卡通过内部10GE接口和宿主交换机相连,通过在10GE接口上划分逻辑子接口或VLAN虚接口进行通信。

l   二层转发:防火墙插卡只能是在二层子接口之间跨VLAN转发,不能进行同一VLAN内的转发,而盒式设备没有这个限制。

l   三层转发:防火墙插卡只能在10GE子接口或者VLAN接口间进行。而盒式设备没有这个限制。

业务功能类FAQ

4.1  防火墙设备FAQ

4.1.1  规格列表描述的安全域可创建的个数,是整个设备可以创建的个数,还是每一个虚拟设备可以创建的个数

是整个设备上可以创建的安全域个数。

4.1.2  不同虚拟设备之间的安全域如何通信

如下图所示:不同虚拟设备之间通过共享域进行通信。

VFW AVFW BVFW Root是三个虚拟设备,VFW Root中的Untrust域和VFW B中的DMZ域是共享域。来自VFW A虚拟防火墙的数据流可以通过VFW Root中的Untrust转发,但不能通过私有安全域Trust转发。

不同虚拟设备之间,通过共享安全域实现互访。一个虚拟设备的私有安全域可以和另一虚拟设备的共享安全域通信,反之不可。

图2 不同虚拟设备之间的安全域通信示意图

 

4.1.3  缺省情况下,系统对设备端口的访问是permit还是deny

缺省情况下,系统对端口的访问是Permit。如果需要设置系统对端口的访问为deny,需要设置目的域为local域的域间策略来实现。

4.1.4  如何禁止外部用户访问设备自身端口的地址

下面以禁止访问设备接口GE0/1为例,设备接口GE0/1的地址为:220.100.1.1/24,配置如下:

l   GE0/1添加到Untrust域;

l   创建主机地址ge01_address

图3 创建主机地址

 

l   创建Untrust域到Local域的域间策略,目的IPge01_address,动作为deny,域间策略如下:

图4 创建Untrust域到Local域的域间策略

 

4.1.5  防火墙设备的ALG功能默认是开启的还是关闭的,如何关闭ALG功能

ALG功能默认是开启的。可以通过如下命令关闭ALG功能:

l   如果关闭所有的ALG功能,在系统视图下执行:undo alg all

l   如果关闭某一项ALG功能,如SIP功能,系统视图下执行:undo alg sip

Web关闭ALG功能方法如下:

导航栏进入"Firewall->ALG",页面如下,选择左边框里的选项后,点击标注的">>"按钮,来取消相应的ALG功能。

图5 关闭ALG功能

 

4.1.6  防火墙设备的接口默认所属的虚拟设备是什么

防火墙设备有2种端口:三层Route端口和二层Bridge端口。2种端口默认所属的虚拟设备不一样:

l   三层Route端口:端口默认的虚拟设备为Root虚拟设备。如果要把其加入到其他虚拟设备,进入"设备管理-〉虚拟设备管理-〉接口成员",选择相应端口所属的虚拟设备。

l   对二层Bridge端口:通过二层端口和VLAN绑定来确认所属的虚拟设备。例如:虚拟设备VD1VLAN属性为100,虚拟设备VD2VLAN属性为200。对端口GE0/1,属于VLAN 100200。那么,端口GE0/1+VLAN 100所属的虚拟设备为VD1,端口GE0/1+VLAN 200所属虚拟设备为VD2

4.1.7  防火墙设备,发现设备不转发报文,可能是什么原因导致的

可能有如下原因:

l   端口没有加入到安全域

l   没有配置域间策略,或者域间策略丢掉了。可以在用户视图下打开如下debug

<H3C> debugging firewall packet-filter ?

  all     Debug information about all the packets

  icmp    Debug information about ICMP packets

  others  Debug information about other packets ( except TCPUDP and ICMP )

  tcp     Debug information about TCP packets

  udp     Debug information about UDP packets

l   报文会话状态不对,不能匹配会话而被丢弃了。可以打开如下debug查看:

<H3C> debugging session session-table all 

l   ASPF丢弃了,可以打开debug查看:

<H3C> debugging aspf packet 

l   是否有黑名单,可在Web上查看一下黑名单

l   是否有正确的路由

l   对于二层转发,是否有目的MAC表项

4.1.8  二层Bridge端口加入安全域和三层Route端口加入安全域有哪些不同

(1)      对于二层Bridge端口:可以通过绑定VLAN属性加入到不同的安全域。例如,GE0/1Trunk端口,属于VLAN 100VLAN 200,那么具有VLAN属性100GE0/1可以加入Trust域,具有VLAN属性200GE0/1也可以加入DMZ域:

l   加入Trust域:

图6 加入Trust

l   加入DMZ域:

