• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

00-配置指导导读

手册下载

00-配置指导导读-整本手册_CHM.zip  (12.71 MB)

00-配置指导导读-整本手册.pdf  (23.06 MB)

  • 发布时间:2023/8/29 9:37:19
  • 浏览量:
  • 下载量:

1 配置指导导读

H3C防火墙产品配置指导介绍了防火墙系列产品各软件特性的原理及其配置方法,包含原理简介、配置任务描述和配置举例。

1.1  适用款型

防火墙产品款型较多,形态丰富,本手册所描述的内容适用于如下产品款型:

表1-1 手册适用的产品款型

系列

款型

形态

H3C SecPath F1000-X-G2系列防火墙

F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2

集中式IRF设备

H3C SecPath F100-X-G2系列防火墙

F100-E-G2/F100-A-G2/F100-M-G2/F100-S-G2/F100-C-G2

H3C SecPath F100-X-EI系列防火墙

F100-C-EI/F100-E-EI/F100-A-EI

 

具体的产品介绍请参见“1.4  产品简介”。

1.2  对应软件版本

表1-2 对应软件版本

系列

款型

对应软件版本

H3C SecPath F1000-X-G2系列防火墙

F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2

R9313

H3C SecPath F100-X-G2系列防火墙

F100-E-G2/F100-A-G2/F100-M-G2/F100-S-G2/F100-C-G2

·         F100-E-G2/F100-A-G2R9313

·         F100-M-G2/F100-S-G2/F100-C-G2E9504

H3C SecPath F100-X-EI系列防火墙

F100-C-EI/F100-E-EI/F100-A-EI

·         F100-C-EIE9504

·         F100-E-EI/F100-A-EIR9313

 

1.3  内容简介

本节以列表的形式介绍了安全产品支持的特性,不同产品款型之间对于这些特性的支持情况有所差异,具体支持情况请参见相关的模块资料。本手册的内容如下:

表1-3 手册内容简介

手册名称

内容简介

基础配置指导

介绍了如何使用命令行接口、如何登录设备,以及设备管理、自动配置等功能的配置。包括如下内容:

·         CLI配置

·         RBAC配置

·         登录设备配置

·         FTPTFTP配置

·         文件系统管理

·         配置文件管理

·         软件升级配置

·         ISSU配置

·         设备管理配置

·         安全域配置

·         Tcl配置

·         Python配置

·         License管理配置

虚拟化技术配置指导

介绍了如何配置虚拟化技术,包括如下内容:

·         IRF配置

·         Context配置

安全配置指导

介绍了多种安全业务特性及其配置方法,主要包括:身份认证(AAAPKI等)、接入安全(Portal认证等)、安全管理(SSH等),以及攻击防御技术(攻击检测与防范、ARP攻击防御、URPF等),包括如下内容:

·         AAA配置

·         Portal配置

·         Password Control配置

·         公钥管理配置

·         PKI配置

·         IPsec配置

·         SSH配置

·         SSL配置

·         SSL VPN配置

·         ASPF配置

·         APR配置

·         会话管理配置

·         连接数限制配置

·         对象组配置

·         对象策略配置

·         攻击检测与防范配置

·         ND攻击防御配置

·         uRPF配置

·         加密引擎配置

DPI深度安全配置指导

介绍了DPI深度安全的特性,包括以下内容:

·         应用层检测引擎配置

·         IPS配置

·         URL过滤配置

·         数据过滤配置

·         文件过滤配置

·         防病毒配置

带宽管理配置指导

介绍了如何配置带宽,包括以下内容:

·         带宽管理配置

接口管理配置指导

介绍了以太网接口、Loopback接口和Null接口等内容。包括如下内容:

·         接口批量配置

·         以太网接口配置

·         LoopBack接口、Null接口和InLoopBack接口配置

二层技术-以太网交换配置指导

介绍如何配置以太网交换相关内容,包括如下内容:

·         MAC地址表配置

·         以太网链路聚合配置

·         生成树配置

·         VLAN配置

·         VLAN终结配置

·         LLDP配置

·         二层转发配置

二层技术-广域网接入配置指导

介绍广域网接入的相关内容,包括如下内容:

·         PPP配置

·         L2TP配置

三层技术-IP业务配置指导

介绍了如何手工配置IPv4/IPv6地址,如何动态获取IP地址,如何调整IP的参数使网络性能达到最佳,如何将IPv4/IPv6地址解析为以太网MAC地址,以及如何实现IPv4网络和IPv6网络间的互通等内容,包括如下内容:

·         ARP配置ARP、代理ARP

·         IP地址配置

·         DHCP配置

·         域名解析配置

·         NAT配置

·         IP转发基础配置

·         快速转发配置

·         流分类配置

·         邻接表配置

·         IP性能优化配置

·         IPv6基础配置

·         DHCPv6配置

·         IPv6快速转发配置

·         AFT配置

·         隧道配置

·         GRE配置

三层技术-IP路由配置指导

介绍了构建不同规模的网络所需要的路由信息学习及控制技术。包括:IPv4IPv6网络的各种路由学习技术,影响路由选择或者路由表生成的策略,包括如下内容:

·         IP路由基础配置

·         静态路由配置

·         RIP配置

·         OSPF配置

·         IS-IS配置

·         BGP配置

·         策略路由配置

·         IPv6静态路由配置

·         RIPng配置

·         OSPFv3配置

·         IPv6 IS-IS配置

·         IPv6策略路由配置

·         路由策略配置

ACLQoS配置指导

介绍了ACLQoS配置方法。通过ACL或其他匹配规则,您可以对网络中的流量进行分类,以实现多种基于数据类型的流量控制功能,合理分配有限的网络资源,提高网络使用效率:

·         ACL配置

·         时间段配置

·         QoS配置

可靠性配置指导

从故障检测和快速保护倒换两个方向介绍了H3C提供的多种可靠性技术。故障检测技术侧重于网络的故障检测和诊断,保护倒换技术侧重于网络的故障恢复,包括如下内容:

·         VRRP配置

·         冗余备份配置

·         BFD配置

·         Track配置

·         进程分布优化配置

·         负载均衡配置

网络管理和监控配置指导

介绍了如何对网络进行管理,以及如何查看系统信息、对网络流量进行统计、对报文进行采样、对网络质量进行分析,并且使用pingtracertdebug等命令来检查、调试当前网络的连接情况,包括如下内容:

·         系统维护与调试配置

·         NQA配置

·         NTP配置

·         SNMP配置

·         RMON配置

·         NETCONF配置

·         EAA配置

·         进程监控和维护配置

·         信息中心配置

·         Flow日志配置

·         Event MIB配置

MCE配置指导

介绍了设备作为MCEMulti-VPN-Instance CE,多VPN实例CE时的一些基本配置和典型应用

缩略语

列举了防火墙系列配置指导中用到的缩略语

 

1.4  产品简介

1.4.1  F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2

1. 产品介绍

(1)       简介

H3C SecPath F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2防火墙(以下简称为F1000-X-G2系列)是面向行业市场的高性能千兆\准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。其中F1000-S-G2/F1000-C-G2提供16个千兆电口及8个千兆光口,F1000-E-G2/F1000-A-G2提供16个千兆电口及8个千兆光口以及2SFP+万兆光口(可以自适应到千兆SFP)。为增加产品可靠性,F1000-X-G2系列可以通过扩展操作支持PFC功能模块。同时作为NGFW产品,丰富的审计功能是必不可少的,所以F1000-X-G2系列可以扩展大容量硬盘,同时增加硬盘后还可以有效支持web缓存等应用加速功能。

在安全功能方面,F1000-X-G2系列作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

(2)       产品外观

说明

F1000-X-G2系列的外观类似,下面仅以F1000-E-G2为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。

 

设备面板有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、210GBASE-R/1000BASE-X以太网光口、2USB接口和1Console接口以及2个硬盘扩展插槽。具体结构如下图所示。

图1-1 设备前视图(F1000-E-G2

1: 10/100/1000BASE-T以太网电口

2: 1000BASE-X以太网光口

3: 10GBASE-R/1000BASE-X以太网光口

4: 配置口(CONSOLE

5: USB口(仅支持供电)

6: 设备指示灯

7: 硬盘扩展插槽

 

图1-2 设备后视图(F1000-E-G2

 

1: 电源模块插槽1

2: 电源模块插槽2

3: 接口板插槽

4: 接地螺钉

 

2. 典型应用

F1000-X-G2系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

图1-3 出口安全防护

 

