华为USG防火墙运维命令大全

1、华为USG防火墙运维命令大全1_查会话使用场合针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。命令介绍（命令类）display firewall session table verbose source inside X.X.X.X | global X.X.X.X | destination inside X.X.X.X| global X.X.X.X source-vpn-instance STRING | public | dest-vpn-instance STRING | publicapplication gtp | ftp | h323

2、 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun| rpc | sqlnet | mms nat destination-port INTEGER long-link 使用方法（工具类）首先确定该五元组是否建会话，对于TCP/UDP/ICMRICMP只有echo request和echo reply 建会话）/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防 火墙的问

3、题，除非碰到来回路径不一致情况，需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文，继续后续排 查方法。Global :表示在做NAT寸转换后的IP。Inside :表示在做NAT寸转换前的IP。使用示例display firewall session table verbose source inside14:29:512010/07/01Current total sessions :1icmp VPN: public-publicZone: trust - local TTL: 00:00:20 Left: 00:00:20Interface: I0 Nexthop: MA

4、C:00-00-00-00-00-00 packets:4461bytes:3747247:43986 local首包会话方向源域为trust ,目地域为local （源域- 目的域）TTL: 00:00:20 Left: 00:00:20ttl 表示会话表老化时间， left 表示会话表剩余多少时间老化Interface: I0 Nexthop: MAC: 00-00-00-00-00-00会话首包方向出接口、下一跳IP地址和MAO址 packets:4461 bytes:374724 代表会话outbound方向/同域的字节数和报文数7:43986-10.160.30243986 表示会话

5、首包是 outbound或者同域使用限制对于TCP/UDP/ICMP/GRE/ESP/AH报文防火墙会建会话，其它比如SCTP/OSPF/VRRP法使用该方法排查。2检杳接口状态使用场合在报文不通时，可以先检查接口状态，排除由于接口down而导致报文不通的情况。命令介绍display ip interface brief使用方法查看接口物理层和协议层状态，正常情况下三层接口物理层( Physical )和协议层(Protocol )都是up,如果有down现象，检 查网线连接和网线(光纤，光模块)本身是否有问题，更换网线(光纤，光模块)尝试。使用示例USG5360display ip inte

6、rface brief*down: administratively down(l): loopback(s): spoofingInterfaceIP AddressGigabitEthernet0/0/024upGigabitEthernet0/0/17upPhysical Protocol DescriptionupHuawei, USG5000upHuawei, USG5000GigabitEthernet0/0/2GigabitEthernet0/0/3GigabitEthernet1/0/0unassignedGigabitEthernet1/0/1unassigned如上显示，G

7、igabitEthernet0/0/3 和 GigabitEthernet1/0/0upupdowndowndowndownupdownHuawei, USG5000Huawei, USG5000Huawei, USG5000Huawei, USG5000的物理层是down,其中GigabitEthernet0/0/3已经配置了 IP地址，而GigabitEthernet1/0/0未配置，物理层down可能是因为网线被拔出或网线出问题，或者是与其对接的接口down,需要检查线路。GigabitEthernet1/0/1 的协议层down是因为没有配置ip地址。3_检查接口统计信息使用场合在发现

8、报文传输有性能下降或者 ping有丢包时，可以检查接口统计信息，确认接口是否有丢包。命令介绍display interface interface-type interface-number使用方法查看接口下是否有error ,确认CRC/ collisions有无增长，如果有增长确认接口双工模式和速率是否与对端设备一致。Align Errors :对齐错误，即传送的包中存在不完整的字节，包括前导码和帧间隙。Collision Errors :碰撞错误。runts：超短包，长度小于64字节但CRCfi正确的数据包。giants :超长包，长度大于1618(如果带vlan是1622)字节的CRC

9、值正确的数据包。CRC (Input):长度为64至1618字节之间但CRCfi不正确的数据包。(路由器中长度为64至1618字节之间的Alignment Dr 类中统计)。Error (Input ) : PHY层发现的错包。Overrun (Input):接收队列满失败包。Late Collision (Output): 发送 64字节后发生碰撞的错误包。查看出入接口统计是否计数正在增加，如果有增加则说明该接口链路正常，如果只有一条流则可以确定报文是否进入防火墙 查看接口协商的情况，包括协商速率，全双工/半双工等。关注接口五分钟流量统计与正常时的差别，关注业务经过设备的两个方向出入接口流量

