本文所说的IRF高级设置就是IRF双机热备。IRF双机热备方式是基于IRF技术实现双机热备组网需求。有关IRF的详细介绍，请参见“IRF联机帮助”。

IRF双机热备实现机制主要包括以下两个方面：

· 业务备份。用户选择业务后，IRF双机热备的两台设备间会互相备份指定业务的数据和表项。以便流量切换后，对端设备上有对应的数据和表项，能够快速处理流量。目前支持备份的业务包括：NAT444端口块表、会话表、DNS协议、HTTP协议、IPsec SA。不同设备支持的备份业务不同，请以设备的实际界面为准。

· 流量迁移。IRF双机热备使用冗余组来触发流量的迁移。冗余组通过和Track联动，能够快速感知上、下行链路是否故障，如果故障，冗余组模块会通知组内所有成员接口和冗余口进行倒换，以便保证倒换后，报文的出接口和入接口仍然在同一台设备上。

IRF双机热备的实现机制如图-1所示：

1.        正常情况下，流量通过Device A转发，Device A上业务的数据和表项实时备份到Device B。

2.        当Track检测到Device A的上行接口故障。

3.        冗余组关闭Device A的下行接口。

4.        流量迁移到Device B上，通过Device B转发。因为Device B已经备份了业务的数据和表项，从而保证了流量迁移后，业务基本不受影响。

29-IRF高级设置（仅适用于F50X0-D和F5000-AK5X5）

省略后期介绍

30-虚拟设备

性简介

通过虚拟化技术将一台物理设备划分成多台虚拟设备，每台虚拟设备就称为一个Context。每个Context拥有自己专属的软硬件资源，独立运行。

对于用户来说，每个Context就是一台独立的设备，方便管理和维护；对于管理者来说，可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用，可以保护现有投资，提高组网灵活性。

管理员可以为每个Context分配VLAN资源、接口资源、CPU资源和内存/磁盘资源。

VLAN资源

用户在创建Context时，可选择是否和其它Context共享VLAN：

· 共享：该模式下的VLAN由管理员在缺省Context中创建，统一配置和管理。非缺省Context只能使用指定的共享VLAN，不能自行创建和配置。一个VLAN可以被多个Context共享，物理设备收到报文后，根据报文的入接口以及报文的VLAN tag交给相应的Context处理。此方式适用于同一个VLAN由多个Context共同使用的场景。

· 独占：该模式下的VLAN由各Context的管理员登录各自的Context后，自行创建、配置和管理。该模式要求各Context的管理员来规划和配置VLAN。此方式适用于Context需要各自管理和使用一个独立VLAN的场景。

接口资源

缺省情况下，设备上的所有接口都属于缺省Context，不属于任何非缺省Context。只有给非缺省Context分配接口后，它才能和网络中的其它设备通信。

在给Context分配接口时，可以选择：

· 独占分配：使用该方式分配的接口仅归该Context使用。用户登录该Context后，能查看到该接口，并执行接口支持的所有操作。

· 共享分配：表示将一个接口分配给多个Context使用，这些Context共享这个物理接口。设备从共享的物理接口接收报文后交给对应的虚拟接口处理；出方向，虚拟接口处理完报文后，会交给共享的物理接口发送。使用该方式，可以提高设备接口的利用率。通过共享方式分配的接口在非缺省Context内，会新建一个同名的虚接口，用户登录这些Context后，能查看到该接口，但只能执行禁用、修改描述信息以及网络/安全相关操作。

CPU资源

当CPU无法满足所有Context的处理需求时，系统将按照CPU权重值为每个Context分配处理时间。通过调整Context的权重，可以使指定的Context获得更多的CPU资源，保证关键业务的运行。例如：在三个Context中，将处理关键业务的Context的CPU权重设置为2，其余两个Context的CPU权重设置为1，则当CPU忙时，将为关键业务Context提供2倍于其它Context的处理时间。

内存/磁盘资源

为了防止一个Context过多的占用内存/磁盘，而导致其它Context无法运行，需要限制Context对内存/磁盘资源的使用。用户可配置每个Context最大可占用的内存/磁盘百分比。

会话并发数

设备能够同时维持的会话连接总数是有限制的，为防止一个Context创建过多的会话，而导致其它Context无法创建新的会话，需要限制Context的会话并发数。用户可以为每个Context配置最大的会话并发数。

