rg-wall1600系列下一代防火墻命令手冊(cè)

福建星網(wǎng)銳捷網(wǎng)絡(luò)，保留一切權(quán)利沒有經(jīng)過本公司，任何單個(gè)人不得擅自摘抄、本書內(nèi)容的部分或者全部，并且不。、、、、、、、、、、、、都是福建網(wǎng)銳捷網(wǎng) 的商標(biāo)，不得仿冒 命令斜體：命令行參數(shù)（命令中必須由實(shí)際值進(jìn)行替代的部分）采用斜體表[]：表示用[]各類標(biāo) 符別表示回車、小寫字母a。鍵盤操鼠標(biāo)操目錄 通 copy命令使 配置文件的上傳與.......................................................................................................... 配置 進(jìn)入 bootLoader功能1配置網(wǎng)絡(luò)參 bootLoader功能2網(wǎng)絡(luò)版 bootLoader功能3網(wǎng)絡(luò)啟動(dòng)版 bootLoader功能4串口版 bootLoader功能5串口啟動(dòng)版 bootLoader功能6USB版 bootLoader功能7USB啟動(dòng)版 bootLoader功能8雜項(xiàng)功 bootLoader功能9重啟設(shè) 會(huì)話與..................................................................................................................................... 配置RADIUS管理員用 ............................................................................................................................................................56 系統(tǒng)................................................................................................................................................ 命令的使用 配置SSL加 系統(tǒng)............................................................................................................................................................概 配置CPU利用 網(wǎng)絡(luò)................................................................................................................................................ 配置系統(tǒng)告 接 以太網(wǎng)端口與.......................................................................................................... 配置VLAN接 VLAN概 透明網(wǎng)橋與.............................................................................................................. 配置GRE接 GRE概 配置 GRE與調(diào) 配置 DDNS概 配置 配置DDNS服務(wù)提供 配置DDNS配置DDNS用戶 配置DDNS啟用DDNS功 查看接口DDNS狀 調(diào)試 接口DDNS配置失 配置案例:添加接口到域 DNS概 配置 DNS查 DNS與調(diào) 查看DNS調(diào)試信 配置 配置 配置啟用SNMP 配置trap地 配置 配置案例1：通過MIBBrowser設(shè)備MIB SNMP與查看usm用 配置 配置 配置static 配置static 查看NAT配置信 查看NAT轉(zhuǎn)換信 清除NAT轉(zhuǎn)換條 查看NAT轉(zhuǎn)化過程信 配置DHCP服務(wù) DHCP服務(wù)器概 DHCPRelay概 配置DHCP 在接口上指定DHCPServer服 配置DHCPServer服務(wù)子 配置DHCPServer地址池及其租 配置DHCP子網(wǎng)缺省網(wǎng) 配置DHCP子網(wǎng)DNS服務(wù) 配置DHCP子網(wǎng)WINS服務(wù) 配置DHCP子網(wǎng)............................................................................................................