防火墙用户手册

USG6550防火墙

用户手册

目录

前言...................................................错误!未定义书签。

1查看类................................................................1

1.1查看设备运行状态....................................................2

1.2查看接口流量........................................................9

1.3查看ESN和系列号(USG6000).............................................15

1.4查看ESN和系列号(USG9500).............................................15

1.5查看光模块信息.....................................................17

1.6查看会话表.........................................................19

1.7查看日志...........................................................23

1.8查看报表...........................................................25

1.9查看VPN状态.......................................................26

2配置类...............................................................29

2.1创建新的管理员.....................................................29

2.2修改管理员密码.....................................................32

2.3修改Web服务端口号.................................................32

2.4更新License............................................................33

2.5备份配置文件.......................................................36

2.6配置IP-MAC绑定...................................................38

2.7配置NAT...............................................................40

3故障类...............................................................44

3.1复原管理员密码....................................................44

3.2复原出厂配置.......................................................45

3.3复原配置文件.......................................................48

3.4升级特征库.........................................................49

3.5升级系统软件.......................................................59

3.6采集故障信息.......................................................60

4附录.................................................................62

4.1危急操作一览表.....................................................62

1JL查看类

关于本章

i.i查看设备运行状态

介绍查看设备运行状态的相关操作。

1.2查看接口流量

介绍查看接口流量的相关操作。

1.3查看ESN和系列号(USG6000)

通过displayesn吩咐可以查看设备与各部件的ESN。

1.4查看ESN和系列号(USG9500)

通过displayesn吩咐可以查看设备与各部件的ESN。

1.5查看光模块信息

通过displayesninterface吩咐可以查看光模块信息。

1.6查看会话表

会话表是设备转发报文的关键表项。所以当出现业务故障时，通常可

以通过Web查看会话表信息，大致定位发生故障的模块或阶段。

1.7查看日志

1.8查看报表

介绍查看报表的相关操作。

1.9查看VPN状态

1.1查看设备运行状态

介绍查看设备运行状态的相关操作。

通过Web方式查看设备部件状态

选择“面板>设备资源信息”，查看CPU运用率、内存运用率、CF卡

运用率，如图1T所示。

图皿设备资源信息

设备资源信息

CPU使用率：9%内存使用率：41%CF卡使用率：25%

参数说明

CPU运用率以标度盘和百分比显示当前CPU的运用状况。

当仪表盘指针移到黄色区域，表示当前CPU运

用率达到预警状态。当仪表盘指针移到红色区

域，表示当前CPU运用率达到警告状态。

CPU运用率代表当前设备处理业务的繁忙程

度，假如CPU运用率始终居高不下，可能是设

备处理实力达到极限，不满意当前网络的部署

需求，建议更换高处理性能的设备。

内存运用率以标度盘和百分比显示当前内存的运用状况。

当仪表盘指针移到黄色区域，表示当前内存运

用率达到预警状态。当仪表盘指针移到红色区

域，表示当前内存运用率达到警告状态。

CF卡运用率以标度盘和百分比显示当前CF卡的运用状况。

当仪表盘指针移到黄色区域，表示当前CF卡运

用率达到预警状态。当仪表盘指针移到红色区

域，表示当前CF卡运用率达到警告状态。

在软件或特征库等升级前，请确定剩余空间大

参数说明

小是否可存放待升级的文件。假如空间不足，

须要清理无用文件以保证存储空间满意新须

要。

通过CLI方式查看设备部件状态

查看设备状态。通常在发觉某单板运行不正常时查看该单板状态。

<FW>displaydevice

USG6380'sDevicestatus:

SlotSubTypeOnlinePowerRegister

StatusRole

0RPUPresentPowerOnRegistered

NormalMaster

1FIBAPresentPowerOnRegistered

NormalNA

5-PWRPresentPowerOnRegistered

NormalNA

7FANPresentPowerOnRegistered

NormalNA

<FW>displaydevice

USG9560'sDevicestatus:

Slot#TypeOnlineRegisterStatus

Primary

-—————-

1LPUPresentRegisteredNormalNA

2SPUPresentRegisteredNormalNA

6LPUPresentRegisteredNormalNA

8SPUPresentRegisteredNormalNA

9MPUPresentNANormal

Master

10MPUPresentRegisteredNormal

Slave

12SFUPresentRegisteredNormalNA

13SFUPresentRegisteredNormalNA

14CLKPresentRegisteredNormal

Master

15CLKPresentRegisteredNormal

Slave

16PWRPresentRegisteredAbnormalNA

17PWRPresentRegisteredNormalNA

18FANPresentRegisteredNormalNA

19FANPresentRegisteredNormalNA

项目描述

Slot当前在位设备的槽位号

Sub子卡槽位号

Type设备类型

Online设备是否在线

•Present表示设备在线

•Absent表示设备不在线

Power设备是否上电

•PowerOn表示设备上电

•PowerOff表示设备下电

Register设备是否注册胜利，NA表示FW启

动必需运行的设备，没有这些设备

FW就不能启动

Status设备的状态

Primary当前设备是否有备份设备，NA表示

Role该设备没有主备之分

其中Status状态为Abnormal说明状态异样。可能的故障缘由为：

1.设备的该槽位不支持这种接口卡。

2.接口卡损坏。

3,背板或主板上的插针损坏，如不正确的单板安装方式导致插针倾

斜。

4.假如是FAN状态为Abnormal,则可能为风扇故障或不在位。

查看设备的健康检查信息

用户在随意视图下执行吩咐displayhealth吩咐查看设备的健康检

查信息，包括CPU占用率和内存占用率。

#显示USG9500单板的健康检查信息。

<FW>displayhealth

SlotCPUUsageMemoryUsage(Used/Total)

SimulateCPU

9MPU(Master)10%51%907MB/1746MB

None

1LPU14%18%384MB/2099MB

None

2SPU-CPUO65%16%84MB/500MB

0%

2SPU-CPU164%16%84MB/500MB

0%

2SPU-CPU264%16%84MB/500MB

0%

2SPU-CPU364%16%84MB/500MB

0%

2SPU-CPU62%15%61MB/398MB

None

6LPU16%18%386MB/2099MB

None

8SPU-CPU265%16%84MB/500MB

0%

8SPU-CPU362%16%84MB/500MB

0%

8SPU-CPU62%15%60MB/398MB

None

10MPU(Slave)4%24%870MB/3602MB

None

SPUCPUAverageUtilization:Management64%Dateplane3%

表1-1displayhealth吩咐的输出信息描述

项目描述

Slot单板槽位号。

displayhealthverbose吩咐可以显示

从核CPU利用率运用状况。例如

•LPU(VCPUO)为多核0号，(VCPU1)为多

核1号，以此类推

•LPU为单核

CPUUsageCPU利用率。

MemoryUsage全部注册状态板的内存运用状况。

(Used/Total)・Total：单板上当前可用的内存。

・Used：单板上可用内存中已经被占用的

内存。

#显示USG6000的健康检查信息。

<FW>displayhealth

SlotCardSensorSensorNameStatusCurrent(V)

Lower(V)Upper(V)

001.1V_CORENormal1.1000

1.04001.1500

—13.3VNormal3.3000

3.12003.4500

—22.5VNormal2.5200

2.37002.6100

—31.5VNormal1.4900

1.42001.5700

—41.IVNormal1.0900

1.04001.1500

—50.75V_DDRNormal0.7400

0.71000.7800

—612VNormal11.8800

11.400012.6000

105.0VNormal4.9500

4.74005.2500

—12.5VNormal2.5000

2.36002.6200

—21.OVNormal0.9900

0.95001.0500

—31.8VNormal1.7800

1.71001.8900

40.9VNormal0.9000

0.85000.9400

—53.3VNormal3.2800

3.12003.4600

—612VNormal11.9400

11.400012.6000

SlotCardSensorStatusCurrent(C)Lower(C)