会话新建速率

会话新建速率是指设备在单位时间内所能够完全处理的新会话请求数量。由于设备的处理能力有限，为防止一个Context的会话新建速率过高，而导致其它Context创建会话失败，需要限制Context的会话新建速率。用户可以为每个Context配置最大的会话新建速率。

SSL VPN登录用户数

SSL VPN的用户数目由设备License控制，设备全部用户总数不能超过License控制，如果一个Context的用户总数到达了License限制，则会出现其他Context用户无法上线的问题，因此需要限制Context的上线用户数，同时设备全部用户总数仍受License控制。

吞吐量

为了防止一个Context的报文过多而导致其它Context的报文被丢弃，需要限制Context的吞吐量。当启用吞吐量限制时，系统优先处理协议报文，对于超过限制值的业务报文会被丢弃。

缺省Context中提供了一键收集多个或所有Context相关信息的功能。目前在缺省Context中可收集的信息包括日志信息、诊断信息和配置信息。

此功能仅对使用共享接口且处于Active状态的Context生效。

如果一个Context接收和处理的广播报文和组播报文过多，将会导致其他Context处理业务能力的下降。因此需要限制Context接收广播报文和组播报文的数量。

Context对入方向广播报文和组播报文进行限速是通过整机接收报文限速和单个Context接收报文限速共同实现。当广播报文或组播报文总速率和单个Context入方向广播报文或组播报文速率均达到各自的阈值后，发往此Context的广播报文或组播报文会被设备丢弃，否则不会被丢弃。

当整机或单个Context广播/组播限速阈值为零时表示对接收报文不做速率限制。

当运行广播或组播限速阈值低于1000时为系统缺省值，系统缺省值为广播/组播报文总速率阈值除以使用共享接口Context的数量。当运行广播或组播限速阈值大于等于1000时，有可能是系统缺省值，也有可能是系统管理员配置的阈值。

1.        查看接口分配情况，了解各接口的参数。

2.        创建并配置Context。

3.        为Context分配VLAN、接口、CPU、SSL VPN登录用户数、会话并发数和会话新建速率等资源。

4.        监控Context的资源使用情况。

· 共享VLAN必须是设备上存在的VLAN。请先创建VLAN，再指定共享VLAN。

· VLAN 1不能被共享。

· 端口的缺省VLAN不能被共享。

· 已经创建了VLAN接口的VLAN不能被共享。

· 逻辑接口（如子接口、聚合接口等）仅支持共享方式分配，物理接口支持独占和共享两种方式分配。

· 如果子接口已经被分配，则不能再分配其父接口；如果父接口已经被分配，则不能再分配其子接口。

· 如果接口已经被共享分配，则不能再独占分配。需将共享分配配置取消后，才能独占分配。

· 当设备运行在集群模式时，禁止将集群物理端口分配给Context。

· 聚合接口的成员接口不能分配给Context。

· 冗余口的成员接口不能分配给Context，当冗余口的成员接口为子接口时，其子接口的主接口也不能分配给Context。

· 在缺省Context中，无法对从未启动过的自定义Context进行日志信息收集。

· 在缺省Context中，无法对处于未启动状态的自定义Context进行配置信息收集

30-虚拟设备（仅适用于F50X0-D和F5000-AK5X5）

省略后期介绍

31-管理员和角色

性简介

管理员通过SSH、Telnet、FTP、HTTP、HTTPS、终端接入（即从Console口接入）方式登录到设备上之后，可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分：

· 账户管理：对用户的基本信息（用户名、密码）以及相关属性的管理。

· 角色管理：对用户可执行的系统功能的管理。

· 密码管理：对用户密码设置控制、密码更新与老化以及用户登录控制等方面进行管理。

为使请求某种服务的用户可以成功登录设备，需要在设备上添加相应的账户。所谓用户，是指在设备上设置的一组用户属性的集合，该集合以用户名唯一标识。一个有效的用户条目中可包括用户名、密码、角色、可用服务、密码管理等属性。