1.4.2  F100-E-G2/F100-A-G2/F100-M-G2/F100-S-G2/F100-C-G2

1. 产品介绍

(1)       简介

H3C SecPath F100-E-G2/F100-A-G2/F100-M-G2/F100-S-G2/F100-C-G2防火墙(以下简称为F100-X-G2系列)是面向行业市场的高性能千兆\准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。其中F100-M-G2/F100-S-G2/F100-C-G2提供8个千兆电口、2Combo口及2Bypass口,F100-E-G2/F100-A-G2提供16个千兆电口及8个千兆光口。为增加产品可靠性,F100-X-G2系列可以通过扩展操作支持PFC功能模块。同时作为NGFW产品,丰富的审计功能是必不可少的,所以F100-X-G2系列可以扩展大容量硬盘,同时增加硬盘后还可以有效支持Web缓存等应用加速功能。

在安全功能方面,F100-X-G2系列作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

(2)       产品外观

说明

F100-X-G2系列的外观类似,下面仅以F100-E-G2为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。

 

设备面板有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、2USB接口和1Console接口以及1个硬盘扩展插槽。具体结构如下图所示。

图1-4 设备前视图(F100-E-G2

1: 硬盘扩展插槽

2: 设备指示灯

3: 10/100/1000BASE-T以太网电口

4: 1000BASE-X以太网光口

5: 配置口(CONSOLE

6: USB口(仅支持供电

 

图1-5 设备后视图(F100-E-G2

 

1: 交流电源插槽0

2: 交流电源插槽1

3: 接口模块插槽

4: 接地螺钉

 

2. 典型应用

F100-X-G2系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

图1-6 出口安全防护

 

1.4.3  F100-E-EI/F100-A-EI/F100-C-EI

1. 产品介绍

(1)       简介

H3C SecPath F100-E-EI/F100-A-EI/F100-C-EI防火墙(以下简称为F100-X-EI系列)是面向行业市场的高性能千兆\准万兆防火墙VPN集成网关产品,硬件上基于多核处理器架构,为1U的独立盒式防火墙。其中F100-C-EI提供8个千兆电口、2Combo口及2Bypass口,F100-E-EI/F100-A-EI提供16个千兆电口及8个千兆光口。为增加产品可靠性,F100-X-EI系列可以通过扩展操作支持PFC功能模块。同时作为NGFW产品,丰富的审计功能是必不可少的,所以F100-X-EI系列可以扩展大容量硬盘,同时增加硬盘后还可以有效支持Web缓存等应用加速功能。

在安全功能方面,F100-X-EI系列作为一款NGFW产品,除支持安全控制、VPNNATDOS/DDOS防御等防火墙安全功能外,还一体化地集成了IPSAV、应用控制、DLPURL分类及自定义过滤等深度安全防御的功能,实现了基于用户、应用、时间、地理位置、安全状态等多维度的策略控制功能。

在虚拟化和可靠性方面,基于H3C领先的ComwareV7平台,支持多设备集群及1:N虚拟化。更好地适应云计算的要求的弹性扩展能力。

(2)       产品外观

说明

F100-X-EI系列的外观类似,下面仅以F100-E-EI为例进行说明,设备实际支持的硬盘数量、扩展槽位数量以及接口数量等,与设备的型号有关,请以设备实际情况为准。

 

设备面板有1610/100/1000BASE-T自适应以太网电口、81000BASE-X以太网光口、2USB接口和1Console接口以及1个硬盘扩展插槽。具体结构如下图所示。

图1-7 设备前视图(F100-E-EI

1: 硬盘扩展插槽

2: 设备指示灯

3: 10/100/1000BASE-T以太网电口

4: 1000BASE-X以太网光口

5: 配置口(CONSOLE

6: USB口(仅支持供电

 

图1-8 设备后视图(F100-E-EI

 

1: 交流电源插槽0

2: 交流电源插槽1

3: 接口模块插槽

4: 接地螺钉

 

2. 典型应用

F100-X-EI系列防火墙部署在广域网出口及Internet出口提供对外访问的安全控制及NAT,同时通过防火墙的攻击防范及深度安全防御功能保护DMZ区的服务器。

图1-9 出口安全防护

 

 


2 槽位和接口编号

2.1  F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2

2.1.1  槽位编号

1. 定义

F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G21个固定槽位,编号为0,代表主控板所在槽位。

2. 举例

·            第一种情况:

<Sysname> display device                                                              

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver    Patch Ver 

1         0        NSQ1MPBLA     Normal        0          1.0        None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0

·            第二种情况:

<Sysname> display device slot 1 subslot 0

Slot.No   Cpu.Id   Brd Type       Brd Status    Subslot    Sft Ver     Patch Ver  

1         0        Fixed SubCard  on RPUNormal  0          1.0         None  

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表槽位编号为0的主控板,主控板为固定类型的子卡,运行状态正常。