Upper(C)

00Normal36063

—1Normal51090

10Normal31063

PowerIDOnlineModeStateCurrent(A)Voltage(V)

RealPwr(W)

5PresentACSupply14.212

170

6Absent-

FanlDFanNumOnlineRegisterSpeedMode

Airflow

FANO[3]PresentRegistered1(6880)AUTO

Left-to-Right

FAN1[2]PresentRegistered1(6880)AUTO

Left-to-Right

SystemMemoryUsageInformation:

Systemmemoryusageat2015-03-2616:25:01

SlotTotalMemory(MB)UsedMemory(MB)Used

PercentageUpperLimit

03789226559%

95%

SystemCPUUsageInformation:

Systemcpuusageat2015-03-2616:25:01

SlotCPUUsageUpperLimit

032%80%

DiskUsageInformation:

Systemdiskusageat2015-03-2616:25:02

SlotDeviceTotalMemory(MB)UsedMemory(MB)

UsedPercentage

0hdal:1172725

61%

1.2查看接口流量

介绍查看接口流量的相关操作。

通过Web方式查看接口流量

选择“面板>设备状态图”，将鼠标光标停留在某接口上，可查看该

接口的具体信息，如图1-2所示。单击“刷新”后能够查看到接口的

最新信息。

图1-2接口信息

设备状态图

3

□R

接口名称GE1/0/1

接口状态Down/UneDown

安全区域trust

IP地址/施码

速率1000Mbit/s

模式至双工

输入而■OBytes

输入错包数0

输出而■OBytes

输出错包数0

参数说明

接口状态显示该接口的物理状态/链路状态。

・Up/LineUp：接口物理/链路处于正常启动

的状态。

•Down/LineDown：接口物理层出现故障。

•AdministrativelyDown/LineDown：说明

该接口已被禁用。

参数说明

平安区域显示该接口所在平安区域。

IP地址/掩码显示该接口的IP地址与子网掩码。

速率显示该接口的速率。

模式显示接口的双工模式。

输入/出流量显示该接口接收/发送的流量大小。

输入/出错包数显示该接口接收/发送的流量中的错包数。

通过CLI方式查看接口信息

该吩咐可以查看接口的IP地址、物理层与协议层状态、接口描述。下

面以USG6370系列为例。

<FW>displayinterfaceGigabitEthernet1/0/1

GigabitEthernet1/0/1currentstate:UP

Lineprotocolcurrentstate:UP

GigabitEthernet1/0/1currentfirewallzone:untrust

Description:Huawei,USG6370Series,GigabitEthernet1/0/1

Interface

RoutePort,TheMaximumTransmitUnitis1500bytes,Hold

timeris10

IPSendingFrames'FormatisPKTFMT_ETHNT_2,Hardwareaddress

is0022-al00-al01

Mediatypeistwistedpair,loopbacknotset,promiscuous

modenotset

100Mb/s-speedmode,full-duplexmode,linktypeisauto

negotiation

Max-bandwidth:100000Kbps

Lastphysicaluptime:-

Lastphysicaldowntime:2015-05-0720:33:13

Currentsystemtime:2015-05-1110:08:18

Last300secondsinputrate8bytes/sec,0packets/sec

Last300secondsoutputrate8bytes/sec,0packets/sec

Input:1149packets,99478bytes

12unicasts,4broadcasts,1133multicasts,0

pauses

0overruns,0runts,0jumbos,0FCSerrors

0lengtherrors,0codeerrors,0alignerrors

0fragmenterrors,0giants,0jabbererrors

0dribbleconditiondetected,0othererrors

Output:1104packets,94646bytes

7unicasts,10broadcasts,1087multicasts,0

pauses

0underruns,0runts,0jumbos,0FCSerrors

0fragmenterrors,0giants,0jabbererrors

0collisions,0latecollisions

0ex.collisions,0deferred,*othererrors

Inputbandwidthutilization:0%

Outputbandwidthutilization:0%

显示信息说明

GigabitEthernetl显示该接口的物理状态。

/0/1current・UP：接口物理层处于正常启动的状态。

state:UP

・DOWN：接口物理层出现故障。建议做如下检

查：

-线缆是否连接到正确的接口

-运用speed吩咐修改了接口速率，且两端

不一样。

运用duplex吩咐修改了双工模式，且两

端不一样。

-更换连接线缆，确认是否线缆故障。

•Administrativelydown：说明该接口下执

行了shutdown吩咐，可以通过undo

shutdown取消配置。

Lineprotocol显示该接口的协议状态。

currentstate:・UP：接口的协议层正常启动。

UP

・DOWN：接口的链路或协议层出现故障。

・UP(s)：当逻辑接口状态为UP后。

GigabitEthernetl显示该接口所属平安区域。

/0/1current

firewallzone:

untrust

显示信息说明

Description:Description后边显示该接口的Description

信息，该信息可以运用description进行配置

和修改。

RoutePort说明该接口的端口类型为路由端口，假如显示

为SwitchPort则说明为交换端口。端口类型

可以运用portswitch吩咐进行切换。

TheMaximum接口的最大传输单元（MTU）。长度大于接口

TransmitUnitisMTU的报文，将会被分片后再发送。假如IP报

文内设置了不分片，大于接口MTU的报文会被

丢弃。

通常在设备之间可以建立连接，但是无法传输

数据（比如FTP可以登录但传输不了文件）

时，检查接口MTU是否设置过小。

Holdtimeris报文的生命周期。报文假如在生命周期内没有

被发送出去，则将被丢弃。

InternetAddress接口的IP地址和掩码，可以是静态配置或者通

is过DHCP等动态方式获得到的IP地址。假如没

有IP地址则显示“Internetprotocol

processing:disabled”。

IPSending接口发送的Ethernet帧的格式。Ethernet_2

Frames'Format为缺省的帧格式。Ethernet在接收帧时，可以

is识别如下几种帧格式：

•Ethernet_2

•Ethernet_SNAP

・802.2

・802.3

Hardwareaddress接口的硬件地址，即接口MAC地址。

is

Mediatypeis显示线缆类型是双绞线。

twistedpair

full-duplexmode显示该接口的双工模式是全双工。以太网两端

的双工模式须要一样。

显示信息说明

linktype显示接口的双工模式为自协商模式，假如用户

手工指定为half/full显示为forcelink。

Max-bandwidth接口可用的最大带宽是1000000Kbps,运用

speed吩咐会影响显示的带宽。

Lastphysicalup接口上次状态为UP的时间。

time

Lastphysical接口上次状态为UDOWN的时间。

downtime

Currentsystem当前系统时间。

time

Last300seconds该接口最近5分钟的报文收发速率，可以视察

input/output到接口的近期报文发送统计，在发生故障的第

一时间查看效果比较明显。

Input接收报文的统计信息。

•unicasts：单播报文数。

•broadcasts：广播报文数。

•multicasts：组播报文数。

•pauses：接收到Pause帧个数。

•overruns：当接口的接收速率超过接收队列

的处理实力时，设备丢弃的报文数。

•runts：超短报文数。

,jumbos：在jumbo使能的状况下，大于1518

字节小于jumbo的最大长度的帧。

•FCSerrors：接收到长度正常，但CRC校验

错误的帧的个数。

•lengtherrors：802.3以太网报文结构中，

长度字段(lengthfield)不在46至1500

字节范围内的报文数。

•codeerrors：编码错误的报文数。

•alignerrors：对齐错误的报文数。

•fragmenterrors：接收长度小于64字节，

显示信息说明

且CRC不正确的报文数。

•giants：超长报文数。

•jabbererrors：大于1518字节的CRC错误

报文数。

•dribbleconditiondetected：报文经过

CRC校验后出现4bit数据的非正常报文数。

•othererrors：其他错误报文数和丢失报文

数。

output发送报文的统计信息。

•unicasts：单播报文数。

•broadcasts：广播报文数。

•multicasts：组播报文数。

•pauses：发送Pause帧的个数。

•underruns：当接口的发送速率超过了发送

队列的处理实力，被丢弃的报文数。

•runts：超短报文数。

•jumbos：在jumbo使能的状况下,大于1518

字节小于jumbo的最大长度的帧的个数。

•FCSerrors：发送CRC校验错误，长度正常

的帧的个数。

•fragmenterrors：发送长度小于64字节，

且CRC不正确的报文数。

,giants：超长报文数。

•jabbererrors：大于1518字节的CRC错误

的报文数。

•collisions：碰撞错误，发送报文的时候正

好遇到冲突检测。

•latecollisions：后碰撞错误，发送报文

时（还没有发送完毕），发生冲突检测。

•ex.collisions：超期错误，一个报文因为

发生超过16次碰撞仍旧没有发送胜利，报

文丢弃。

•deferred：延迟发送，发送的时候进行延

显示信息说明

迟，不包含碰撞错误。

•othererrors：其他错误报文数。

1.3查看ESN和系列号(USG6000)

通过displayesn吩咐可以查看设备与各部件的ESN。

查看设备ESN

用户可以通过查看设备的后面板获得设备ESN编号，以

USG6306/6308/6330/6350/6360机型为例，ESN位置如图1-3所示。

图1-3USG6306/6308/6330/6350/6360后面板

SN

#查看USG6000的ESNo

<sysname>displayesn

ESNofmaster:210235G6QD2xxxxxxxx

1.4查看ESN和系列号(USG9500)

