目录
一、防火墙接口互联接口
1.防火墙支持的接口及板卡
2.物理链接线缆
3.支持接口种类
(1)物理接口
(2)逻辑接口
二、相关配置命令
1.配置三层接口IP地址
2.配置PPPOE拨号接口
3.配置VLANIF接口、子接口、回环接口
4.配置二层互联接口
5.配置Eth-Trunk接口
三、故障排除
1.以太网接口不能UP
(1)现象
(2)解决方法
2.光口物理层状态不能UP
(1)故障现象
(2)解决方法
四、防火墙初始化配置
1.管理员角色
2.管理员角色和管理员级别
3.系统时钟配
(1)手工配置
(2)从NTP服务器
4.激活系统License
(1)查看ESN来申请License
(2)配置手工激活
5.配置备份及还原
6.升级中心
(1)升级中心目前提供特征库的升级
(2)升级方式
一、防火墙接口互联接口
1.防火墙支持的接口及板卡
下一代防火墙接口及扩展卡支持以太网电口和光口两种
2.物理链接线缆
屏蔽与非屏蔽双绞线
单模光纤(长距)与多模光纤(短距)
光纤连接器
3.支持接口种类
(1)物理接口
三层以太网接口,二层以太网接口
(2)逻辑接口
VT接口,Dialer接口
Tunnel接口,Null接口 在web界面无法配置
VLAN接口
三层以太网子接口
Eth-Trunk接口,Loopback接口(不需要划zone)
二、相关配置命令
1.配置三层接口IP地址
#1.配置静态IP interface 接口 ip address IP地址 子网掩码 #2.配置DHCP获取IP(可选项) interface 接口 dhcp client enalbe #3.配置双工、速度、MTU(可选) interface 接口 undo negotiation auto duplex full speed 1000 mtu 1500 #4.配置描述和别名 description 描述 alias 别名 #5.配置网管功能 service-manage enable service-manage http https ping ssh permit
2.配置PPPOE拨号接口
#1.配置dialer接口 interface Dialer0 link-protocpl ppp ppp chap user user1 ppp chap password cipher yourpasswd ppp pap loacl-user user password cipher yourpasswd ppp ipcp dns admit-any ——clinet配置 ip address ppp-negotiate dilaler user user1 dilaler bundle 1 #2.绑定dialer到物理接口上 interface 接口 pppoe-client dial-bundle-number 1 ipv4
3.配置VLANIF接口、子接口、回环接口
#1.配置VLANIF接口 vlan batch 10 20 interface VLANIF 10 ip address IP地址 子网掩码 #2.配置三层子接口 interface g1/0/3.10 vlan-type dot1q 10 ip address IP地址 子网掩码 interface g1/0/3.20 vlan-type dot1q 20 ip address IP地址 子网掩码 #3.配置环回接口 interface loopback 0 ip address IP地址 子网掩码
4.配置二层互联接口
#1.配置VLAN vlan batch 10 20 #2.配置Access接口 interface G1/0/1 portswich port link-type access port access vlan 10 #3.配置Hybrid接口 interface G1/0/2 portswitch port linl-type hybrid port hybrid pvid 20 port hybird vlan 20 untagged #4.配置Trunk接口 interface G1/0/3 portswitch port link-type trunk port trunk pvid 1 port trunk permit vlan 10 20
5.配置Eth-Trunk接口
#1.配置手工eht-trunk interface eth-trunl 1 portswitch #2.配置LACP eth-trunk interdace eth-trunk 1 portswitch mode lacp-static max active-linknumber 2 #3.添加到eth-trunk接口中 interface G1/0/1 portswitch eth-trunl 1 interface G1/0/2 portswitch eth-trunl 1
三、故障排除
1.以太网接口不能UP
(1)现象
观察USG发现相连接口的只是灯不亮或者状态为down
(2)解决方法
网线问题:换网线
接口执行了shutdown命令:接口试图执行undo shutdown命令
两端设备的底层芯片实现的自协商协议不一致:在两端接口试图下配置相同速率和双工模式
两端接口配置的速率或工作模式不同:在两端接口视图下配置相同的速率和双工模式
USG接口卡存在问题:更换接口或接口卡
2.光口物理层状态不能UP
(1)故障现象
光接口互联后,LINK指示灯不亮或接口状态为down
(2)解决方法
光模块或光纤不匹配:确保光纤,光模块,接口卡全部匹配,确保光纤收发顺序没有接反
光模块或光纤异常:使用光功率计测量收光功率并相应处理
两端设备接口配置信息不一致:关闭协商功能,手工配置两端接口的双工模式、速度模式
接口、接口卡故障:替换接口,光模块或检测接口卡是否接好
四、防火墙初始化配置
1.管理员角色
默认支持一下四种,也可以自定义新角色
| 角色 | 描述 | 默认用户 |
|---|---|---|
| 系统管理员 | 拥有出审计功能外的所有权限 | admin/Admin@123 |
| 配置管理员 | 拥有业务配置和设备监控权限 | 无 |
| 配置管理员(只读) | 拥有设备监控权限 | 无 |
| 审计管理员 | 配置审计策略和查看审计日志的专用管理员角色 | audit-admin/Admin@123 |
2.管理员角色和管理员级别
管理员角色优先级高于管理员级别,管理员角色优先级高于远程服务器授权
| 级别 | 说明 |
|---|---|
| 0 | 只可以使用参观级(0级)命令 |
| 1 | 可以使用监控(1级)及参观级(0级)的命令 |
| 2 | 可以使用配置(2级)、监控(1级)及参观级(0级)的命令 |
| 3 | 可以使用管理(3级)、配置(2级)、监控(1级)及参观级(0级)的命令 |
| 4-15 | 缺省与3级管理员权限相当,命令级别扩充时,可以撇和扩充命令级别使用 |
3.系统时钟配
(1)手工配置
<SRG>clock timezone beijing add 8 16:31:09 2023/07/31 <SRG>dis clock 00:31:21 2023/07/31 2023-07-31 00:31:21 Monday Time Zone : beijing add 08:00:00
(2)从NTP服务器
<SRG>clock timezone beijing add 8 00:32:26 2023/07/31 <SRG>sys 00:32:28 2023/07/31 Enter system view, return user view with Ctrl+Z. [SRG]ntp-service unicast-server 133.100.11.8 00:32:49 2023/07/31
4.激活系统License
(1)查看ESN来申请License
[SRG]dis firewall esn 00:33:44 2023/07/31 Device ESN is: 210235t3330123456789
(2)配置手工激活
[SRG]license file hda1:/license.dat <SRG>display license
5.配置备份及还原
命令行可以使用FTP/SFTP/TFTP协议对配置进行备份和还原
配置进行备份前要使用save命令进行保存
配置还原后使用startup saved-configuration命令设置下次启动后加载配置文件
<SRG>startup saved-configuration vrpcfgbk.cfg 00:59:53 2023/07/31 Error:The file name is invalid or not exist in mainboard! <SRG>dis startup 01:00:03 2023/07/31 MainBoard: Configed startup system software: NULL Startup system software: NULL Next startup system software: NULL Startup saved-configuration file: NULL Next startup saved-configuration file: NULL <SRG>
6.升级中心
(1)升级中心目前提供特征库的升级
入侵防御特征库
反病毒特征库
应用识别特征库
地区识别特征库
(2)升级方式
通过安全按中心平台升级
通过内网升级服务器进行升级