2.1.2  接口编号

1. 定义

F1000-X-G2系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

 F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y表示槽位号,即主控板在设备上的槽位,主控板固定取值为0

·            Z表示接口序号,即接口在主控板上的编号,从0开始编号

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:                            

Link: ADM - administratively down; Stby - standby                              

Protocol: (s) - spoofing                                                       

Interface            Link Protocol Main IP         Description                 

GE1/0/0              UP   UP       192.168.100.82                              

GE1/0/1              DOWN DOWN     --                                          

GE1/0/2              DOWN DOWN     --                                          

2.2  F100-E-G2/F100-A-G2/F100-M-G2/F100-S-G2/F100-C-G2

2.2.1  槽位编号

1. 定义

F100-M-G2/F100-S-G2/F100-C-G2/F100-E-G2/F100-A-G21个固定槽位,编号为0,代表主控板所在槽位。

2. 举例

·            第一种情况:

<Sysname> display device                                                              

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver    Patch Ver 

1         0        NSQ1MPBLA     Normal        0          1.0        None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0

·            第二种情况:

<Sysname> display device slot 1 subslot 0

Slot.No   Cpu.Id   Brd Type       Brd Status    Subslot    Sft Ver     Patch Ver  

1         0        Fixed SubCard  on RPUNormal  0          1.0         None  

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表槽位编号为0的主控板,主控板为固定类型的子卡,运行状态正常。

2.2.2  接口编号

1. 定义

F100-X-G2系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

F100-M-G2/F100-S-G2/F100-C-G2/F100-E-G2/F100-A-G2缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0

·            Z:表示接口序号,即接口在主控板上的编号,从0开始编号。

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:                            

Link: ADM - administratively down; Stby - standby                              

Protocol: (s) - spoofing                                                        

Interface            Link Protocol Main IP         Description                 

GE1/0/0              UP   UP       192.168.100.82                              

GE1/0/1              DOWN DOWN     --                                           

GE1/0/2              DOWN DOWN     --                                          

2.3  F100-E-EI/F100-A-EI/F100-C-EI

2.3.1  槽位编号

1. 定义

F100-C-EI/F100-E-EI/F100-A-EI1个固定槽位,编号为0,代表主控板所在槽位。

2. 举例

·            第一种情况:

<Sysname> display device                                                              

Slot.No   Cpu.Id   Brd Type      Brd Status    Subslot    Sft Ver    Patch Ver 

1         0        NSQ1MPBLA     Normal        0          1.0        None

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表单板所在槽位号,设备仅支持主控板,不支持接口板,主控板固定槽位编号为0

·            第二种情况:

<Sysname> display device slot 1 subslot 0

Slot.No   Cpu.Id   Brd Type       Brd Status    Subslot    Sft Ver     Patch Ver  

1         0        Fixed SubCard  on RPUNormal  0          1.0         None  

上述显示信息中,Slot.No代表设备运行在IRF模式下时,成员设备的编号,Subslot代表槽位编号为0的主控板,主控板为固定类型的子卡,运行状态正常。

2.3.2  接口编号

1. 定义

F100-X-EI系列支持多种接口,包括Console接口、GigabitEthernet接口、Ten-GigabitEthernet接口、聚合接口、隧道接口、Virtual-Template接口以及VLAN接口等。

F100-C-EI/F100-E-EI/F100-A-EI缺省运行在IRF模式下,不支持切换到独立运行模式。GigabitEthernet接口、Ten-GigabitEthernet接口,接口采用“三维”编号方法——interface-type X/Y/Z

·            XIRF成员设备的编号。

·            Y:表示槽位号,即主控板在设备上的槽位编号,主控板固定取值为0

·            Z:表示接口序号,即接口在主控板上的编号,从0开始编号。

2. 举例

Sysname上执行display interface GigabitEthernet brief命令,查看GigabitEthernet类型的接口信息时,可以看到如下显示信息:

<Sysname> display interface GigabitEthernet brief

Brief information on interface(s) under route mode:                            

Link: ADM - administratively down; Stby - standby                              

Protocol: (s) - spoofing                                                        

Interface            Link Protocol Main IP         Description                 

GE1/0/0              UP   UP       192.168.100.82                              

GE1/0/1              DOWN DOWN     --                                           

GE1/0/2              DOWN DOWN     --                                          

 

新华三官网
联系我们