华为USG 5310基础配置分册带目录.docx

华为USG 5310基础配置分册华为USG 5310基础配置分册目录华为USG 5310基础配置分册1父主题： 安装与配置10配置指南 基础配置分册10快速入门10搭建配置环境12配置环境简介13通过Console口接入设备14通过Telnet方式接入设备15通过SSH方式接入设备19通过Web方式接入设备23命令行接口介绍24命令行接口简介25命令行接口概述25命令级别26命令视图27在线帮助37错误提示信息38历史命令39编辑功能39显示功能40正则表达式41快捷键简介43配置快捷键45配置系统参数46切换语言模式46配置设备名称47配置系统时间47配置登录提示信息47配置命令级别48锁定配置界面48查看系统信息49配置登录用户49登录用户简介50用户界面概述50用户管理概述52登录用户配置流程54配置用户界面属性54配置VTY用户界面的最大个数55配置用户登录失败次数55配置登录失败用户被加入黑名单的时间55配置异步接口属性56配置终端属性57配置消息传递57配置自动执行的命令58配置呼入呼出限制58配置登录验证方式59配置Password验证59配置AAA验证60配置不验证61配置本地用户名和密码验证61配置用户界面权限级别62配置切换用户权限级别的口令62切换用户权限级别63维护登录用户63查看用户界面信息64查看本地用户信息64查看在线用户信息64配置Password方式登录用户举例65配置License66License简介67激活License67检查License使用情况68调试License68管理设备配置69设备配置简介69设备配置方式69配置文件概述70文件系统概述70管理配置文件71保存当前配置71查看系统配置72导入导出配置文件72配置下次启动使用的配置文件73清除配置文件74比较当前配置与保存配置74查看启动时使用的文件信息75管理文件系统75管理目录75管理文件76执行批处理文件76管理存储设备77配置文件系统提示方式77配置下次启动时使用的系统软件78调试文件系统78配置文件系统举例79配置设备模式80工作模式简介80工作模式分类81路由模式81透明模式82混合模式82配置路由模式83配置透明模式84配置透明模式84配置透明模式的统一安全网关管理地址85配置对未知MAC地址的IP报文的处理方式85配置Trunk端口86检查配置结果86配置混合模式87配置透明模式举例87配置安全区域90安全区域简介91创建安全区域92将接口加入安全区域93检查配置结果94配置接口95接口简介95配置以太网接口97配置接口描述信息98启动/关闭接口99配置接口IP地址100配置接口MTU101配置接口速率101配置接口工作方式102配置接口报文保序功能102配置接口环回方式103创建以太网子接口103检查配置结果104调试以太网接口104配置以太网接口举例104配置Eth-Trunk接口108创建Eth-Trunk接口109创建Eth-Trunk子接口109配置Eth-Trunk接口IP地址110配置Eth-Trunk接口MAC地址110切换Eth-Trunk接口工作模式110配置影响Eth-Trunk状态的Up链路下限阈值111配置Eth-Trunk接口的负载分担方式111检查配置结果112配置Eth-Trunk接口举例112配置VLAN116VLAN简介117LAN互联存在的问题117VLAN概述118配置路由模式下的VLAN119配置透明模式下的VLAN120配置接口加入VLAN120配置Trunk端口121配置VLAN接口121检查配置结果122配置路由模式下的VLAN举例122配置ARP127ARP简介127动态ARP简介128静态ARP简介128配置动态ARP128配置ARP表项超时探测次数129配置ARP表项超时时间129启用USG5300组播MAC地址学习功能130检查配置结果130配置静态ARP131维护ARP132调试ARP132清除ARP表项133配置IP地址133IP地址简介134IP地址介绍134IP地址的特点137IP地址的分配方法137子网划分举例138IP地址与主机名和物理地址的关系138配置接口IP地址139配置接口通过协商获得IP地址140配置服务器端为客户端分配IP地址140配置客户端接口IP地址为可协商141检查配置结果142配置接口IP地址举例142配置静态路由143静态路由简介144静态路由144缺省路由145目的地址与掩码145出接口和下一跳地址145配置静态路由146配置缺省路由146查看路由表147配置静态路由举例147配置策略路由151策略路由简介152配置策略路由的匹配规则152配置策略路由的动作153应用策略路由153检查配置结果154配置策略路由举例154配置RIP157RIP简介157RIP的工作机制158RIP的版本159RIP的启动和运行过程160配置RIP基本功能160启用RIP功能161配置应用RIP的网段161配置接口的RIP工作状态162配置接口的RIP版本162检查配置结果162控制RIP路由信息163配置接口的附加度量值164配置RIP路由聚合164配置禁止RIP接收主机路由165配置缺省路