图7 加入DMZA

 

通过上述配置,对于GE0/1接收到的报文,如果VLAN Tagged100,则属于Trust域,如果VLAN Tagged200,则属于DMZ域。

(2)      对于三层端口:一个端口只能加入到一个安全域中。

4.1.9  防火墙插卡在二层跨VLAN转发时,二层子接口和物理口如何加入到安全域

二层子接口需要加入到安全域,物理口不需要加入到安全域中。

4.1.10  两个逻辑接口之间转发业务流,相关逻辑口添加到安全域后,逻辑口所属的物理口是不是也必须加入到安全域?哪些端口所在域的域间策略有效

只需要把逻辑口加入到相应的安全域,逻辑端口所在安全域的域间策略有效。

4.1.11  通过防火墙的某一流量,本应被防火墙deny但实际permit了,可能是什么原因导致的

可能是如下原因导致的:

l   如果没有域间策略,可能流量是从高优先级的安全域到低优先级的安全域

l   permit的域间策略

l   已经有了可以匹配的会话

4.1.12  防火墙设备的会话管理功能实现的机制是什么

会话(Session)是一个双向的概念,一个会话通常关联两个方向的流,一个为会话发起方(Initiator),另外一个为会话响应方(Responder)。通过会话所属的任一方向的流特征都可以唯一确定该会话,以及方向。

会话的标识:不同的流有不同的标识方法:

l   TCP流通过六元组来标识:协议+IP+源端口+目的IP+目的端口+vpn instance ID(或vlan id)。

l   UDP流通过六元组来标识:协议+IP+源端口+目的IP+目的端口+vpn instance ID(或vlan id)。

l   ICMP流通过六元组来标识:协议+IP+目的IP+ICMP type+ICMP code+vpn instance ID(或vlan id)。

l   RAW IP流通过四元组来标识: 协议+IP+目的IP+vpn instance ID(或vlan id

4.1.13  防火墙会话日志和NAT日志有什么区别

NAT日志信息包含在会话日志中。如果有NAT转换,会话日志信息可以体现出NAT转换的情况。

4.1.14  防火墙的ASPF会话和NAT会话是什么关系

防火墙产品只有一个会话表,该会话包含了ASPF会话和NAT会话。如果有NAT转换,ASPF会话中会包含NAT转换信息。

4.1.15  会话长连接对什么报文有效?ACL有什么限制

用户可以根据需要将一些符合给定特征的会话设置为长连接会话,长连接会话的老化时间不会随着状态的变迁而更改,同时也不会由于没有报文命中而被删除。长连接会话可以设置比普通会话更长的老化时间,或者设置成永不老化。被设置成永不老化的长连接会话,只有当会话的发起方或响应方主动发起关闭连接请求或管理员手动删除该会话时,才会被删除。

l   会话长连接只对TCP报文有效,并且只对处于TCP-EST状态的会话有效。

l   ACL范围为2000-3999

l   如果匹配ACL规则并且为permit,则长连接生效,deny则不生效。

4.1.16  会话单向流检测功能开启后,会话状态变迁机制有哪些变化

进行单向流状态检测时,为满足会话的成功建立,针对TCP/UDP/RAWIP的状态机转换会发生一些变化,主要列举如下:

1. 对于TCP报文

l   在非单向流检测模式下,状态机认为首报文是SYN_ACK是非法的。

单向流检测模式下需要考虑单向流,SYN报文可能不经过设备,因此首报文就是SYN_ACK。单向流检测模式下SYN_ACK报文将会新建会话并切换到SYN_RECV状态。

l   在非单向流检测模式下,流状态机认为SYN_SENT状态下收到正向ACK报文是非法的;

但单向流检测模式下需要考虑单向流,SYN_ACK报文可能不经过设备,因此认为第二个报文就是正向ACK,直接将会话状态切换到TCP_ESTABLISHED状态。

2. 对于UDP报文

在非单向流检测模式下,状态机UDP会话在UDP_OPEN状态时,收到正向报文会维持UDP_OPEN状态不变。而单向流检测模式下,状态机将会使会话切换到UDP_READY状态。也就是说两个正向报文就会使会话进入UDP_READY状态。

3. 对于RAWIP报文

非单向流检测模式,状态机在RAWIP_OPEN状态时,收到正向报文会维持RAWIP_OPEN状态不变。而单向流检测模式,状态机将会使会话切换到RAWIP_READY状态。也就是说单向流检测模式,两个正向报文就会使会话进入RAWIP_READY状态。