通过displayesn吩咐可以查看设备与各部件的ESN。

查看背板ESN

用户可以登录到设备在随意视图下执行吩咐displayesn,查看设备

的ESN编号。

<FW>displayesn

ESNofmaster:210235G6QD10xxxxxxxx

其中210235G6QD10xxxxxxxx为背板的ESN编号。

查看设备部件ESN

用户在随意视图下执行吩咐displayesnall,查看设备各部件的

ESN编号。

<FW>displayesnall

Slot-PicTypeS/N

P/N

1-1ETH_24xGF_B_CARD030PMN10xxxxxxxx

0303xxxx

2SPU210305G09Q1Oxxxxxxxx

0305xxxx

2-0SPU_CARD_TYPE_SPCB210305G09S10xxxxxxxx

0305xxxx

2-1SPU_CARD_TYPE_SPCB02G36N10xxxxxxxx

0302xxxx

6-0LAN_WAN_6x10GF_B_CARD030QDE1Oxxxxxxxx

0303xxxx

6-1ETH_24xGF_B_CARD030PMN10xxxxxxxx

0303xxxx

8SPU210305G09Q10xxxxxxxx

0305xxxx

8-1SPU_CARD_TYPE_SPCB02G36N1Oxxxxxxxx

0302xxxx

9MPU030KSR1Oxxxxxxxx

0303xxxx

10MPU210305G08N1Oxxxxxxxx

0305xxxx

17PWR21021205606Txxxxxxxx

0212xxxx

18FAN21021205626Txxxxxxxx

0212xxxx

19FAN21021205626Txxxxxxxx

0212xxxx

/BackPlane210235G6QD10xxxxxxxx

0235xxxx

项目描述

Slot-Pic槽位号。

如为子卡，则增加显示子卡号，例如『0表示1号

槽位0号子卡。

Type表示板卡类型。

如为子卡，则表示子卡类型。

S/NESN编号信息。

P/NITEM编号信息。

1.5查看光模块信息

通过displayesninterface吩咐可以查看光模块信息。

用户在随意视图下执行吩咐displayesninterface,查看USG6000

各接口光模块的ESN编号。

<FW>displayesninterface

InterfaceVendorNamePN

SNDateCertified

GigabitEthernet1/0/4huawei3410xxxx

PR31xxx2014-01-17YES

GigabitEthernet1/0/5huawei0231xxxx

AD1342xxxxx2013-10-23YES

GigabitEthernet3/0/0FINISARCORP.FTLF1619xxxxx-HW

PR7xxxx2014-02-21NO

GigabitEthernet3/0/lHGGENUINEMXPD-xxxMD

HA140xxxxxxxx2014-02-08NO

GigabitEthernet3/0/2JDSUPLRXPLVCSxxxxHW

CE06xxxxx2014-02-08NO

GigabitEthernet3/0/3OCLARO,INCTRSxxxxEN-SPOl

T14Dxxxxx2014-04-10NO

GigabitEthernet3/0/4SOURCEPIIOTONICSFTMxxxxCSL40GHW

E5C20xxxxx2014-04-14NO