由权165配置路由过滤166配置RIP协议优先级166配置RIP引入其他协议路由167检查配置结果167调整优化RIP网络168配置RIP定时器168配置水平分割169配置RIP报文的零域检查170配置RIP-2报文的认证方式170配置RIP邻居171检查配置结果171调试RIP172配置RIP举例172配置OSPF175OSPF简介175OSPF概述176OSPF的路由计算过程177OSPF基本概念177OSPF的区域类型179OSPF的协议报文181OSPF的LSA类型182配置OSPF基本功能183启用OSPF功能184配置应用OSPF的网段184检查配置结果185配置OSPF区域特性185配置OSPF的STUB区域186配置OSPF的NSSA区域187配置OSPF的虚连接187检查配置结果187配置OSPF网络类型188配置OSPF接口的网络类型188配置选举DR时的优先级189检查配置结果190控制OSPF路由信息191配置OSPF路由聚合191配置OSPF路由过滤192配置OSPF链路开销193配置OSPF协议优先级193配置OSPF引入外部路由194检查配置结果194调整优化OSPF网络195配置OSPF定时器196配置接口传送LSA的延迟时间196配置SPF计算间隔197配置禁止接口接收和发送OSPF报文197配置OSPF验证198配置DD报文中的MTU199配置OSPF的Opaque能力199配置OSPF网管功能199检查配置结果200维护OSPF201调试OSPF201重启OSPF进程202配置举例202配置OSPF多进程举例203配置OSPF的DR选举举例207配置OSPF虚连接举例212配置OSPF验证举例216配置OSPF单进程组网举例221配置BGP225BGP简介226BGP概述226BGP的消息类型227BGP的路由机制229MBGP230BGP基本概念230配置BGP基本功能233启用BGP功能233创建IBGP对等体组234创建纯EBGP对等体组234创建混合EBGP对等体组235激活对等体235配置BGP连接所使用的本地接口236配置EBGP连接的最大跳数236进入扩展地址族视图236检查配置结果237配置BGP路由属性238配置BGP路由优先级238配置本地优先级239配置本机的缺省MED值239比较来自不同AS的路由的MED值240配置在发布路由时将自身地址作为下一跳240配置发送BGP更新报文时不携带私有AS号241配置本地AS号的重复次数242配置把团体属性传给对等体组242检查配置结果243配置BGP路由过滤243配置BGP对全局路由信息进行过滤244对特定对等体的路由信息应用路由策略245按AS路径过滤特定对等体的路由信息245按ACL过滤特定对等体的路由信息246按地址前缀列表过滤特定对等体的路由信息246检查配置结果247控制路由信息的发布与接收247配置BGP发布本地路由248配置BGP引入其他协议路由249配置向对等体发送缺省路由249配置BGP路由自动聚合250配置BGP路由手动聚合250配置BGP路由衰减251检查配置结果251调整和优化BGP网络252配置BGP全局定时器253配置对等体的定时器254配置对等体发送路由更新报文的时间间隔254配置BGP的MD5认证255组建大型BGP网络255配置BGP负载分担256配置BGP路由反射器256配置BGP自治系统联盟256检查配置结果257维护BGP258调试BGP258清除BGP统计信息259配置举例260配置自治系统联盟属性举例260配置基于迭代的BGP负载分担举例266配置路由策略272路由策略简介273路由策略与策略路由273过滤器274路由策略的应用275配置过滤列表275配置地址前缀列表276配置AS路径访问列表276配置团体属性列表277检查配置结果277配置路由策略278创建路由策略278配置if-match子句279配置apply子句280应用路由策略281检查配置结果281路由策略配置举例282配置IP性能288优化IP性能288配置接口最大传输单元288配置TCP属性289检查配置结果290维护IP性能291调试IP性能291清除IP性能统计信息292配置对分片报文的处理293对分片报文的处理简介293配置分片缓存功能294配置分片报文直接转发功能294配置DNS295DNS简介295配置静态域名解析296配置DHCP296DHCP简介297DHCP服务297DHCP中继299配置基于全局地址池的DHCP服务器300启用DHCP服务301配置DHCP全局地址池301配置用于静态地址绑定的地址池302配置DHCP客户端的DNS参数303配置DHCP客户端的NetBIOS参数303配置DHCP客户端的出口网关304配置DHCP自定义选项305配置为客户端分配IP地址306检查配置结果307配置基于接口地址池的DHCP服务器307启用DHCP服务308配置接口地址池308配置接口地址池的DNS参数309配置接口地址池的NetBIOS参数310配置接口地址池的DHCP自定义选项311检查配置结果312配置基于多个子接口地址池的DHCP服务器312启用DHCP服务313配置子接口的地址池314配置多个子接口地址