对登录用户权限的控制，是通过为用户赋予一定的角色来实现。一个角色中定义了允许用户执行的系统功能，例如，定义用户角色规则允许用户配置A功能，或禁止用户配置B功能。

角色规则

一个角色规则中定义了允许/禁止用户操作某类实体的权限。

Web界面支持的实体类型为Web菜单，即通过Web对设备进行配置时，各配置页面以Web菜单的形式组织，按照层次关系，形成多级菜单的树形结构。

对实体的操作权限包括：

· 读权限：可查看指定实体的配置信息和维护信息。

· 写权限：可配置指定实体的相关功能和参数。

· 执行权限：可执行特定的功能，如与FTP服务器建立连接。

定义一个规则，就等于约定允许或禁止用户针对某类实体具有哪些操作权限。对于Web菜单实体，控制Web菜单的规则就是用来控制指定的Web菜单选项是否允许被操作。因为每个菜单项中的操作控件具有相应的读，写或执行属性，所以定义基于Web菜单的规则时，可以精细地控制菜单项中读、写或执行控件的操作。

缺省角色

系统预定义了多种角色，角色名和对应的权限如表-1所示。这些缺省角色均具有不同的系统功能操作权限。如果系统预定义的用户角色无法满足权限管理需求，管理员还可以自定义用户角色来对用户权限做进一步控制。

表-1 系统预定义的角色名和对应的权限

为用户赋予角色

根据用户认证登录方式的不同，为用户授权角色分为以下几类：

· 对于通过本地AAA认证登录设备的用户，由本地用户配置决定为其授权的用户角色。

· 对于通过AAA远程认证登录设备的用户，由AAA服务器的配置决定为其授权的用户角色。

将有效的角色成功授权给用户后，登录设备的用户才能以各角色所具有的权限来配置、管理或者监控设备。如果用户没有被授权任何角色，将无法成功登录设备。

一个用户同时只能拥有一个角色。

为了提高用户登录密码的安全性，可通过定义密码管理策略对用户的登录密码进行管理，并对用户的登录状态进行控制。管理员密码管理界面下的配置为全局配置，对所有用户生效。新建或修改指定管理员界面下的配置本文称之为本地用户密码管理配置，只对当前用户生效。本地用户密码管理中的配置优先级高于全局配置。

密码长度检查

管理员可以限制用户密码的最小长度。当设置用户密码时，如果输入的密码长度小于设置的密码最小长度，系统将不允许设置该密码。

密码复杂度检查

为确保用户的登录密码具有较高的复杂度，要求管理员为其设置的密码必须符合一定的复杂度要求，只有符合要求的密码才能设置成功。目前，可配置的复杂度要求包括：

· 不允许密码中包含用户名或颠倒的用户名。例如，用户名为“abc”，那么“abc982”或者“2cba”之类的密码就不符合复杂度要求。本功能在本地用户密码管理界面和全局密码管理界面均开启才生效。

· 不允许密码中包含连续三个或以上的相同字符。例如，密码“a111”就不符合复杂度要求。本功能在本地用户密码管理或全局密码管理界面任一位置开启都生效。

密码组合检查

本功能需在全局密码管理对应功能开启的情况下，本地用户密码管理下的配置才生效。管理员可以设置用户密码的组成元素的组合类型，以及至少要包含每种元素的个数。密码的组成元素包括以下4种类型：

· [A～Z]

· [a～z]

· [0～9]

· 32个特殊字符（空格~`!@#$%^&*()_+-={}|[]\:”;’<>,./）

密码元素的组合类型有4种，具体涵义如下：

· 组合类型为1表示密码中至少包含1种元素；

· 组合类型为2表示密码中至少包含2种元素；

· 组合类型为3表示密码中至少包含3种元素；

· 组合类型为4表示密码中包含4种元素。

当用户设置密码时，系统会检查设定的密码是否符合配置要求，只有符合要求的密码才能设置成功。

密码更新

管理员可以设置用户登录设备后修改自身密码的最小间隔时间。有两种情况下的密码更新并不受该功能的约束：开启密码管理后，用户首次登录设备时系统要求用户修改密码和密码老化后系统要求用户修改密码。

密码老化

本功能需在全局密码管理对应功能开启的情况下，本地用户密码管理下的配置才生效。当用户登录密码的使用时间超过密码老化时间后，需要用户更换密码。如果用户输入的新密码不符合要求，或连续两次输入的新密码不一致，系统将要求用户重新输入。对于FTP用户，密码老化后，只能由管理员修改FTP用户的密码；对于Telnet、SSH、Terminal（通过Console口登录设备）用户可自行修改密码。

密码过期提醒

在用户登录时，系统会判断其密码距离过期的时间是否在设置的提醒时间范围内。如果在提醒时间范围内，系统会提示该密码还有多久过期，并询问用户是否修改密码。如果用户选择修改，则记录新的密码及其设定时间。如果用户选择不修改或者修改失败，则在密码未过期的情况下仍可以正常登录。对于FTP用户，只能由管理员修改FTP用户的密码；对于Telnet、SSH、Terminal（通过Console口登录设备）用户可自行修改密码。

