Copyright © 2015 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
2.2 过滤显示信息时,如果要过滤的内容中含有空格,怎么办?.. 2
3.1.2 当NAT server 配置global地址为Loopback口地址的时候要注意什么呢?... 3
3.2.1 ASPF ICMP差错报文检测能够识别哪些ICMP差错报文?... 3
3.3.2 安全域的特性方面,和Comware V5版本相比,有哪些差异?... 3
3.4.4 对象策略中,vrf参数所指vpn-instance指的是入接口还是出接口的vpn-instance?... 4
3.5.3 如果packet-filter和object-policy两者在域间策略中同时存在的时候,优先匹配哪一个?... 4
3.5.4 对象组支持引用对象组,那么对象组多级引用对象组,深度上,最深支持几层引用?... 4
3.5.6 GRE、L2TP等隧道流量域间策略的配置,需要关注哪些问题?... 5
3.6.1 IPsec策略的相应配置中带有vpn-instance时,其中ACL的规则需要带vpn-instance吗?. 5
H3C SecPath F5020&F5040防火墙用户FAQ
SecPath F5020/F5040标配支持多达24个千兆以太口及4个万兆以太口。设备主控板上有12个10/100/1000BASE-T自适应以太网电口、12个1000BASE-X以太网光口、4个10GBASE-R以太网光口、1个USB接口和1个Console接口。具体结构如下图所示。
1: 10/100/1000BASE-T以太网电口 | 2: 1000BASE-X以太网光口 |
3: 10GBASE-R以太网光口 | 4: 配置口(CONSOLE) |
5: USB口(硬件预留,暂不支持) | 6: 设备指示灯 |
7: 接口板插槽 |
NSQ1G24XS60接口板安装在F5020/F5040的扩展插槽,能够协助设备进行接口及业务扩充。NSQ1G24XS60接口板提供12个10/100/1000Base-T以太网电口、12个1000Base-X 以太网光口和6个10GBase-R 以太网光口。
图1 NSQ1G24XS60接口板正视图
1: 10/100/1000BASE-T以太网电口(GE0~GE11) | 2: 1000BASE-X以太网光口(GE12~GE23) |
3: 10BASE-R以太网光口(XGE24~XGE29) | 4: 扳手 |
5: 松不脱螺丝 |
主要是设备内存容量不同。F5020支持16G内存。F5040是32GE内存。
可以使用命令display version查看系统当前运行的主机程序版本、各板卡重启原因和运行时间:
<system> display version
H3C Comware Software, Version 7.1.054, Ess 9305
Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved.
H3C SecPath F5020 uptime is 0 weeks, 0 days, 4 hours, 54 minutes
Boot image: cfa0:/blade3fw-cmw710-boot-.bin
Boot image version: 7.1.054, Ess 9305
Compiled Dec 03 2014 14:57:00, DEBUG SOFTWARE
System image: cfa0:/blade3fw-cmw710-system-E9305.bin
System image version: 7.1.054, Ess 9305
Compiled Dec 03 2014 14:57:00, DEBUG SOFTWARE
Feature image(s) list:
cfa0:/blade3fw-cmw710-devkit-E9305.bin, version: 7.1.054
Compiled Dec 03 2014 14:57:00, DEBUG SOFTWARE
SLOT 1
CPU type: Multi-core CPU
16382M bytes DDR3 SDRAM Memory
247M bytes CF0 Card
Board PCB Version:Ver.A
CF SubCard PCB Version:Ver.A
CPLD_A Version: 1.0
CPLD_B Version: 2.0
Basic BootWare Version: 2.04
Extend BootWare Version: 2.04
[SUBCARD 1] NSQ1G24XS60(Hardware)Ver.A, (Driver)1.0, (Cpld)1.0
必须用""把所带空格的命令括起来。如:display current-configuration | include "traffic behavior",如果不加"",则命令行会认为第一个空格后的输入为非法输入。
静态NAT444公网地址不支持ARP响应,如果NAT地址池和出接口地址在同一网段,需要在对端设备加一条路由,目的地址为NAT转换之后的地址,下一跳为出接口地址或者将地址池地址配置接口的sub地址。
NAT server 配置global地址为Loopback口地址时,需要在设备的上一跳加一条正向路由,这条路由的目的地址为Loopback口地址,下一跳为设备入接口地址。
(1) 区分协议
(2) 区分原始接口
对于TCP/UDP,如果原始接口在1~1023,转换后也是在1~1023。
如果原始接口大于1024,就是从1024开始分配 。
当前识别的icmp-err的组合有下面这些: ()中为ICMP报文的类型,[]中为ICMP的代码范围。
type code
ICMP_UNREACH(3) [0, 12]
ICMP_SOURCEQUENCH(4) [0, 0]
ICMP_REDIRECT(5) [0, 3]
ICMP_TIMXCEED(11) [0, 1]
ICMP_PARAMPROB(12) [0, 1]
目前,系统默认支持5个安全域。如下:Trust、Untrust、DMZ、Local、Any域。
主要有如下差异:
(1) Comware V7的版本,创建安全域时,无域ID的概念。
(2) Comware V7的版本,安全域没有优先级、共享等属性。
(3) 同一安全域之间,默认策略是deny的。
管理口默认不在任何安全域,需要加入安全域,并配置该域到Local域的域间策略。
主要包括主机地址类型、域名地址类型、网段类型地址、范围类型地址。一个地址组对象可以包含多种地址类型。地址组对象可以嵌套,即一个地址组对象可以包含另外一个地址组对象。
当一个对象策略中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的匹配顺序与规则的创建顺序有关,先创建的规则优先进行匹配。对象策略规则的显示顺序与匹配顺序一致,即按照域间实例视图下通过display this命令显示的顺序,从上到下依次匹配。同时,对象策略支持通过命令移动规则位置来调整规则的匹配顺序。
对象策略有2种类型:IPv4地址对象策略、IPv6地址对象策略。
入接口的vpn instance。
默认是deny的。
包括2种方式:对象组策略和包过滤策略,建议根据实际组网情况独立使用。
优先匹配object-policy,而不是packet-filter。
支持5层深度的引用。
NAT server是在域间策略前作转换,域间策略匹配nat server转换后的IP;
NAT outbound是在域间策略后进行转换,域间策略匹配nat outbund转换前的IP。
对隧道流量,需要配置两条策略。在解封装方向,需要配置如下两条策略:
(1) 物理入接口所在安全域到Local域之间的域间策略;
(2) Tunnel或者VT所在安全域到物理出接口所在安全域之间的域间策略。
加封装方向需要配置如下两条策略:
(1) 物理入接口所在安全域到Tunnel或者VT口所在安全域之间的域间策略 ;
(2) Local域到物理出接口所在安全域之间的域间策略。
ACL的规则里面不需要带vpn-instance配置。
usage命令是PKI提供一个指定证书扩展用途的命令,证书中携带的扩展用途与CA服务器的策略相关,申请到的证书中的扩展用途可能与此处指定的不完全一致,最终以CA服务器的实际情况为准。