池的DNS参数315配置多个子接口地址池的NetBIOS参数316配置多个子接口地址池的DHCP自定义选项317检查配置结果318配置DHCP服务的安全功能319启用伪DHCP服务器检测功能319启用防止IP地址重复分配功能320检查配置结果321配置DHCP中继321启用DHCP服务322配置接口的IP中继地址322配置中继采用轮询方式或广播方式323配置通过中继为接口分配IP地址323请求DHCP服务器释放客户端的IP地址323检查配置结果324维护DHCP324调试DHCP325复位DHCP绑定信息325释放DHCP的冲突地址326清除DHCP统计信息327配置举例327配置基于全局地址池的DHCP服务器举例328配置基于接口地址池的DHCP服务器举例331配置DHCP中继举例334父主题： 安装与配置华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司配置指南 基础配置分册读者对象本文档介绍了USG5300的基础配置，包括快速入门、搭建配置环境、命令行接口介绍、系统参数配置、登录用户配置、配置License、管理设备配置、配置设备模式、配置安全区域、配置接口、配置VLAN、配置ARP、配置IP地址、配置静态路由、配置策略路由、配置RIP、配置OSPF、配置BGP、配置路由策略、配置IP性能、配置对分片报文的处理、配置DNS、配置DHCP。本文档提供了USG5300基础配置的配置方法和配置举例。本文档主要适用于以下工程师： 安装调测工程师 数据配置工程师 系统维护工程师父主题： 配置-命令行方式华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司快速入门介绍配置指南的阅读指引及完成设备配置的基本过程，指导您快速掌握设备的配置。阅读指引USG5300的配置分为以下几个分册进行介绍： 基础配置介绍使设备达到基本可用的配置操作。包括搭建配置环境、配置工作模式，以及接口、路由等使USG5300与其他网络设备互联互通的配置。 可靠性USG5300提供双机热备功能，两台设备的状态信息、配置命令可以进行备份，避免单点故障带来的损失。双机热备的配置在配置各类安全特性之前，部署网络时进行。 防火墙介绍USG5300防火墙功能的配置过程，包括包过滤、NAT、攻击防范和流量监控等。 VPN介绍USG5300 VPN功能的配置过程，包括L2TP、GRE和IPSec。 系统管理介绍USG5300日志、FTP服务、维护和调试等系统维护操作。各分册之间的关系如图1所示。图1 配置指南各分册之间的关系 基本配置过程说明： 以下只给出使USG5300完成基本安全功能的配置过程，其他功能的配置请参见对应功能的配置。USG5300在路由模式下的基本配置过程如表1所示。表1 路由模式USG5300的基本配置过程序号任务说明1通过Console口接入设备直接通过Console口接入设备进入命令行配置界面。2配置工作模式系统默认是路由模式，如果是初始配置可跳过此步。3配置以太网接口配置以太网接口IP地址及相关属性。4配置安全区域根据实际组网将接口加入安全区域，加入安全区域后才能触发安全策略的检查。5配置静态路由包括静态路由及默认路由的配置，同时USG5300也支持动态路由，具体可以参见RIP、OSPF、BGP的配置。6配置包过滤用于控制两个不同安全级别网络之间的数据流动，根据设置的规则转发或拒绝报文。7配置基本安全策略包括MAC和IP地址绑定、黑名单、会话表等基本的安全策略的配置过程，根据实际情况选择配置。8配置NAT当组网中涉及私网、公网地址转换时需要配置NAT。9配置攻击防范配置USG5300对DDoS、扫描类等网络攻击的防范功能。透明模式USG5300的基本配置过程如表2所示。表2 透明模式USG5300的基本配置过程序号任务说明1通过Console口接入设备直接通过Console口接入设备进入命令行接口。2配置工作模式为透明模式透明模式的USG5300相当于工作在二层，无IP地址。3配置安全区域根据实际组网将接口加入安全区域，加入安全区域后才能触发安全策略的检查。4配置VLAN配置接口允许通过的VLAN，与其他设备对接。5配置包过滤用于控制两个不同安全级别网络之间的数据流动，根据设置的规则转发或拒绝报文。6配置基本安全策略包括MAC和IP地址绑定、黑名单、会话表等基本的安全策略的配置过程，根据实际情况选择配置。7配置攻击防范配置USG5300对DDoS、扫描类等网络攻击的防范功能。混合模式主要用于双机热备，心跳口工作在三层，其他与外界网络相连的接口工作在二层，也就是实现了透明模式下的双机热备功能。父主题： 配置指南 基础配置分册华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司搭建配置环境为了配置、监控和维护USG5300，需要搭建配置环境。建立配置终端（通常是PC机）与USG5300之间的连接后，用户便可以在配置终端上对USG5300下发操作指令。 配置环境简介用户可以通过Console口直接登录USG5300进行配置，也可以通过Telnet、SSH和Web方式登录进行配置。 