4.1.17  Web网管中,在虚拟设备上看不到所希望的会话,是什么原因导致的

可能是如下原因导致的:

l   会话及时老化,没有能够显示

l   对跨虚拟设备转发的流建立的会话,会话只在源虚拟设备上显示,目的虚拟设备上不再显示

l   会话数已经达到了规格,不能建立会话

4.1.18  查看会话信息,发现会话状态不正确,是什么原因导致的

可能是如下原因导致的:

l   是否开启的单向流检测,开启单向流检测后,会话状态变迁和正常的会话状态不一样

l   排查是否有其他标记的报文导致了会话状态变迁

l   用户视图下,打开session相关的debug查看debug信息,用户视图下执行:

debugging session engine event

4.1.19  更改了设备的ACL策略后,发现没有生效,是什么原因导致的

可能是如下原因导致的:

l   原来的ACL策略可能加速了:对于已经加速了的ACL策略,在编辑修改后,必须重新配置ACL策略加速或者取消加速后才能生效。

通过Web,查看方式如下:

ACL,导航栏进入"Firewall > ACL":

图8 进入"ACL"配置页面

 

红色框标示部分表示了修改不生效,需要点击该按钮后重新启动加速才能使配置生效。

对域间策略,导航栏进入"Firewall > Security Policy > Interzone Policy Accelerate",Web显示如下:

红色框标示部分表示了修改不生效,需要点击该按钮后重新启动加速才能使配置生效。

l   ACL规则配置有误

4.1.20  日志服务器上,没有收到日志,是什么原因导致的

可能是如下原因导致的:

l   日志服务器上是否正常添加设备,设备状态是否正常

l   防火墙设备是否开启了snmp-agentsnmp连接是否正常

l   syslog日志,是否配置了日志服务器地址,如下:

图9 查看是否配置了日志服务器地址

 

userlog日志 配置如下:

图10 配置userlog日志

l   可以在设备上通过查看目的地址为日志服务器的地址的会话,来判定日志是否发送。如果有会话,可初步判定日志发出了,否则,可判定设备没有发送日志。

4.1.21  通过Web无法看到日志,是什么原因导致的

可能是如下原因导致的:

l   查看信息中心是否开启,在任何视图下,执行:display info-center,确认信息中心的开启状态:

[H3C]display info-center

Information Center:enabled  

如果信息中心未开启,在系统视图下执行如下命令:

[H3C]info-center enable

Info: Information center is enabled.                               

l   在信息中心开启的情况下,对于syslog日志,如果有日志,正常情况下应该能够在Web上显示。如果无法看到需要的日志,有可能是日志缓存满了,需要在如下Web页面下清缓存,清缓存后再观察是否产生日志。红色框标注的为清除缓存按钮:

图11 清除缓存

 

l   对于userlog日志,在信息中心开启的情况下,需要勾选下面标注的部分才能在Web上显示。不建议通过Web显示userlog日志,只用于调试定位用。

图12 勾选"输出日志到信息中心"

 

4.1.22  在显示的会话日志中,无法看到vpn instance信息

如果使用flow log1.0版本,是无法看到vpn instance信息的,需要改用flow log3.0版本,修改页面如下:

图13 改用Flow Log3.0版本

 

4.1.23  NATARP是如何处理的

当从私网发送过来的报文经过NAT转换,到达公网中的目的地后,公网设备一开始并不知道这个经过转换的公网地址所对应的MAC,此时便会发送ARP请求。其实对于ARP报文,NAT并没有进行特殊处理。NAT只是告诉接口管理哪些地址是NAT使用的公网地址,包括了被引用的地址池的地址、NAT Server的公网地址和被引用的静态配置的公网地址。当外部设备向这些地址发起ARP请求,NAT设备便会进行如下处理:首先,设备检查自己的路由表,如果有该IP地址,便添加相应接口的MAC地址,再回应ARP应答。否则,查看是否是NAT配置的地址,如果是,便添加ARP报文入接口的MAC地址,再回应ARP应答。同时接口在up/down的时候会主动发送NAT地址的免费ARP

4.1.24  GRE隧道的Tunnel口是如何UP

隧道接口的状态是由隧道管理模块自己维护的,接口状态能否UP依赖于隧道模块规格对于必配参数的正确性检查。

一般来说,在防火墙上,GRE配置Tunnel端口的源地址和目的地址必须有路由,也就是说,源地址必须对应一条InLoopBack类型的32位主机路由,而目的地址也必须是路由可通的,只有满足上述条件,隧道才可以link up