10、是否差不多。使用示例GigabitEthernet1/0/0 current state : UPLine protocol current state :UPGigabitEthernet1/0/0 current firewall zone : trustDescription : Huawei, USG5000 Series, GigabitEthernet1/0/0InterfaceThe Maximum Transmit Unit is 1500 bytes, Hold timer is10(sec)Internet Address is7/24IP Sending Frames F

11、ormat is PKTFMT_ETHNT_2, Hardware address is 0018-82fd-9d3bMedia type is twisted pair, loopback not set, promiscuous mode notset 1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control isdisableOutput queue : (Urgent queue :Size/Length/Discards) 0/50/0Output queue : (Protoco

12、l queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queuing :Size/Length/Discards) 0/75/0Last 5 minutes input rate 1083bytes/sec,11 packets/secLast 5 minutes output rate 1019bytes/sec,10 packets/secInput: 15901905 packets, 3060644220bytes180 broadcasts, 19745multicasts5920 errors, 0 runts,

13、0 giants, 0 throttles,0 CRC, 0 frames, 5920 overruns, 0 align errorsOutput: 10641815 packets, 1764395150 bytes200 broadcasts, 0 multicasts0 errors, 0 underruns, 0 collisions, 0 late collisions,0 deferred, 0 lost carrier, 0 no carrier如上显示，Input方向出现了 5920个overruns ,很有可能之前出现了瞬间很大的流量，导致 overruns丢包4杳看防火墙

14、系统统计使用场合通过查看防火墙系统统计，可以得到各种报文的统计值，以及各种丢包情况等信息。命令介绍display firewall statistic system使用方法查看当前系统总会话数，TcpSession、UDPSession ICMP session这三项统计值的和查看TCP半连接数，CurHalfCon统计值就是半连接数，通过该值可以确认半连接数是否过多，是否受到 syn-flood攻击查看防火墙转发TCP#务是否丢包，使用 RcvTCPpkts RcvTCPbytes、PassTCPpkts、PassTCPOct呦计值，正常情况下 Pass和 Rcv不会相差很多会话创建是否失败

15、根据发送报文的类别查看是否存在丢包，从这个统计可以查看出是否存在因攻击防范，包过滤等引起的丢包，以及根据收到 ICMP/UDP/TCP艮文个数和转发的个数计算被防火墙丢弃的个数。5查看设备的运行状况使用场合在发现设备的告警灯亮时或者其他如接口无法UP等异常情况时，可以查看设备的运行状况，看主控板、接口卡等是否运行正常如果有器件显示故障，需尽快分析。命令介绍display device使用方法直接执行 display device 。使用示例displaydeviceSecoway USG5360s Devicestatus:Slot#TypeOnlineStatus0RPUPresentNor

16、mal22GEPresentNormal3PWR(AC)PresentAbnormal4PWR(AC)PresentNormal5FANPresentNormal1收藏崎分享,顶，踩点评回复报告电梯直达L3发表于 2015-3-27 13:57:30只看该作者6查看告警信息使用场合在发现设备的告警灯亮时或者在日志中发现如风扇灯硬件相关信息时，可以查看告警信息来确定问题，具体告警的信息参见 USG530IJ口 E200告警.xls 。命令介绍display alarm urgent使用方法直接执行 display diagnostic-information 。使用示例display alarm

17、urgentAlarmIDSlotDate43/711:28:410/7TimeParal Para22554/710/710:19:82557查看内存使用率使用场合当防火墙自身某些业务运行不稳定时，可以查看一下内存使用率，看是否是内存消耗过多导致。内存占有率不应过高。超过 80% 时需要分析当时的路由表容量和其他防火墙自身相关业务。命令介绍display memory-usage使用方法在系统视图下执行 display memory-usage 。使用示例Eudemondisplaymemory-usageMemory utilization statistics at 2010-07-07