通过Console口接入设备通过Console接口对USG5300进行本地配置是一种可靠的配置维护方式。当USG5300初次上电、与外部网络连接中断或出现其他异常情况时，可以采用这种方式配置USG5300。 通过Telnet方式接入设备网络管理员可以通过Telnet方式登录到USG5300进行配置。 通过SSH方式接入设备通过SSH方式接入USG5300进行配置能更好地保证数据信息交换的安全。 通过Web方式接入设备采用Web方式对USG5300进行配置前需要先进行此配置。 父主题： 配置指南 基础配置分册华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司配置环境简介用户可以通过Console口直接登录USG5300进行配置，也可以通过Telnet、SSH和Web方式登录进行配置。表1 配置环境简介网络环境连接图说明通过Console口搭建配置环境适用于配置终端可以直接连接USG5300的情况下，以Console用户登录USG5300。具体请参见“通过Console口接入设备”。通过局域网搭建Telnet或SSH配置环境适用于配置终端PC和USG5300以太网口的IP地址在同一网段，通过Telnet、SSH方式登录USG5300。具体请参见“通过Telnet方式接入设备”和“通过SSH方式接入设备”。通过广域网搭建Telnet或SSH配置环境适用于配置终端PC和USG5300之间有可达路由，通过Telnet、SSH方式登录USG5300。具体请参见“通过Telnet方式接入设备”和“通过SSH方式接入设备”。通过局域网搭建Web配置环境适用于配置终端PC通过Web方式登录USG5300。具体请参见“通过Web方式接入设备”。父主题： 搭建配置环境华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司通过Console口接入设备通过Console接口对USG5300进行本地配置是一种可靠的配置维护方式。当USG5300初次上电、与外部网络连接中断或出现其他异常情况时，可以采用这种方式配置USG5300。组网需求将PC的串口通过标准RS-232电缆与USG5300的Console接口连接，如图1所示。图1 通过Console口搭建本地配置环境 操作步骤1. 在PC上运行终端仿真程序（如Windows 2000的HyperTerminal超级终端），建立新连接，如图2所示。 图2 新建连接 2. 单击“确定”。 3. 选择实际连接时使用的微机上的RS-232串口，如图3所示。 图3 选择实际连接使用的微机串口 4. 单击“确定”。 5. 配置终端通信参数如图4所示。 图4 端口通信参数配置 6. 单击“确定”。 7. 在超级终端界面，选择“文件 属性”菜单项，进入“COMM1属性”对话框，选择“设置”页签，设置终端仿真类型为VT100。如图5所示。 图5 选择终端仿真类型 8. 单击“确定”。 完成超级终端的配置。USG5300上电自检，系统自动进行配置，自检结束后提示用户键入回车，输入默认用户名“admin”和密码“Admin123”，直到出现命令行提示符。此时可以键入命令，查看USG5300运行状态。对USG5300进行配置，需要帮助时键入“?”，关于具体的操作请参见后续各章节。说明： 关于修改用户名/密码的相关配置请参见“配置登录用户”中的描述。父主题： 搭建配置环境华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司通过Telnet方式接入设备网络管理员可以通过Telnet方式登录到USG5300进行配置。前提条件配置终端PC与USG5300之间路由可达。组网需求如果建立本地配置环境，需要将远端作为Telnet Client的PC和USG5300通过局域网连接。如图1所示。图1 通过局域网搭建Telnet配置环境 如果建立远程配置环境，需要将远端作为Telnet Client的PC和USG5300通过广域网连接，如图2所示。图2 通过广域网搭建Telnet配置环境 操作步骤1. 通过USG5300的Console接口搭建配置环境。具体方法请参见“通过Console口接入设备”。 2. 通过Console接口配置IP地址、Telnet登录用户名、口令、本地AAA认证以及Telnet登录认证。 # 进入系统视图。 system-view# 配置IP地址。USG5300 interface GigabitEthernet 0/0/0USG5300-GigabitEthernet0/0/0 ip address 说明： 如果USG5300工作在透明模式下，则不能配置接口的IP地址，只能配置管理IP地址，并从配置终端PC以Telnet方式登录此IP地址。配置USG5300管理IP地址的内容请参见“配置透明模式的统一安全网关管理地址”。USG5300-GigabitEthernet0/0/0 quit# 进入AAA视图。USG5300 aaa# 配置本地用户的用户名和密码。USG5300-aaa local-user telnetuser password simple telnetpwd123# 配置本地用户的类型。