配置DHCP地址綁 配置DHCP地址排 DHCP服務(wù) 顯示DHCPServer配置信 顯示DHCPServer地址分配信 配置 HA概 配置 配置HA接 配置HA外部地址功 HA與調(diào) 查看HA配 查看HA狀 查看HA內(nèi)核信 debugha debugha debugha 配置向服務(wù)對(duì)象中添加TCP|UDP服 配置案例1:添加服務(wù)對(duì)象與服務(wù)對(duì)象 配置案例:添加地址對(duì)象與地址對(duì)象 配址對(duì) 配置RADIUS管理員用 配置RADIUS接入用 配置RADIUS服務(wù)器支 配置RADIUS服務(wù) 配置RADIUS服務(wù)器加入用戶 配置案例2：非本地用戶RADIUS認(rèn) 認(rèn)證用戶與 查看RADIUS服務(wù)器信 配置 QoS概 QoS配 QoS帶寬配 QoSDSCP配 配置WEB過 配置文件 配置防ARPARP防御概 配置ARP防 配置啟用ARP防御功 配置關(guān)閉ARP學(xué) 配置防ARPflood查看ARP 查看DEBUG信 防DOS概 配置防jolt2功 配置防land-base功 配置防smurf配置智能TCPFlood防 防DOS的與 查看防DOS的debug信 TCPFlood防御失 配置防TCP 配置防UDP 配置防 查看ARP列 清除ARP列 ARP探 用戶認(rèn)證與 配置MAC過 MAC過濾概 配置MAC過 MAC過濾與 MAC過濾的調(diào) 配置 RIP協(xié)議概 配置 配置啟用RIP路由協(xié)議功 配置RIP版 配置RIP發(fā)布的網(wǎng) 配置RIP發(fā)布缺省路 配置RIP默認(rèn)的重發(fā)布度 配置RIP定時(shí)器觸發(fā)時(shí) 配置RIP定時(shí)器觸發(fā)時(shí) 配置RIP接口收發(fā)報(bào)文版 RIP與查看RIP路由 查看RIP配 配置 OSPF協(xié)議概 配置 配置啟用OSPF路由協(xié)議功 配置OSPF路由器Router- 配置運(yùn)行OSPF的接 配置OSPF區(qū)域認(rèn)證方 配置OSPF區(qū)域間路由聚 配置OSPF路由重分 配置OSPF重發(fā)布路由缺省 配置OSPF重發(fā)布默認(rèn)路 配置OSPF兼容 o報(bào)文定時(shí) 配置接口的OSPF網(wǎng)絡(luò)類 OSPF與查看OSPF路由 查看OSPF信 查看OSPF鄰居信 查看OSPFLSA數(shù)據(jù) 查看OSPF接口信 配置 PKI協(xié)議概 配置 CA的導(dǎo) CA的導(dǎo) CRL的導(dǎo) CRL導(dǎo) OCSP配 故障現(xiàn)象1：導(dǎo)入U(xiǎn)SBKEY的無法通過驗(yàn) 配置PKI PKI協(xié)議概 配置PKI 生成CA CA的導(dǎo) CA導(dǎo) CRL配 CRL的更 CRL的導(dǎo) 撤銷用戶導(dǎo)出用戶 生成用戶撤銷用戶 配置IPSecIPSec概 配置 應(yīng) 配置 配置 啟用 配置 配置IP地址范 配置分配給用戶的 配置分配給用戶的 配置需要過濾的HTTP方 啟用HTML重寫功 資 配置 網(wǎng) 配置 顯示 查看 配置 L2TP概 配置 配置L2TP模 L2TP與查看L2TP地址池配 debugl2tp 系統(tǒng)管 N系統(tǒng)可以通過命令行配置，也可以通過圖形界面進(jìn)行配置。其中命令行配置除了consoleSSH，netB/SHTTPSHTTP進(jìn)行連接。本手冊(cè)只介紹通過命令行的方式進(jìn)行配置 （CLI 字符串或者IP地址。關(guān)鍵字是指命令中要操作的對(duì)象。 exexitip是一個(gè)含有參數(shù)和關(guān)鍵字令。其中命令名稱為ip，關(guān)鍵字為address，參數(shù)值為語法使用語法幫助補(bǔ)齊命再輸入“Tab”鍵，如果匹配令有多個(gè)，則列出可能令，如果匹配令命令中的1-1符符 描 usergroupNAME iprouteA.B.C.D/M圓括號(hào)()和豎直線 符符 描timezone中括號(hào)[] showaccess-user 例如命令：policy1-命令ipaddress可以簡(jiǎn)寫成：ipadd 命令N>N#Nconfigure以太網(wǎng)接口配置N在全局配置模式下輸入N命令模命令模 提示 進(jìn)入方常用命令

interface進(jìn) 進(jìn) 命 描 -c<1-10000>-s<0-65507>-w<0-10>

showstartup- show 使用net管理設(shè)通過Web通過串口實(shí)現(xiàn)系統(tǒng)配波特 數(shù)據(jù) ：停止 ：通 net實(shí)現(xiàn)系統(tǒng)配ipaddress配置接口允 net登錄，可以使用下面令allowaccess 通過SSH方式實(shí)現(xiàn)系統(tǒng)配 net服務(wù)引起的。 net服務(wù)有一個(gè)致命前，一種有效代替net服務(wù)的有用工具就是SSH服務(wù)。SSH客戶端與服務(wù)器端通訊時(shí)，用戶名及口令均進(jìn)行了加密，有效防止了對(duì)口令的。設(shè)備支持以SSH的方式SSH功能的工作站都能通過TCP/IP網(wǎng)絡(luò)連接到設(shè)備?？梢酝ㄟ^以下步驟登ipaddressallowaccess copy ：表示更新版本文件 ：表示配置文件保存配臵write 方法write running-config中，系統(tǒng)剛啟動(dòng)時(shí)，running-config就是startup-config。配臵文件的上傳配置了，不知道怎樣把配置恢復(fù)到以前的狀態(tài)時(shí)）再把配置文件到設(shè)備中。通系統(tǒng) 開啟、關(guān) net服關(guān) net服務(wù)的步驟(no)allow 關(guān) 開啟、關(guān)閉SSH服關(guān)閉SSH服務(wù)的步驟：(no)allowaccess 清除登錄員踢出系統(tǒng)，可以通過clearuser命令完成這個(gè)功能。