18、 19:27:38 50 msSystem Total Memory Is: 2147483648 bytesTotal Memory Used Is: 1013878696 bytesMemory Using Percentage Is: 47%8查看CPU使用率使用场合CPU占有率应正常，与当前开展的业务类型和转发流量相符。超过60%应分析当时白业务流量。USG530(g由转发平面转发的,通常CPU用率与流量关系不大，只与业务类型有关，一般的来说，软件IPSEC/L2TP/ASPF/NAT ALG寸CPUS源消耗较大。命令介绍display cpu-usage-for-user使用方法直接

19、执行 display cpu-usage-for-user。使用示例display cpu-usage-for-user:6%:6%:6%= Current CPU usage infoCPU Average Usage (5 seconds)CPU Average Usage (30 seconds)CPU Average Usage (5 minutes)9检查各器件温度信息和电压信息使用场合在发生硬件故障时，可以查看各器件温度信息和电压信息等，判断是否是温度或电压的异常引起的问题命令介绍display environment使用方法直接执行 display environment 。使用

20、示例displayenvironmentEnvironment information:Temperature information:local CurrentTemperature LowLimit HighLimit Status (Celsius)(Celsius) (Celsius)(OK/FAIL) CPU44085OKVENT29065OKVoltage information:CheckPoint ReferenceVolRangeCurrentVolStatusDDR mV1790mV1.8VOK1710 1890IO-1 mV2494mV2.5VOK2362 2613IO-

21、2 mV3299mV3.3VOK3126 3455IO-3 mV1820mV1.8VOK1710 1890CPU mV1000mV1.0VOK950 1050FAN9.0 VmV 8940mV85209420OKUSB5.0VmV 5044mV4732 5226OK10查看日志使用场合在发生故障以后，可以查看日志，查找之前发生过的和当前故障相关的信息，从而定位故障原因。从日志中能看到，接口 UP/DOWN主备切换、攻击事件、命令行执行记录等信息。命令介绍display logbuffer使用方法直接执行 display logbuffer使用示例display logbufferLogging

22、 buffer configuration and contents:enabledAllowed max buffer size :1024Actual buffer size :512Channel number : 4 , Channel name : logbufferDropped messages:0Overwritten messages :0Current messages :582010-07-19 10:31:58 USG5360 %01SHELL/5/CMD(l): task:co0 ip:* user:* vrf:publiccommand:display logbuf

23、fer2010-07-19 10:30:48 USG5360 %01SHELL/5/LOGIN(l): vrf:public user:Console login from con0GigabitEthernet0/0/2: change status toGigabitEthernet0/0/2: change status toGigabitEthernet0/0/2: change status to2010-07-19 10:28:24 USG5360 %01PHY/2/PHY(l): up2010-07-19 10:28:19 USG5360 %01PHY/2/PHY(l): dow

24、n2010-07-19 10:27:22 USG5360 %01PHY/2/PHY(l): up2010-07-19 10:25:42 USG5360 %01SHELL/5/CMD(l): task:co0 ip:* user:* vrf:public command:undo debugging all2010-07-19 10:25:42 USG5360 %01SHELL/5/LOGOUT(l): vrf:public user:Console logout fromcon02010-07-19 10:25:41 USG5360 %01HWCM/5/EXIT(l): exit from c

25、onfigure mode点评回复支持（）反对（）小小李 L3报告发表于 2015-3-27 13:58:01只看该作者回复2楼11查看丢包统计，确定是否丢包使用场合在无法确认报文是否经过防火墙，防火墙是否丢包时，可以查看丢包统计，并对每种丢包统计查询丢包手册，得到发生问题的可 能性。命令介绍display dataplane discard undo firewall debug_statistic acl enable display firewall debug_statistic使用方法报文进入防火墙创建会话之前大部分丢包位置都进行了记录，可以通过下面方式查看。进入隐藏模式，按照下面的

26、顺序查看:Eudemon_VC-A-hidecmdreset dataplane discardEudemon_VC-A-hidecmddisplay dataplane discard DP_FW_RcvDP_FW_FirstRcvDP_FW_DefaultRcvDP_FW_FragRcvEudemon_VC-A-hidecmddisplay dataplane discard置。./清除当前丢包统计/显示丢包函数100000DP_FW_Rcv verbose /根据丢包函数具体查看丢包位18:00:102009/06/10DP_FW_Rcv 0:0DP_FW_Rcv 1:0DP_FW_Rc