USG5300-aaa local-user telnetuser service-type telnet# 配置本地用户的等级。USG5300-aaa local-user telnetuser level 3# 退回系统视图。USG5300-aaa quit# 进入VTY 0-4用户接口视图。USG5300 user-interface vty 0 4# 配置对用户的认证方式为AAA。USG5300-ui-vty0-4 authentication-mode aaa# 退回系统视图。USG5300-ui-vty0-4 quit3. 通过Console接口配置静态路由。 说明： 图2中，USG5300上需要配置静态路由。假设GigabitEthernet 0/0/0的下一跳IP地址为/24USG5300 ip route-static 24 4. 将GigabitEthernet 0/0/0接口加入Trust区域。 5. USG5300 firewall zone trust6. USG5300-zone-trust add interface GigabitEthernet 0/0/0USG5300-zone-trust quit7. 通过Console接口配置域间包过滤。 说明： 本步骤配置以局域网环境为例。如果是广域网环境，将IP地址替换为即可。# 配置ACL规则。USG5300 acl number 3101USG5300-acl-adv-3101 rule permit ip source 0 destination 0USG5300-acl-adv-3101 quitUSG5300 acl number 3102USG5300-acl-adv-3102 rule permit ip source 0 destination 0USG5300-acl-adv-3102 quit# 将ACL规则应用在Trust和Local区域之间。USG5300 firewall interzone trust localUSG5300-interzone-local-trust packet-filter 3101 outboundUSG5300-interzone-local-trust packet-filter 3102 inbound8. 在配置终端PC上配置静态路由。 图2中，配置终端PC上需要配置静态路由。假设PC的下一跳IP地址为/24，则需要在PC上配置：route add mask 。9. 在配置终端PC上运行Telnet程序，键入USG5300的接口GigabitEthernet 0/0/0的IP地址，建立连接。如图3所示。 图3 运行Telnet程序 10. Telnet界面上显示如下信息，输入用户名telnetuser，口令telnetpwd123，然后出现命令行提示符。 11. Login authentication12. Username:telnetuser13. Password:*14. Note：The max number of VTY users is 5,and the current number of VTY users on line is 1.15. NOTICE:This is a private communication system. 16. Unauthorized access or use may lead to prosecution.此时可以键入命令，查看USG5300运行状态，对USG5300进行配置，需要帮助时键入“?”，关于具体的操作请参见后续各章节。说明： 通过Telnet方式配置USG5300时，请不要改变USG5300上Telnet连接的IP地址，否则Telnet连接将断开。父主题： 搭建配置环境华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司通过SSH方式接入设备通过SSH方式接入USG5300进行配置能更好地保证数据信息交换的安全。组网需求配置终端PC与USG5300建立连接，终端上运行支持SSH1.5的客户端软件，更大限度的保证数据信息交换的安全。在USG5300上配置用户client001采用密码验证，client002采用RSA验证，使这两个用户能在终端上使用支持SSH1.5的客户端软件登录到USG5300。组网图如图1和图2所示。图1 通过局域网搭建SSH登录环境 图2 通过广域网搭建SSH登录环境 操作步骤1. 通过USG5300的Console接口搭建配置环境。具体方法请参见“通过Console口接入设备”。 2. 配置接口IP地址。 # 进入系统视图。 system-view# 进入GigabitEthernet 0/0/0视图。USG5300 interface GigabitEthernet 0/0/0# 配置GigabitEthernet 0/0/0的IP地址。USG5300-GigabitEthernet0/0/0 ip address # 退回系统视图。USG5300-GigabitEthernet0/0/0 quit3. 