密码过期后允许登录

管理员可以设置用户密码过期后在指定的时间内还能登录设备的次数。这样，密码老化的用户不需要立即更新密码，依然可以登录设备。例如，管理员设置密码老化后允许用户登录的时间为15天、次数为3次，那么用户在密码老化后的15天内，还能继续成功登录3次。

密码历史记录

管理员可以设置系统保存用户密码历史记录。当用户修改密码时，系统会要求用户设置新的密码，如果新设置的密码以前使用过，且在当前用户密码历史记录中，系统将提示用户密码更改失败。另外，用户更改密码时，系统会将新设置的密码与所有历史记录密码以及当前密码逐一比较，要求新密码至少与旧密码有4字符不同。并且，这4个字符必须互不相同，否则密码更改失败。

可以配置每个用户密码历史记录的最大条数，当密码历史记录的条数超过配置的最大历史记录条数时，新的密码历史记录将覆盖该用户最老的一条密码历史记录。

由于设备管理类本地用户配置的密码在哈希运算后以密文的方式保存，配置一旦生效后就无法还原为明文密码，因此，设备管理类本地用户的当前登录密码不会被记录到密码历史记录中。

密码尝试次数限制

密码尝试次数限制可以用来防止恶意用户通过不断尝试来破解密码。本功能需在全局密码管理对应功能开启的情况下，本地用户密码管理下的配置才生效。

每次用户认证失败后，系统会将该用户加入密码管理的黑名单。可加入密码管理功能黑名单的用户包括：FTP用户和通过VTY方式访问设备的用户。不会加入密码管理功能黑名单的用户包括：用户名不存在的用户、通过Console口连接到设备的用户。

当用户连续尝试认证的失败累加次数达到用户登录尝试的最大次数时，系统对用户的后续登录行为有以下三种处理措施：

· 永久禁止登录。只有管理员把该用户从密码管理的黑名单中删除后，该用户才能重新登录。

· 暂时禁止登录。当配置的禁止时间超时或者管理员将其从密码管理的黑名单中删除，该用户才可以重新登录。

· 允许继续登录。在该用户登录成功后，该用户会从密码管理的黑名单中删除。

用户帐号闲置时间管理

管理员可以限制用户帐号的闲置时间。在配置的闲置时间内，用户从未成功登录过，此用户账户将失效，系统不再允许使用该帐号的用户登录。

若管理员设置的密码为弱密码，无论<密码管理>功能是否开启，设备都在用户登录时弹框提示，建议修改密码。

弱密码的判断条件包括以下几项，只要其中一项不符合，系统就识别为弱密码：

· 密码长度检查。有关此项详细介绍，请参见上文中的“密码长度检查”。

· 密码组合检查。有关此项详细介绍，请参见上文中的“密码组合检查”。

· 密码中不能包括用户名或者字符顺序颠倒的用户名。有关此项详细介绍，请参见上文中的“密码复杂度检查”。

· 不允许密码中包含连续三个或以上的相同字符。此项弱密码判断条件仅当密码管理功能开启后才生效。有关此项详细介绍，请参见上文中的“密码复杂度检查”。

可以根据实际使用场景，开启“弱密码时强制修改密码”功能。本功能仅对后续新登录的用户生效，不影响当前已登录用户。当用户使用弱密码登录，若未开启本功能，系统仅在登录时弹框建议修改弱密码，但不强制。用户可以忽略提示，继续登录设备。若开启了本功能，系统会强制要求修改为非弱密码才允许登录设备。管理员开启“弱密码时强制修改密码”功能时，必须至少配置一项弱密码判断条件。

NTP（Network Time Protocol，网络时间协议）可以用来在分布式时间服务器和客户端之间进行时间同步，使网络内所有设备的时间保持一致，从而使设备能够提供基于统一时间的多种应用。

SNTP（Simple NTP，简单NTP）采用与NTP相同的报文格式及交互过程，但简化了NTP的时间同步过程，以牺牲时间精度为代价实现了时间的快速同步，并减少了占用的系统资源。在时间精度要求不高的情况下，可以使用SNTP来实现时间同步。

NTP/SNTP时钟源身份验证功能可以用来验证接收到的NTP报文的合法性。只有报文通过验证后，设备才会接收该报文，并从中获取时间同步信息；否则，设备会丢弃该报文。从而，保证设备不会与非法的时间服务器进行时间同步，避免时间同步错误。