操作步驟：clearuserUSERNAMEaddr time N#show : IPS Compiletime :Dec27201110:59:12Copyright2010-2013RuijieNetworksCorps.Device:1600-SCSerialnumber:eth0:Marvell88E6161v1.0MACaddress:00:90:0b:13:36:83eth1:Marvell88E6161v1.0MACaddress:00:90:0b:13:36:84eth2:Marvell88E6161v1.0MACaddress:00:90:0b:13:36:85eth3:Marvell88E6161v1.0MACaddress:00:90:0b:13:36:86 10/100/1000MCaviumethernetCOPPERinterfaceMACaddress: 10/100/1000MCaviumethernetCOPPERinterfaceMACaddress:系統(tǒng)的bootLoader概 bootLoader環(huán)境是一個(gè)包含初始化過程和系統(tǒng)引導(dǎo)以及版本功能的獨(dú)立模塊。 配臵 進(jìn)入PressCtrl+ctostopauto-boot.3secondsleft.入主系統(tǒng)。按Ctrl+c后，系統(tǒng)會(huì)進(jìn)入如下環(huán)境： 1.Configurenetwork 2.DownloadSystemimagebyethernetportto 3.DownloadSystemimagebyethernetporttoRAMandrun.4.DownloadSystemimagebyserialportto 5.DownloadSystemimagebyserialporttoRAMand 6.DownloadSystemimagefromUSBdeviceto 7.DownloadSystemimagefromUSBdevicetoRAMand 8.Misc bootLoader功能1 版本文 內(nèi) 缺省設(shè) 備(Startup版本文件的本地IP地版本文件的本地IP地址掩版本文件的服務(wù)器IP地版本文件的文件n.binPleaseinputyourDoyouwanttoeditstartupscript-continue(y/n)?yStartupkernel:/boot/kernel.imgStartupinitrd:Startupcmdline:root=/dev/ramconsole=ttyS0,9600,n8Startupconfig:/boot/ncfg.conStartupimage:n.binStartuplocal:00Startupmask:Startupserver:Startupgateway:Areyousuretostoretheparametersabove-continue(y/n)?Startupgateway:如果PC機(jī)和設(shè)備直連或處在一個(gè)局域網(wǎng)內(nèi)，可不需要配置此參數(shù)（建Startuplocal:版本時(shí)設(shè)備所使用的IP地址。Startupmask:版本時(shí)設(shè)備所使用的IP地址掩碼。Startupserver:PC機(jī)的IP地址。Startupimage:bootLoader功能2網(wǎng)絡(luò)版porttodisk.可以將版本文件并安裝到設(shè)備的磁盤中。例如：Begaintoinstallfiles......Install Install FinishtoinstallversionbootLoader功能32.2.23.DownloadSystemimagebyethernetporttoRAMandrun.可以通過PC上的版本文件啟動(dòng)設(shè)備。但是此版本只在本次啟動(dòng)有效，bootLoader功能4串 串口版本指通過CONSOLE口使用XMODEM協(xié)議版本文件。請(qǐng)選擇4.DownloadSystemimagebyserialporttodisk。例如：PleaseinputyourPleasechangebaudrateto115200andtransferfilebyXMODEM115200，并重新連接，然后用超級(jí)終端的“發(fā)送文件”按鈕，選擇XMODEM協(xié)議，在瀏覽器中Downloadcomplete,pleasechangebaudratetobootLoader功能55.DownloadSystemimagebyserialporttoRAMandrun.可以通過串口啟動(dòng)PC機(jī)上的版本文件，操作步驟和2.2.5相同。不同的是，完畢后會(huì)直接啟動(dòng)系統(tǒng)而不是把bootLoader功能 版設(shè)備U盤并啟動(dòng)后，可以在bootLoader菜單中選擇6.DownloadSystemimagefromUSBdevicetodisk.注意U盤中必須有版本文件vsos.bin。系統(tǒng)會(huì)把版本從U盤中讀bootLoader功能 USB啟動(dòng)版選擇7.DownloadSystemimagefromUSBdevicetoRAMandrun.可以通過U盤中的bootLoader功能8MISCFUNCTIONS 1.Clearcurrentconfigure 2.Recoverbackupconfigure 3.Modifysystem 4.Resetadministrator 5. ClearcurrentconfigureRecoverbackupconfigureModifysystemDoyouwanttoModifysystemclock-continue(y/n)?y Second:Currenttime:2010/02/2006:39:17.Areyousure-continue(y/n)?