配置静态路由。 说明： 图2中，USG5300和PC上需要配置静态路由。假设GigabitEthernet 0/0/0的下一跳IP地址为/24，PC的下一跳IP地址为/24。USG5300 ip route-static 24 在PC上配置：route add mask 4. 将GigabitEthernet 0/0/0接口加入Trust区域。 5. USG5300 firewall zone trust6. USG5300-zone-trust add interface GigabitEthernet 0/0/0USG5300-zone-trust quit7. 配置域间包过滤。 说明： 本步骤配置以局域网环境为例。如果是广域网环境，将IP地址替换为即可。# 配置包过滤ACL规则。USG5300 acl number 3101USG5300-acl-adv-3101 rule permit ip source 0 destination 0USG5300-acl-adv-3101 quitUSG5300 acl number 3102USG5300-acl-adv-3102 rule permit ip source 0 destination 0USG5300-acl-adv-3102 quit# 将ACL规则应用在Trust和Local区域之间。USG5300 firewall interzone trust localUSG5300-interzone-local-trust packet-filter 3101 outboundUSG5300-interzone-local-trust packet-filter 3102 inboundUSG5300-interzone-local-trust return8. 配置SSH用户“client001”。 # 配置RSA本地密钥对，并根据提示信息键入比特数，本例键入512。说明： 如果此前已完成该配置，此处可以略过。 system-viewUSG5300 rsa local-key-pair createThe key name will be: USG5300_HostThe range of public key size is (512 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Input the bits in the modulusdefault = 512:512Generating keys.+.+.+.+# 进入VTY 0-4用户视图。USG5300 user-interface vty 0 4# 配置登录用户界面的认证方式。USG5300-ui-vty0-4 authentication-mode aaa# 配置用户界面仅支持SSH协议。USG5300-ui-vty0-4 protocol inbound ssh# 退回系统视图。USG5300-ui-vty0-4 quit# 进入AAA视图。USG5300 aaa# 配置本地用户的用户名和密码。USG5300-aaa local-user client001 password simple client001# 配置本地用户的等级。USG5300-aaa local-user client001 level 3# 退回系统视图。USG5300-aaa quit# 配置本地用户的验证方式。USG5300 ssh user client001 authentication-type passwordSSH的验证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值，以上配置完成后，可以在配置终端PC上，运行支持SSH1.5的客户端软件，以用户名“client001”，密码“client001”，访问USG5300。9. 配置SSH用户“client002”。 # 进入AAA视图。USG5300 aaa# 配置本地用户的用户名。USG5300-aaa local-user client002# 配置本地用户的等级。USG5300-aaalocal-user client002 level 3# 退回系统视图。USG5300-aaa quit# 配置本地用户的验证方式。USG5300 ssh user client002 authentication-type RSA# 在支持SSH1.5的客户端软件上，随机产生RSA密钥对，并复制公钥（具体过程略）。# 在rsa-key-code视图下将复制的RSA公钥粘贴到服务器端。