跨三层MAC学习功能是指当设备和终端（如PC）之间有三层网络设备时，设备仍然可以学习到终端的MAC地址。

当终端采用动态IP地址访问网络时，使用IP地址作为过滤条件已经无法实现对网络流量的准确匹配和控制，此时需要使用MAC地址作为策略的过滤条件。但是在跨三层网络设备的组网环境中，设备无法直接获取终端的MAC地址，使用跨三层MAC学习功能可以获取终端的MAC地址。

图-1 跨三层MAC学习流程图

跨三层MAC学习具体流程如下：

1.        三层网络设备（一般为网关设备）学习终端的IP-MAC映射关系，生成ARP表项；

2.        设备定期向三层网络设备发送SNMP请求报文，获取其ARP表项；

3.        三层网络设备响应SNMP请求报文，返回ARP表项；

4.        设备收到ARP表项后将其保存在内存中，最终学习到终端的MAC地址。

配置准备

在配置跨三层MAC学习功能之前，需要保证组网中与设备对接的三层网络设备已开启SNMP Agent服务，已配置团体名且支持SNMP v2c或SNMP v3版本。

配置步骤

跨三层MAC学习的具体配置步骤如下：

1.        选择“系统 > 维护 > 跨三层MAC学习 > 三层设备访问设置”。

2.        在“三层设备访问设置”页面开启跨三层MAC学习功能。

3.        （可选）配置访问目标三层网络设备的时间间隔和超时时长，具体内容如下表所示。

表-1 配置访问目标三层网络设备的时间间隔和超时时长参数表

4.        单击<应用>按钮。

5.        添加目标三层网络设备。

a.         在“三层设备访问设置”页面的三层设备列表下，单击<新建>按钮。

b.         在“新建三层设备”页面配置三层设备信息，具体内容如下表所示。

c.         单击<确定>按钮。

配置文件概述

配置文件是用来保存配置的文件。配置文件主要用于：

· 保存当前配置，以便设备重启后，这些配置能够继续生效。

· 使用配置文件，用户可以非常方便地查阅配置信息。

· 当网络中多台设备需要批量配置时，可以将相同的配置保存到配置文件，再上传/下载到所有设备，在所有设备上执行该配置文件来实现设备的批量配置。

出厂配置

设备在出厂时，通常会带有一些基本的配置，称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下，能够正常启动、运行。

启动配置

设备启动时运行的配置即为启动配置。如果没有指定启动配置文件或者启动配置文件损坏，则系统会使用出厂配置作为启动配置。

当前配置

系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中，如果不保存，设备运行过程中用户进行的配置在设备重启后会丢失。

恢复出厂配置

恢复出厂配置功能用于将设备恢复至出厂时的基本配置并立即重启设备。使用该功能会删除设备上用户保存的所有配置，所以请谨慎操作。建议当设备使用场景更改或者设备出现无法修复的故障时，执行恢复出厂配置操作来将设备恢复到出厂状态。