（firewallbootLoader功能9配臵會(huì)話 對(duì)N產(chǎn)品來說，資源是十分寶貴的，當(dāng)受到外來的DDOS一類時(shí)，設(shè)備的資 缺省配臵3-1內(nèi)備55555 3 33關(guān)閉/話管理服configure 步驟noipinspect 步驟 3 33配臵會(huì)話管理連接限configure步驟ipinspectlimitconnection<0-2000000>步驟 <-1-2000000>步驟 <0-2000000>步驟ipinspectlimithalfopen-rate<-1-2000000>ipinspectlimithalfopen-rate<0-2000000>步驟noipinspectlimit步驟showipinspect參數(shù)說明：參參 說 缺省配<0- 系為-1，0除外；限，上限為-1，0除外；接速率上限，上限為-1，0除外；不能小于協(xié)議半連接總數(shù)上限，上限為-1，0除外；限為-1，0除外；限，上限為-1，0除外；下限，上限為-1，0除外；速率總數(shù)上限，上限為-1，0除外；]配臵系統(tǒng)/協(xié)議半連接（速率）總數(shù)上限時(shí)，選擇-10即為配臵會(huì)話管理老化時(shí)configure步驟ipinspectidletimetcpsynsent-<0-步驟ipinspectidletimetcpsynrecv-<0-步驟ipinspectidletimetcpfinwait-<0-步驟 ipinspectidletimetcptimewait-<0-步驟ipinspectidletimetcpclose-<0-步驟ipinspectidletimetcpestablished-<0-配置TCPESTABLISHED狀態(tài)老化間ipinspectidletimetcplastack-<0-ip<0- <0- <0- <0-ipinspectidletimesctpclosed-<0- 配置間 配置-ECHOED狀態(tài)老 配置SCTPSHUTDOWN-SENT 配置SCTPSHUTDOWN-RECD 步驟 配置SCTPESTABLISHED狀態(tài)老化間步驟 me|generic-idletime)<0-1728000>步驟noipinspectidletimetcp值步驟noipinspectidletimeudp值步驟noipinspectidletimegre值步驟noipinspectidletimesctp值步驟 步驟步驟showipinspectidletime參參 說 缺省配<0-

配臵協(xié)議網(wǎng)絡(luò)設(shè)備對(duì)不同協(xié)議的連接都有超時(shí)刪除功能，以保護(hù)設(shè)備的連接資源。在N 對(duì)TCP協(xié)議的全連接，默認(rèn)超時(shí)時(shí)間是1小時(shí)，UDP協(xié)議為30秒。配置步驟configure步驟protocolmanage點(diǎn)步驟description步驟protocol<TCP|步驟port<1-timeout<1- showipinspect #showipinspectlimit

sumlimit: showipinspect #showipinspectcount

Connectsumcount:1Halfopenconnectcount:2Halfopenconnectratecount:0Connectsumcount:1Halfopenconnectcount:2Halfopenconnectratecount:0Connectsumcount:0Halfopenconnectcount:0Halfopenconnectratecount:0Connectsumcount:0Halfopenconnectcount:0Halfopenconnectratecount:0Connectsumcount:0Halfopenconnectcount:0Halfopenconnectratecount:0查看會(huì)話默認(rèn)老化時(shí) showipinspectidletime #showipinspectidletimeallTCPsynsenttime:20secondsTCPsynrectime:10secondsTCPidletime:3600secondsTCPfinwaittime:5secondsTCPclosewaittime:5secondsTCPlastacktime:5secondsTCPwaittime:5secondsTCPclosetime:5UDPHalfopentime:10UDPidletime:30secondsICMPidletime:10secondsGREidletime:10secondsGREstreamidletime:30secondsSCTPclosedtime:10secondsSCTP-waittime:3secondsSCTP-echoedtime:3secondsSCTPestablishedtime:3600secondsSCTPshutdown-senttime:0.3secondsSCTPshutdown-recdtime:0.3secondsSCTPshutdown-ack-senttime:3secondsOtheridletime:30seconds