GigabitEthernet3/0/5SumitomoElectricSPPxxxxZR-Hl

42D710Nxxxxx2014-02-12NO

GigabitEthernet3/0/6NEOPHOTONICSPTxxxx-51-EW-KHW

A01146xxxxx2014-01-24NO

GigabitEthernet3/0/7SOURCEPHOTONICSFTM-xxxxC-SL50G

E4620xxxxx2014-03-08NO

用户在随意视图下执行吩咐displayesninterface,查看USG9500

各接口光模块的ESN编号。

<FW>displayesninterface

InterfaceVendorNamePN

SN

Date

GigabitEthernet3/l/0FINISARCORP.

FTLX1471Dxxxx-HWASCxxxx

2014-12-19

GigabitEthernet3/l/4AVAGOHBCU-xxxxR

AN09xxxxx

D2009-03-03

项目描述

Interface光模块所属接口。

VendorName光模块制造商的名称。

PN光模块的产品编号。

SN光模块的ESN编号。

Date光模块的出厂日期。

Certified标示该光模块是否为华为定制的。

・“YES”表示是华为定制的，“VendorName”会显

示为“HUAWEI”。

・“NO”表示非华为定制的。针对该接口执行

displayinterface吩咐时，显示信息中会有如

下提示：

Note:Thetransceiverinstalledisnot

certifiedbyHuaweiEnterpriseBusinessGroup

1.6查看会话表

会话表是设备转发报文的关键表项。所以当出现业务故障时，通常可

以通过Web查看会话表信息，大致定位发生故障的模块或阶段。

当某个业务发生问题，例如流量不通或者断断续续时，通过查看会话

表可以得出以下信息：

•假如该项业务已经建立了正确的会话表项，并且依据平安策略允

许了该业务的转发。假如业务此时仍旧不通，有以下几种可能缘

由：

-出接口发生了硬件故障（例如接口卡损坏，网线接触不良等）

-下行设备丢弃了相关报文

-路由配置有错误

-出接口发送的报文有错误

-其他业务层面的丢包（例如带宽管理、攻击防范功能导致的丢

包）

-其他配置方面的问题

・假如该项业务没有建立会话表项，有以下几种可能缘由：

由于上游设备的问题或者是路由配置的问题，导致报文没有正

确转发到FW上

-设备上配置的平安策略不允许该报文的转发，例如平安策略动

作被配置为“拒绝”，源IP被加入了黑名单等

-入接口发生了硬件故障（例如接口卡损坏，网线接触不良等）

-攻击防范方面，除黑名单之外，可能还有其他功能导致丢包

-带宽管理功能可以限制会话数，当会话数超过阈值时，导致会

话无法建立而干脆丢包

-其他配置方面的问题

通过Web方式查看会话表的方法如下：

1.选择“监控>会话表”。

2.显示“会话表”界面，查看会话表信息。

会话表在某一时间段的显示如下：

注蜴信且协议源安全区域目的安全区*源地址目的地址目的咕…剩余时间出按口下一跳

□alhttpstrustlocal331018.74.2951433844300:09:48inLoopBackO

Qhttpstrustlocal172.1610.1761018.7429598098443000953InLoopBackO1270.0.1

ahttpstrustlocal172.1610.1331018.74.2951440844300:10:00InLoopBackO