USG5300 rsa peer-public-key key002USG5300-rsa-public-key public-key-code beginUSG5300-rsa-key-code 308186028180739A291ABDA704F5D93DC8FDF84C427463USG5300-rsa-key-code 1991C164B0DF178C55FA833591C7D47D5381D09CE82913USG5300-rsa-key-code D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4USG5300-rsa-key-code 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DCUSG5300-rsa-key-code C48E3306367FE187BDD944018B3B69F3CBB0A573202C16USG5300-rsa-key-code BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125USG5300-rsa-key-code public-key-code endUSG5300-rsa-public-key peer-public-key end# 将公钥“key002”授给SSH用户“client002”。USG5300 ssh user client002 assign rsa-key key002以上配置完成后，可以在保留RSA私钥的配置终端PC上，运行支持SSH1.5的客户端软件，建立SSH连接。父主题： 搭建配置环境华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司通过Web方式接入设备采用Web方式对USG5300进行配置前需要先进行此配置。组网需求如图1所示，客户端与USG5300的GigabitEthernet 0/0/0接口相连，在客户端通过Web浏览器访问USG5300接口地址，可以控制和管理USG5300。图1 Web管理组网图 操作步骤1. 配置USG5300的IP地址，并将该IP地址加入Trust安全区域。 2. system-view3. USG5300 interface GigabitEthernet 0/0/04. USG5300-GigabitEthernet0/0/0 ip address 245. USG5300-GigabitEthernet0/0/0 quit6. USG5300 firewall zone trust7. USG5300-zone-trust add interface GigabitEthernet 0/0/0USG5300-zone-trust quit8. 配置PC的IP地址（略）。 9. 配置域间包过滤。 10. USG5300 acl 200111. USG5300-acl-basic-2001 rule permit source 12. USG5300-acl-basic-2001 quit13. USG5300 acl 200214. USG5300-acl-basic-2002 rule permit source 15. USG5300-acl-basic-2002 quit16. USG5300 firewall interzone trust local17. USG5300-interzone-local-trust packet-filter 2001 outbound18. USG5300-interzone-local-trust packet-filter 2002 inboundUSG5300-interzone-local-trust return19. 启动Web管理功能。 20. system-viewUSG5300 web-manager enable21. 配置Web用户。 22. USG5300 aaa23. USG5300-aaa local-user web-user password simple web-user12324. USG5300-aaa local-user web-user service-type webUSG5300-aaa local-user web-user level 325. 检查配置结果。 # 通过PC端的Web浏览器访问USG5300，如果可以访问登录页面则配置成功。父主题： 搭建配置环境华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司命令行接口介绍USG5300向用户提供一系列配置命令以及命令行接口，用户通过该接口可以配置和管理USG5300。 命令行接口简介介绍命令行接口的特性、视图、提示信息等内容。 快捷键简介快捷键（也称为热键）是执行某一命令行或某种功能的一种快捷输入。USG5300的快捷键分为系统快捷键和自定义快捷键。 配置快捷键用户可配置自定义快捷键，可查看快捷键。 父主题： 配置指南 基础配置分册华为赛门铁克专有和保密信息版权所有 成都市华为赛门铁克科技有限公司命令行接口简介介绍命令行接口的特性、视图、提示信息等内容。 命令行接口概述介绍命令行接口的特性。 命令级别系统命令行采用分级保护方式，命令行划分为参观级、监控级、配置级、管理级4个级别。 命令视图命令视图是执行命令行的场合或空间环境。 在线帮助通过巧妙的使用“?”，可以获取各种在线帮助信息。 错误提示信息所有用户键入的命令，如果通过语法检查则正确执行，否则向用户报告错误信息。 历史命令命令行接口提供类似Doskey功能，将用户键入的历史命令自动保存，用