showipconnectionall[<1-1000>] #showipconnectionallTCPdst16:2174src:2453timeout00:46:50policyid5stateTCPdst28:17669src0:6351timeout00:59:54policyid5stateCompleteTCPdst:2000src6:9149timeout00:59:56policyid-stateTCPdst0:80src:1234timeout00:51:04policyid5stateUDPdst04:8000src:4001timeout00:00:24policyid5stateTCPdst3:443src:3638timeout00:58:55policyid5stateTCPdst22:4662src00:3974timeout00:02:43policyid6stateTCPdst3:80src1:1086timeout00:59:41policyid5state showipconnectionprotocol(tcp|udp|icmp|generic|all)ipsource(IPADDRESS|any)dest(IPADDRESS|any)port(DESTPORT|any)state(complete|halfopen|all)[<1-N#showipconnectionprotocolallipsourcedestanyportanystateTCPdst03:1940src:1230timeout00:56:41policyid1stateTCPdst9:1863src:1245timeout00:59:18policyid1stateUDPdst0:53src:1046timeout00:00:01policyid1stateTCPdst5:1863src:1195timeout00:59:36policyid1state參數(shù)說明：參說)無(IPADDRESS|無 clearipconnection clearipconnectionprotocol(tcp|udp|icmp|generic|all)ipsource(IPADDRESS|any)dest(IPADDRESS|any)port(DESTPORT|any)state(complete|halfopen|all)參參 說 缺省配 showipconnectionstatistic(source-ip|dest-ip) #showipconnectionstatisticdest-ipdest-ip21count3dest-ip2countdest-ip5countdest-ip85countdest-ip03countdest-ip27count步驟 showipconnectionstatisticport #showipconnectionstatisticportdest-port1863count2dest-port80countdest-port53countdest-port1940count參數(shù)說明參說無 故障現(xiàn)象1故障現(xiàn)象2：不能建showipinspectcount和showipinspectlimit分別查看計(jì)數(shù)值和限制配臵管理員 authorized-tableNAME 步驟 參數(shù)說明參說無無無無 具有管理員用戶，表，信息 無無4.1.2配臵本地 NAME 配臵RADIUS管理員用RADIUSRADIUS配置RADIUS管理員用戶的步驟:user USER 創(chuàng)建或者修改RADIUS管理員對(duì)應(yīng)的SERVERauthorized-tableNAME 配臵LDAP 創(chuàng)建或者修改RADIUS管理員對(duì)應(yīng)的SERVERauthorized-tableNAME 配臵管理員用戶的管理地 authorized-address( authorized-address 參參說 配臵管理員最短口令長(zhǎng)adminpassword 參說6 usergroupNAME mode 步驟useraccessUSERgroup 命命 解showadmin- showrunning- 顯顯 用戶命令： #Login*MonApr9MonApr9MonApr9 配置Ncheck和admincheckshow-config，用戶admin可以使用系統(tǒng)中所有命令。 添 #configure (config)#authorized-table (authorized-table)#authorizedreadall (authorized-table)#exit #configure (config)#authorized-tablesystem-config (authorized-table)#authorizedreadall (authorized-table)#authorizedwriteall (authorized-table)#exit 步驟 N#configureN(config)#useradministratorchecklocal12345678authorized-tablereaderN(config)#useradministratoradminlocal87654321authorized-table步驟 N(config)#useradministratorcheckauthorized-address步驟 N(config)#writecheck用戶登錄Usernamecheck >N#showadmin-AdminUserUserUserTotalusers: #configureThisuserisnotpermitedthisoperation admin用戶登錄 > #showadmin-AdminUserName UserType Totalusers:N#configure 用戶無法該用戶是否處于封禁狀態(tài)，如果是使用useradministratorchecklocal12345678authorized-tableReader 類似令啟用。