27、v 2:0DP_FW_Rcv 3:100DP_FW_Rcv 4:0DP_FW_Rcv 5:04）根据上面查看到的函数，在:exit:exit:exit:exit:exit:exitUSG5300I包原因查看手册查询丢包原因。如果丢包位置较多，无法确定具体丢包位置，则可以通过下面方法调试。USG5360acl 3333USG5360-acl-adv-3333rule permit ip source 0 0destination 2 0 /规则越精确越好，保证 debug统计的数据流尽量少，否则对设备性能影响比较大USG5360-hidecmdfirewall debug_statistic a

28、cl 3333 enable /进入隐USG5360-hidecmddisplay firewall debug_statistic/ 查看结果USG5360-hidecmdundo firewall debug_statisticacl 3333enable 测试完成后，取消调试后令，否则对设备性能存在一定的消耗 根据具体的原因采取相应的措施，如果未查找到丢包，则就继续后面的检查。使用限制基于流的丢包统计建议在非业务高峰进行12使用远程抓包抓取报文使用场合在发生故障后，通过检查配置和统计信息无法定位时，可以通过远程抓包抓取指定流的报文进行分析。 命令介绍见使用方法使用方法通过防火墙的远程抓包

29、功能可以抓取经过防火墙和上送防火墙处理的报文，抓满后将其发送给pc, pc上面通过Firewall Packetyzer.exe工具接收，保存为cap格式，可以通过抓包工具打开分析报文的正确性。U USG5000acl 3333USG5000-acl-adv-3333rule permit ip source 0 0destination 2 0 源和目的ip越精确越好，否则对设备性能影 响比较大U USG5000interface GigabitEthernet 0/0/0 /进入需要抓包的接 口视图U USG5000-GigabitEthernet0/0/0firewall packet-

30、capture 3333 queue 0 / 指定acl规则和队列SG USG5000-GigabitEthernet0/0/0quit.USG5000firewall packet-capture startup difficult 300 /开始抓包。simple:报文长度小于100byte , difficult:不限制大小.USG5000firewall packet-capture send queue 0 ip /抓满后，使用命令将报文发送给PG pc需要打开软件接收。PG/显示抓包情/显示队列是情/测试完成后，关闭 指的是打开 Firewall_Packetyzer.exe 工具

31、的 USG5000display firewall packet-capture statistic况和统计USG5000display firewall packet-capture queue 0况和统计USG5000undo firewall packet-capture startup抓包功能，否则对设备性能存在一定的消耗 远程抓包客户端，在PC上面运行接收防火墙发送的 抓包内容使用限制vpn报文或者防火墙自身发送的报文远程抓包功能是抓不到的，建议在非业务高峰进行 13检查ARP表项使用场合在设备接口 UP时，如果ping对端设备不通，可以检查arp表项是否正常。命令介绍display

32、 arp （路由模式下显示arp表项）display arp bridge （ 透明模式下显示 arp 表项）display firewall transparent-mode address-table （透明模式下显示 MACOt表）debugging arp packet使用方法查看防火墙上下行设备的 ARRg项是否正确，如果不正确或者经常变化请检查网络是否存在多个设备回应ARP应答情况。可以使用debugging arp packet调试命令检查设备的 ARP青求和应答情况使用示例display arp14:17:412010/07/02IP ADDRESS INTERFACEMAC

33、ADDRESS EXPIRE(M) TYPE VPN-INSTANCEVLANPVC0022-a100-18eaIGE0/0/300e0-fc00-000c7DGE0/0/30022-a100-18e9IGE0/0/270022-a100-18e8IGE0/0/10022-a100-18a018GE0/0/1240022-a100-18e7GE0/0/0Total:6Dynamic:2Static:。Interface:4debugging arp packet14:18:492010/07/02t d14:18:502010/07/02Display the debugging inform

34、ation to terminal may use a large number of cpu resource and result in systems reboot! Continue?Y/N:y% Current terminal debugging is on 0.9980433 USG5360 %01ARP/7/arp_rcv(d): Receive an ARP Packet, operation : 1, sender_eth_addr : 00e0-fc00-000c, sender_ip_addr : , target_eth_addr : 0000-000

