登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath 安全产品 用户FAQ(V7)-6W101

目录

29-设备转发FAQ

本章节下载 29-设备转发FAQ  (151.05 KB)

29-设备转发FAQ

1 设备转发FAQ

1.1  M9000系列设备的业务报文处理流程是什么?

处理流程为:业务报文首先到接口板,然后到达网板,然后从网板到达业务板,业务板进行安全处理后,再送到网板,最后从接口板发送出去。

1.2  系统缺省安全域有哪些?

缺省情况下,系统包含5个安全域:Trust、Untrust、DMZ、Local和Management域。

1.3  安全域特性方面,和V5版本相比有哪些差异?

V7版本中:

·     创建安全域时,无域ID的概念。

·     安全域没有优先级、共享等属性。

·     同一安全域之间,默认策略是deny的。

1.4  管理口默认在安全域中吗?

管理口默认应该在Management域。

1.5  安全域之间,默认域间策略是怎么样的?

默认是deny的。

1.6  域间策略有哪种方式?

包括3种方式:安全策略、对象策略和包过滤策略,建议根据实际组网情况选择使用。

1.7  有时明明匹配时间段和地址组了,为何显示为未匹配?

可能的原因是:存在VPN实例。如果入接口存在VPN实例的,则必须指定VRF,否则无法匹配。

1.8  如果包过滤和对象策略两者在域间策略中同时存在时,优先匹配哪一个?

优先匹配对象策略,而不是包过滤。

1.9  对象组支持引用对象组,那么当对象组多级引用对象组时,深度上,最深支持几层引用?

支持5层深度的引用。

1.10  域间策略和NAT操作的顺序是怎样的?

NAT server是在域间策略前作转换,域间策略匹配NAT server转换后的IP。

NAT outbound是在域间策略后进行转换,域间策略匹配NAT outbund转换前的IP。

1.11  链路聚合时流量如何分担?

缺省情况下,设备按照源MAC地址、目的MAC地址、源IP地址和目的IP地址进行聚合负载分担。通过全局配置link-aggregation global load-sharing mode命令,可以改变聚合负载分担模式。

采用不同的聚合负载分担类型可以实现灵活地对聚合组内流量进行负载分担。聚合负载分担的类型可以归为以下几类:

·     逐流负载分担:按照报文的源/目的MAC地址、源/目的服务端口、入端口、源/目的IP地址、IP协议类型或MPLS标签中的一种或某几种的组合区分流,使属于同一数据流的报文从同一条成员链路上通过。

·     按照报文类型(如二层、IPv4、IPv6、MPLS等)自动选择所采用的聚合负载分担类型。

·     逐包负载分担:不区分数据流,而是以报文为单位,将流量分担到不同的成员链路上进行传输。

1.12  相同五元组的流来回走两次设备,如果转发失败,该如何处理?

缺省情况下,系统不关心报文入接口。五元组相同、入接口不同的流量建立的是相同的快转表项,从而导致转发失败。

[Device] display ip fast-forwarding cache

Total number of fast-forwarding entries: 1

SIP SPort DIP Dport Pro Input_If Output_If Flg

198.1.1.2 1024 197.1.20.1 2048 Tun2 RAGG3 1

当配置命令undo ip fast-forwarding load-sharing后,系统关心报文入接口。五元组相同,入接口不同的流量会建立新的快转表项。

[Device] display ip fast-forwardingcache

Total number of fast-forwarding entries: 2

SIP Sport DIP Dport Pro Input_If Output_If Flg

198.1.1.2 1024 197.1.20.1 2048 1 RAGG4 RAGG2 1

198.1.1.2 1024 197.1.20.1 2048 1 Tun2 RAGG3 1

IPSec

1.13  打应用层流量时,配置的应用的老化时间为何不生效?

使用display session aging-time application命令显示应用层协议老化时间,是该应用会话建立稳态时的老化时间,否则使用对应的4层协议的老化时间。所有协议在未建立稳态的时候都使用4层协议的老化时间。

1.14  ASPF ICMP差错报文检测能够识别哪些ICMP差错报文?

当前识别的icmp-err的组合有下面这些:()中为ICMP报文的类型,[]中为ICMP的代码范围。

   type                          code

   ICMP_UNREACH(3)               [0, 12]

   ICMP_SOURCEQUENCH(4)          [0, 0]

   ICMP_REDIRECT(5)              [0, 3]

   ICMP_TIMXCEED(11)             [0, 1]

   ICMP_PARAMPROB(12)            [0, 1]

1.15  为什么会话的收发包统计不正确?

目前为了提高设备的性能,缺省情况下,会话不统计报文数。

如果需要统计报文数,请在系统视图下配置命令:session statistic enable

1.16  IPv4、IPv6报文是不是都可以建立会话?

是的,都可以建立会话。

1.17  IPv4地址组对象包含哪些地址类型?

主要包括主机地址类型、域名地址类型、网段地址类型、范围地址类型。一个地址组对象可以包含多种地址类型。地址组对象可以嵌套,即一个地址组对象可以包含另外一个地址组对象。

1.18  对象策略的规则匹配顺序是什么?

当一个对象策略中包含多条规则时,报文会按照一定的顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。对象策略规则的匹配顺序与规则的创建顺序有关,先创建的规则优先进行匹配。对象策略规则的显示顺序与匹配顺序一致,即按照域间实例视图下通过display this命令显示的顺序,从上到下依次匹配。同时,对象策略支持通过命令移动规则位置来调整规则的匹配顺序。

1.19  对象策略的类型是什么?

对象策略有2种类型:IPv4地址对象策略、IPv6地址对象策略。

1.20  对象策略中,VRF参数所指vpn-instance指的是入接口还是出接口的vpn-instance?

入接口的vpn-instance。

1.21  对象策略目前的筛选包括哪些特征?

包括特征有:源地址组、目的地址组、服务组、vrf、时间段。

其中,服务组指的是区分四层的承载协议,根据IP头中的协议号来识别。vrf指的是vpn-instance。

1.22  对象策略中的rule的匹配顺序是怎么样的?

根据先上后下的顺序,而不是ID号,例如,存在rule 0 与rule 1都可以匹配,那么rule 0在上方就先匹配rule 0,如果rule 1在上方就先匹配rule 1。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们