4）用戶存在問題，請(qǐng)使用useradministratorchecklocal12345678authorized-tableReader指令重設(shè)一遍用戶命令無法5 查看系統(tǒng)連續(xù)運(yùn)行的時(shí) #showsystemcurrent :MonApr210:14:44 :4查看系統(tǒng)當(dāng)前的日期和時(shí) #showABS UTC :2010-12-13Local :2010-12-13,查看系統(tǒng)當(dāng)前的時(shí)查看步驟 timezone57配臵系統(tǒng)當(dāng)前的時(shí)配置步驟 (config)#timezonezone1=GMT-12:00zone2=GMT-11:00zone3=GMT-10:00zone4=GMT-09:00zone5=GMT-08:00太平洋時(shí)間(和)蒂華zone7=GMT-07:00zone9=GMT-06:00zone13=GMT-05:00波哥大利馬基多zone17=GMT-04:00加拉拉巴zone18=GMT-04:00亞zone19=GMT-03:30zone21=GMT-03:00zone22=GMT-03:00zone23=GMT-02:00zone26=GMTzone27=GMT zone30=GMT+01:00布魯塞爾馬德里巴zone31=GMT+01:00熱窩斯科普里華沙薩格勒zone32=GMT+01:00zone33=GMT+02:00zone34=GMT+02:00zone35=GMT+02:00赫爾辛輔里加索非亞塔林維爾紐zone36=GMT+02:00zone37=GMT+02:00zone38=GMT+02:00zone39=GMT+03:00zone40=GMT+03:00zone42=GMT+03:00zone43=GMT+03:30zone44=GMT+04:00zone45=GMT+04:00zone46=GMT+04:30zone47=GMT+05:00zone48=GMT+05:00堡卡拉奇塔什zone49=GMT+05:30zone50=GMT+05:45zone51=GMT+06:00zone52=GMT+06:00zone54=GMT+06:30zone55=GMT+07:00克拉亞爾斯zone56=GMT+07:00zone57=GMT+08:00重慶特別行政zone58=GMT+08:00zone59=GMT+08:00zone60=GMT+08:00zone61=GMT+08:00伊爾庫茨克巴zone62=GMT+09:00zone63=GMT+09:00zone64=GMT+09:00zone65=GMT+09:30zone66=GMT+09:30zone67=GMT+10:00zone68=GMT+10:00zone69=GMT+10:00zone70=GMT+10:00zone71=GMT+10:00zone73=GMT+12:00zone74=GMT+12:00斐濟(jì)堪察加馬紹爾群zone75=GMT+13:00手動(dòng)設(shè)臵系統(tǒng)當(dāng)前的日期和時(shí) 說<2006- <1- <1- <0- <0- <0- 配置步驟： #date201004021020使用ntp設(shè)臵系統(tǒng)當(dāng)前的時(shí) 表示配置ntpserver地址為55ntploop間隔為60nontp命令可以停止ntp查看步驟： timezone57ntp55使用ntp立即更新系統(tǒng)時(shí) #ntpupdatetimeupdatesuccess 手動(dòng)升級(jí)及配臵恢命令說明：copytftpA.B.C.DRemoteFile(version|config|license|ipslib 說

：表示更新License文件 說 說 File：表示保存當(dāng)前配置自動(dòng) (config)#auto-update 步驟 步驟 (auto-update)#weeklysunmonnullwednullfri (auto-update)#timehour3minute (auto-update)#update步驟 N(auto-update)#N(auto-update)#update 命令的使設(shè)備提供了命令用來檢測(cè)網(wǎng)絡(luò)的基本連接情況，命令發(fā)送InternetControlMessageProtocolICMP)IP設(shè)備。普通用戶和管理員用戶都可以使用命令。的字節(jié)數(shù)、報(bào)文序號(hào)、TTL、響應(yīng)時(shí)間。按CTRL+C可以結(jié)束狀態(tài)。命令說明：-c<1-10000>-s<0-65507>-w<0-10> 說 -t1- 表示 檢測(cè)步驟： # #4(4):56data64bytesfrom4:icmp_seq=0ttl=64time=0.3ms64bytesfrom4:icmp_seq=1ttl=64time=0.0ms64bytesfrom4:icmp_seq=2ttl=64time=0.0ms64bytesfrom4:icmp_seq=3ttl=64time=0.0 #():56dataTraceroute命令的使Traceroute是另一種檢測(cè)網(wǎng)絡(luò)連接情況令，它與命令不同的是：它不但可以測(cè)IP[- 說 N#traceroutetracerouteto(),30hopsmax,38byte1()0.466ms1.287ms0.2862()2.092ms1.265ms2.134– 說-s <<1-<1-端 說 TCPSYN命令的使TCPSYN是一種檢測(cè)對(duì)方設(shè)備端口打開情況令。