4.1.25  GRETunnel口不能正常UP,是什么原因导致的

可能是如下原因导致的:

l   Tunnelsource物理端口没有UP,如果UP了,则可能没有配置IP地址。

l   Tunnelsource物理端口绑定了vpn instanceTunnel口的source端口是不能绑定vpn instance的,否则Tunnel口不能UP

l   有多个Tunnel口的source端口相同,只有第一个创建的Tunnel口才能正常UP,其他的功能不正常。

4.1.26  IPSec策略设置中,ACL设置要注意哪些问题

IPsec通过配置ACL来定义需要过滤的数据流。在IPsec的应用中,ACL规则中的permit关键字表示与之匹配的流量需要被IPsec保护,而规则中的deny关键字则表示与之匹配的那些流量不需要保护。ACL规则一端指定源,则另一端必须指定目的,对应起来。两端配置的ACL规则需要镜像对称。

4.1.27  模板方式的IPsec有哪些特点

l   只能作为IPsec的响应端。相关命令:ipsec policy-template

l   可以用于一对多模式。如果以name模式进行匹配,所有分支节点的ike local-name必须相同,分支和中心都必须指定remote-name

l   如果按照IP地址方式,模板方式一端不需要指定local-addressremote-address

4.1.28  双机热备的2台设备不能进入双机同步状态,是什么原因导致的

可能如下原因:

l   HA口是否正常处于UP状态

l   HA口只能直连,不能通过交换机连接

4.1.29  防火墙设备支持的SSH的版本号

防火墙发布版本能够支持SSH2.0,兼容SSH1.5版本,可以作为SSH服务器和客户端。

4.1.30  F5000-A5是否支持跨板端口汇聚(链路聚合)

F5000-A5不支持跨板聚合。

4.1.31  聚合端口的端口号是否需要连续

同一个聚合组中的聚合端口不需要连续,主要是由配置命令决定的。

4.1.32  防火墙设备支持802.1x

不支持。

4.1.33  防火墙设备是否支持jumbo

防火墙插卡支持jumbo帧,盒式防火墙设备不支持。

4.1.34  是否支持HTTPS管理?如何配置

支持HTTPS管理。在系统视图下执行如下命令,开启HTTPS

[H3C]ip https enable

4.2  Netstream插卡FAQ

4.2.1  Netstream插卡与其他安全插卡相比,有哪些不同点

l   不支持通过Web方式配置。

l   端口不用加入到安全域。

l   不支持其他安全插卡的功能。

l   进入插卡10GE端口的流量只接收,不进行转发。

l   Netstream插卡的统计流量,只有inbound方向,无outbound方向。

4.2.2  使用Netstream插卡进行流日志统计时,Seccenter上没有发现流量,是什么原因导致的

可能是如下原因导致的:

l   设备是否正确添加。

l   日志服务器和设备的时钟是否相同。

l   是否将进入到10GE端口的流量转发到黑洞Inline组。

l   是否正确配置了ip netstreamipv6 netstream命令。

4.2.3  Netstream插卡统计信息中,非汇聚模式下,按照什么规则来划分不同的数据流

按照7元组来划分不同的流,分别为:源IP地址、目的IP地址、源端口号、目的端口号、协议ID、接口信息、TOS,但接口信息仅仅是10GE接口的信息,无实际意义。

4.2.4  如何查看Netstream插卡的配置是否生效了

l   执行命令display ip netstream cache,查看是否有流条目。

l   执行命令debugging ip netstream packet,查看是否有流日志报文发出。

l   执行命令display ip netstream export,查看是否有日志统计。

l   如果接日志服务器,查看日志服务器是否有统计。

其他常见问题类FAQ

5.1  单板告警红灯亮

可能是如下原因造成的:

l   单板温度超过设定的上限。在密封的机柜中通风条件本来就不好,如果空气中灰尘较多,起过滤灰尘作用的防尘网被堵塞,造成通风不畅,就会使得机箱内的温度显著升高,此时应该及时清洗防尘网。

l   环境温度本来就比较高造成的,那么可以使用命令display environment查看单板的当前温度。另外可以使用命令temperature-limit来设置单板产生温度告警的下限阈值和上限阈值。

l   风扇故障,也可能导致单板温度过高。

5.2  电口或光口互连是否应该设置强制双工和速率

电口具有很好的自协商能力,一般都能自协商成功,所以不需要设置强制双工和速率。

光口自协商能力比电口稍差,极少部分光口会出现自协商不成功的现象,所以大部分光口在开局时往往都被设置强制双工和速率。这样不加分析的设置强制双工和速率,往往会掩盖一些问题。

电口或光口的协商机制可以遵循以下2个原则:

l   除非有特别的理由,双方均采用自协商方式;

l   双方的设置必须一致:要么双方都是自协商方式,要么双方都设置强制双工和速率,不允许一端自协商而另一端设置强制双工和速率,也不允许只设置双工方式而不设置速率,同样也不允许只设置速率而不设置双工方式。

 

 

 

附件下载