35、0-0000, target_ip_addr :0.9980683 USG5360 %01ARP/7/arp_send(d): Send an ARP Packet, operation : 2, sender_eth_addr :0022-a100-18ea,sender_ip_addr : , target_eth_addr : 00e0-fc00-000c, target_ip_addr : 使用限制 一display arp只对三层 口 有意义。14检查路由使用场合在设备接口 UP时，但如果ping远端设备或PC不通，可以检查一下路由表项是否正常。命令介绍display

36、 fibdisplay ip routing-table使用方法使用命令display fib或display ip routing-table 查看防火墙fib表是否有相应的路由，并检查是否正确。针对动态路由请使 用 display ospf peer、 display ospf brief 等 ospf 命令检查 ospf 是否正常；针对静态路由，使用 display current-configuration | include ip route-static命令检查是否添加相应的静态路由。使用示例display fib14:20:572010/07/02Destination/Mask

37、TimeStampNexthopInterfaceFlag/0GSU t0GigabitEthernet0/0/1/056GSU t0GigabitEthernet0/0/0/0GSU t0GigabitEthernet0/0/3/32GHU t0InLoopBack0/24Ut0GigabitEthernet0/0/3/8GSU t0GigabitEthernet0/0/1/247Ut0GigabitEthernet0/0/1/2424Ut0GigabitEthernet0/0/0/32GHU t0InLoopBack0/32GHU t0InLoopBack07/32GHU t0InLoop

38、Back024/32GHU t0/24Ut0/8Ut0InLoopBack0LoopBack0InLoopBack0display ip routing-table14:21:322010/07/02Routing Table: public netDestination/Mask ProtocolPre CostNexthopInterface/0STATIC 600GE0/0/3GE0/0/56GE0/0/0/24DIRECT00LoopBack0/32DIRECT00InLoopBack0/24DIRECT00GE0/0/3/32DIRECT00InLoopBack0/24DIRECT

39、007GE0/0/17/32DIRECT 00InLoopBack0/8DIRECT00InLoopBack0/32DIRECT00InLoopBack0/24DIRECT 0024GE0/0/024/32DIRECT 00InLoopBack0/8STATIC600GE0/0/115检查IPSEC统计使用场合如果配置了 IPSEG可以先检查IPSEC统计，看报文在IPSEC中是否能正常处理。命令介绍display ipsec statistics使用方法使用display ipsec statistics查看防火墙IPSEC隧道相关的统计，统计里面标记出了具体的IPSEC报文的丢包原因，根据

40、这个可以确定是否是因为IPSEC原因引起的丢包。使用示例USG5360display ipsecstatistics15:55:412010/07/01the security packet statistics:input/output security packets: 100/100input/output security bytes: 8000/8000input/output dropped security packets:65/0dropped security packetdetail:no enough memory:0cant find SA:0queue is full

41、:0authentication is failed:0wrong length:0replay packet:0too long packet:0wrong SA:encry fail: decry fail:0check acl car:0speed limit car:0pre-check fail:65succeed-check fail:0other reasons: 0如上显示pre-check fail统计值为65,说明这里发生了前反查失败的情况，需要检查对端是有需要IPSEC封装的报文直接将原始报文发送过来了。并检查 ACL看是否两端的ACL不一致。点评回复支持（）反对（）报告

42、小小李 L3发表于 2015-3-27 13:58:28只看该作者 地板回复3楼16检查IP/ICMP统计使用场合当经过防火墙的业务发生延迟或者下降时，也可以查看ip报文统计信息来定位问题原因命令介绍display ip statisticsdisplay icmp statistics使用方法查看no route/ TTL exceeded等异常计数是否在增长，如果增长比较快，使用 debugging ip icmp调试命令查看输出的调试信息 是否与发生中断的业务有关。使用示例内网用户通过E200做NAT Outbound访问Internet ,发现E200的CPUS用率很高，经常达到100

43、%查看icmp统计：baddisplay icmp statisticsInput: bad formats86checksumunreachableecho00destinationsourcequench0redirects0echo reply0parameterproblem0timestamp0informationrequest0mask requests0maskreplies0timeexceeded0Output:echo0destinationunreachable3327150sourcequench0redirectsproblemreplyecho replypara