TCPSYN通過發(fā)送TCPSYN報(bào)文 說命令說明 -c<1-1000>-w<1-1000> 說 <0- #tcpsyn55tcpsynto*TCPSYNtimeout:*TCPSYNtimeout:*TCPSYNtimeout:*TCPSYNtimeout:*TCPSYNtimeout:步驟 #tcpsyn55tcpsynto1TCPACKform2TCPACKform3TCPACKform4TCPACKform5TCPACKform配臵SMTP步說1configure23server4server5servernoserver可以刪除SMTP配臵郵件發(fā)送者郵件地步說1configure23sender4Send-interval<1-配臵郵件接收者郵件地步說1configure23配臵發(fā)送郵件時(shí)是否需要認(rèn)步說1configure23auth步說1configure23username配臵發(fā)送郵件時(shí)認(rèn)證使用的步說1configure23passwd配臵SSL加步說1configure23ssl系 基線是指系統(tǒng)某一資源,當(dāng)其情況到達(dá)指定基線后,進(jìn)行。該項(xiàng)功能為系配 CPU利用 #showcpuusage 步驟步驟

::步驟 配 步驟 配 (sysmon)#sysrescpu 值,恢復(fù)系統(tǒng)默認(rèn) (sysmon)#nosysres 配 內(nèi)存利用 #show :1026000步驟 #步驟

:518316:步驟 配 步驟 配 (sysmon)#sysresmemory步驟 值,恢復(fù)系統(tǒng)默認(rèn)步驟 值,恢復(fù)系統(tǒng)默認(rèn) (sysmon)#nosysres配 系統(tǒng)連接進(jìn) 配置節(jié)步驟 配 步驟 配 (sysmon)#sysressession 步驟 (sysmon)#nosysres 網(wǎng)絡(luò)進(jìn) 配置節(jié)NN步驟 配置網(wǎng)絡(luò)地 (sysmon)#sysnet553表示配置IP55,每5分鐘一次,一次3個(gè)包 NN(sysmon)#no進(jìn) 配置節(jié)步驟 配 網(wǎng)絡(luò)步驟 配 網(wǎng)絡(luò)地 (sysmon)#sysnettcpsyn55213表示配置IP55的21端口,每5分鐘一次,一次3個(gè)包 (sysmon)#nosysnettcpsyn55 進(jìn) 配置節(jié) 步驟 (sysmon)#sysresfloweth0表示配置表示配置接口eth0，如果流量大于1024000 N(sysmon)#N(sysmon)#nosysres 6.5.1配臵系統(tǒng)告 說)到本地日志,即內(nèi))到本地日志,即內(nèi) 顯示系 配臵信6.6.1顯示系統(tǒng)配臵信顯示系 配 #showsysmonconfiglognetsysloglognetenaillogcpulocallogcpulogmemorylocallogmemorysysloglogsessionlocallogsessionsyslogsysnet3sysnet553sysnettcpsyn55213sysrescpusysresmemorysysressessionsysresflow! N(config)#sysmonN(sysmon)#sysrescpu85 (sysmon)#sysresmemory85N(sysmon)#sysressession20000N(sysmon)#sysnettcpsyn552135N(sysmon)#sysresfloweth01024000N(sysmon)#lognetsyslog (sysmon)#lognetenail (sysmon)#logcpulocal (sysmon)#logcpusyslog (sysmon)#logmemorylocal (sysmon)#logmemorysyslog (sysmon)#logsessionlocal (sysmon)#logsessionsyslog查看系統(tǒng)的結(jié)果，需要登陸web頁面，進(jìn)入日志與報(bào)告->本地日志->事件日志，接 對(duì)于端口名，如果是100M網(wǎng)卡，則名稱前綴為eth，比如eth0，eth1等等；如果1000Mgege0，ge1等等。設(shè)備的所有端口缺省狀態(tài)下是內(nèi)備端口管理狀態(tài)(shutdown/nonoconfigure步驟interface步驟auto-negotiate步驟退到模式步驟writeconfigure步驟interface步驟auto-negotiate步驟退到模式步驟writeHUB相連時(shí)，應(yīng)置以太網(wǎng)口為半雙工方式；與交換式LANSWITCH相連時(shí)，一般置以太網(wǎng)口為全雙工方式。configure步驟interface步驟duplex步驟退到模式步驟write參數(shù)說明：duplex參說10M100M，千兆設(shè)備端口速率為configure步驟interface步驟speed步驟退到模式步驟write 關(guān)閉端口的步驟：configure步驟interface步驟步驟退到模式步驟write關(guān)和DNS設(shè)置。每個(gè)端口都能分別配置不同的IP地址方式，但每次只能配置式。