恢复出厂配置功能仅缺省Context支持，非缺省Context无法使用该功能。

备份当前配置

备份当前配置功能主要用于备份设备当前的配置信息，以便在需要时对设备配置进行回滚。

本功能支持将设备配置信息备份在设备本地或者远端服务器上（FTP服务器、TFTP服务器），可立即备份也可周期性自动备份。

配置回滚

配置回滚功能主要用于通过配置备份文件将设备回滚至备份时的配置状态。

配置回滚功能支持从本地或者服务器上（FTP/TFTP）获取配置文件对设备配置进行回滚，若从服务器上获取配置文件，需指定时间进行配置回滚。

备份当前配置

1.        选择“系统 > 维护 > 配置文件”。

2.        单击<备份当前配置>按钮。

3.        配置备份信息，具体内容如下表所示：

表-1 备份信息

4.        单击<确定>按钮，可完成备份设备当前配置操作。

配置回滚

1.        选择“系统 > 维护 > 配置文件”。

2.        单击<配置回滚>按钮。

3.        选择回滚文件来源：

?    本地：点击回滚文件对应的“回滚”链接即可将设备配置回滚至指定文件。

?    服务器：配置如下参数，然后单击<确定>按钮即可从服务器上获取配置文件进行配置回滚。

表-2 配置回滚（回滚文件来源于服务器）

配置步骤

1.        选择“系统 > 诊断中心 > 报文捕获”。

2.        在“报文捕获”页面单击<开始报文捕获>按钮，进入“配置报文捕获过滤条件”页面。

3.        在“配置报文捕获过滤条件”页面，具体配置内容如下表所示：

表-1 配置参数表

4.        单击<开始>按钮，设备将开始进行报文捕获，报文捕获页面上的报文捕获状态为开始。

5.        在“报文捕获”页面单击<停止报文捕获>按钮，设备将停止对报文进行捕获，报文捕获页面上的报文捕获状态为停止，捕获文件将显示在捕获报文页面下方。

配置步骤

1.        选择“系统 > 诊断中心 > 报文捕获”。

2.        在“报文捕获”页面单击<配置报文捕获参数>按钮，进入“配置报文捕获参数”页面。

3.        在“配置报文捕获参数”页面，具体配置内容如下表所示：

表-2 配置参数表

4.        单击<确定>按钮，完成报文捕获参数配置。

· 报文捕获功能不支持多用户同时配置。

· 报文捕获功能启动后，报文捕获的参数不能再被修改。

· 启动报文捕获功能会对设备的性能产生影响，因此建议只在需要捕获报文的情况下启动该功能。

· 捕获文件存储在本地的情况下，报文捕获启动后系统会删除捕获文件存储路径下所有.cap后缀的文件，因此请及时导出所需的捕获文件。

· 报文捕获功能不支持对非缺省Context的共享接口进行报文捕获。

40-报文捕获（仅适用于F50X0-D和F5000-AK5X5）

网页诊断功能主要用于当内网用户访问网页出现故障时，对网络进行基本的诊断，并给出故障原因。

当内网用户访问网页出现故障时，通常需要结合多种诊断手段（如Ping，查看Log信息等）排查网络故障。网页诊断可以通过一键诊断功能对网页访问故障进行快速、系统的排查和分析，并输出简单易懂的故障提示信息，方便管理员处理网络故障。

1.        选择“系统 > 诊断中心 > 网页诊断”。

2.        配置诊断参数，具体内容如下表所示：

表-1 诊断参数表

3.        单击<诊断>按钮，对网页进行诊断。

4.        通过查看输出的诊断信息，对网页访问故障进行分析和处理。

5.        （可选）可以单击<导出>按钮，将网页诊断结果以Excel的格式导出。

当出现网络故障时，通常由于设备上配置了较多的安全业务，导致管理员无法快速、准确地定位故障。报文示踪功能可以帮助管理员有效解决上述问题。

为满足不同情况下网络故障定位的需求，报文示踪功能提供了如下三种诊断模式：

· 真实流量诊断：指在实际网络环境中，对经过设备的真实流量进行追踪和分析。此种方式适用于在实际网络中定位网络故障。

· 导入报文诊断：指将捕获的文件（必须是“.cap”或 “.pcap”格式的文件）导入设备，对报文进行分析，对报文被处理的过程进行回放。此种方式适用于在本设备上已经捕获所需报文的场景，或者需要对其他设备（如不支持报文示踪功能的设备等）上的报文进行协助分析的场景。

· 构造报文诊断：指设备根据管理员输入的参数信息构造一个报文，用来验证和查看已配置的安全业务功能对此报文的处理结果。此种方式适用于在设备上配置完各项所需的功能后，模拟一个真实流量的报文，来验证设备对报文的处理是否可以达到预期效果的场景。

· 仅在诊断报文前选择捕获诊断报文功能后，报文示踪过程才会生成.cap文件，否则不会生成。

· 捕获报文生成.cap文件被下载后，设备上保存的此文件即被删除，管理员将无法再次导出。

· 导入报文诊断模式仅能导入文件中的前10条流，每条流又仅能导入前10个报文，且仅能对导入的完整报文进行示踪，不完整的报文无法进行示踪。

44-测试负载均衡配置

IPsec故障诊断功能可以检测IPsec连接的状态，当IPsec连接发生故障时，可以协助用户排查IPsec配置中的问题，并提供可能的原因。

设备支持三种诊断模式：数据流、接口、IP地址。在三种模式下，设备首先将根据用户指定的信息查找对应的IPsec策略。然后，在数据流和接口模式下，设备会主动向对端发起IPsec连接并进行诊断；在IP地址模式下，本端将等待指定对端发起IPsec连接，然后进行IPsec诊断。

表-1 IPsec诊断参数表