44、metertimestamp0informationmask requestsmaskrepliestime exceeded0出现大量目的不可达。一般是有大量访问防火墙自身的流量。出现这种情况：一是，有大量针对防火墙的攻击流量；二是，防火 墙NAT地址池地址使用防火墙接口地址，有大量无会话访问NATft址池地址的流量。规避这个问题的方法是配置严格的到防火墙自身的包过滤。出现大量重定向。一般是出现了路由环路。出现路由环路一般是有大量无会话访问NATM址池地址白流量，但 NAT*址池地址不是防火墙接口地址。以NAT4址池地址为目的地址的报文，防火墙查路由，仍向外网口发送，但防火墙下行设备认为该地

45、址的目的路 由在防火墙上，将报文又发回到防火墙，从而导致路由环路。规避这个问题的方法是对NAT地址池地址配置黑洞路由。17打开IP调试开关调试使用场合访问防火墙自身的地址时，可以通过打开ip调试开关，来确定报文是否到达防火墙，以及是否从防火墙发出。命令介绍debugging ip packet acl 使用方法检查防火墙是否收到相应的报文，在现网设备上配置一条未使用的ACL假定发生中断的业务源IP地址为3 ,目的IP地址为防火墙自身IP,协议类型为ICMP，未使用的ACL编号为ACL 3999。使用示例Eudemonacl 3999 Eudemon-acl-adv-3999 rulepermi

46、ticmp source 3 0Eudemon-acl-adv-3999 rulepermiticmp destination 3 0然后在用户视图下输入以下命令打开IP调试开关调试 debugging ip packet acl 3999 terminal monitor terminal debugging查看调试信息，调试信息如果类似如下，则可以排除防火墙问题。2009-06-13 11:23:26 USG5360 %011P/8/debug_case(d):Receiving, interface = GigabitEthernet0/0/0, version = 4, headlen

47、 = 20, tos = 0,pktlen = 60, pktid = 42962, offset = 0, ttl = 128, protocol = 1, checksum = 36046, s = 3, d = prompt: Receiving IP packet from GigabitEthernet0/0/02009-06-13 11:23:26 USG5360 %011P/8/debug_case(d): Delivering, interface = , version = 4, headlen = 20, tos = 0, pktlen = 60, pktid = 4296

48、2, offset = 0, ttl = 128, protocol = 1, checksum = 36046, s = 3, d = prompt: IP packet is delivering up!2009-06-13 11:23:26 USG5360 %011P/8/debug_case(d):Sending, interface = GigabitEthernet0/0/0, version = 4, headlen = 20, tos = 0,pktlen = 60, pktid = 5, offset = 0, ttl = 255, protocol = 1, checksu

49、m = 46491, s = , d = 3prompt: Sending the packet from local at GigabitEthernet0/0/0使用限制只有到防火墙自身的报文或从防火墙自身发出的报文才能通过debugging ip packet 查看到。18检查防火墙双机热备配置使用场合双机热备组网发生故障时，需要先检查VRRPS而HRP勺状态，再进一步定位问题。命令介绍display hrp statedisplay vrrp使用方法对于双机热备组网，检查两台防火墙VRRP HRPE置是否正常，使用display hrp state 、display vrrp检查两台防

50、火墙主备状态。对于两台设备相对应的 VRR咯份组，不能出现双主状态，否则影响上下行设备的ARP习。如果状态不对，请修改并检查故障是否消除(再查看会话表和丢包统计)。使用示例主设备上：HRP_Mdisplay hrp stateThe firewalls config state is: MASTERCurrent state of virtual routers configured as master:GigabitEthernet0/0/1vrid1 :masterGigabitEthernet0/0/0vrid2 : masterHRP_Mdisplay vrrpGigabitEther

51、net0/0/1 | Virtual Router 1state :MasterVirtual IP :PriorityRun : 100PriorityConfig : 100MasterPriority : 100Preempt : YES Delay Time : 0Timer :1Auth Type :NONECheck TTL :YESGigabitEthernet0/0/0 | Virtual Router 2state :MasterVirtual IP : PriorityRun : 100PriorityConfig : 100MasterPriority : 100Delay Time :Preempt : YESTimer : Auth Type :NONECheck TTL : YES备设备上：HRP_S display hrp stateThe firewalls config state is: SLAVECurrent state of virtual routers configured as