下面分別介紹configure步驟interface步驟ipaddress步驟步驟write配置端口通過PPPoE方式獲取地址的步驟：configure步驟interface步驟ipaddresspppoe步驟pppoeusername步驟pppoepasswordpppoe步驟pppoe步驟pppoedistance<1-write配置端口通過DHCP方式獲取地址的步驟：configure步驟interface步驟ipaddressdhcpmetric<1-255>(reset|default)dns步驟步驟write參數(shù)說明：ipaddress參說metric<1-配置通過DHCP獲取地址gw 為使用DHCP服務(wù)器指定dns 為使用DHCP服務(wù)器指定noipaddresspppoe可以取消接口的PPPoE設(shè)置。 配置接口輔IP的步驟：configure步驟interface步驟 步驟退到模式步驟write關(guān)閉端口的步驟：configure步驟interface步驟mtu<64-步驟退到模式步驟write端口的管理是用來控制通過該端口和管理N設(shè)備的權(quán)限。通過配置端口的管理可以限制對(duì)端口的某類，保護(hù)N設(shè)備的安全運(yùn)行。配置端口管理的步驟configure步驟interface步驟步驟步驟write參數(shù)說明：allow參參說 允許或 通過 允允許或者外面設(shè)備端口的接入是用來控制通過該端口接入的用戶Internet或者服務(wù)器的權(quán)限。通 configure步驟interface步驟步驟步驟write參數(shù)說明：allow參參 說 缺省配 允許或者該端口接L2TP用 允許或者該端口接ssl允許或者該端口接過程中，為了便于理解和記住端口的用處，需要把接口改成比較直觀的名字。通過aliasname命令可以給每個(gè)端口取一個(gè)個(gè)直觀的別名。修改端口別名的步驟：configure步驟interface步驟aliasname步驟步驟writedescription命令可以給端口設(shè)置復(fù)雜描述，便于以后設(shè)備的。設(shè)置端口描述的步驟：configure步驟interface步驟description步驟退到模式步驟write配臵案例描述配置步驟： 步驟 (config-if)#no (config-if)#speed100步驟 (config-if)#duplex步驟 關(guān)閉端口 以太網(wǎng)端 與顯示某個(gè)端口信息的步驟： #showinterface Linkstatusisup,Adminstatusisupaliasnameeth0mtuHWaddr:autonegotiate:ONspeed:100duplex:inetaddr:0Bcast:55UPBROADCASTPHYUPRUNNING RXpackets:8738errors:0dropped:0overruns:0frame:0TXpackets:6556errors:0dropped:0overruns:0carrier:0RXrate:2packets/s370TXrate:0packets/s0故障在網(wǎng)絡(luò)負(fù)載小時(shí)，從PC機(jī)（PC機(jī)與設(shè)備位于同一局域網(wǎng)內(nèi)）設(shè)備的以太網(wǎng)口，100Mbpsdown10Mbps模式的一UPspeed命令把連接雙方的速率配成一致址不一樣，請(qǐng)用ipaddress命令正確設(shè)置IP地址。絡(luò)段上所有其它機(jī)器都顯示嚴(yán)重，配置為全雙工模式的一方則顯示接收到大量錯(cuò)在連接共享式HubLanswitch時(shí)，一般使用全雙工配臵VLAN接 VLAN配置接口封裝的鏈路層協(xié)議為VLAN概配臵接口封裝的鏈路層協(xié)議為VLANIDVLANID1-4094interfaceIFNAME.vlanid指令I(lǐng)FNAMEVLAN子接口時(shí)設(shè)定的，例如，如果創(chuàng)建了一個(gè)物理以太網(wǎng)接口ge0的VLAN子接口，VLANID10，則命令為interfacege0.10。 接口名，<1-4094>為VLANID。步驟ipaddress show 顯示VLAN步配臵步在該交換機(jī)上劃分兩個(gè)VLAN：VLAN10和VLAN20口，端口2、3為Untaged端口，下接/24網(wǎng)段。VLAN20VLANID201、4、51Taged端口，連接的ge0接口，端口4、5為Untaged端口，下接/24網(wǎng)段；ge0接口上也劃分兩個(gè)VLAN，vlan10vlan20，VLANID1020。vlan10的IP地址為/24。圖7-1VLAN案例組網(wǎng)圖配置步驟 #configure (config-ge0.10)#ipaddress/24 (config-ge0.10)#exit步驟 (config)#interface (config-ge0.20)#ipaddress/24 (config-ge0.20)#exit步驟 (config)policy1anyanyanyanyanyalwayspermit (config-policy)#enable 步驟 N(config)#N(config)#write故障 透明網(wǎng)橋配臵透明創(chuàng)建透明網(wǎng)橋的步驟：interface nointerfaceNAME可以刪除一個(gè)網(wǎng)橋。網(wǎng)橋組端口的ID由兩部分組成：1字節(jié)的優(yōu)先級(jí)和1字節(jié)的端。當(dāng)網(wǎng)橋有兩個(gè)端interface 步驟bridge- <0- 配臵網(wǎng)橋配置步驟：configure 步驟Interface 步驟bridgestp 配置步驟：configure 步驟Interface 步驟bridgepriority0- 參數(shù)說明：參說橋接口優(yōu)先級(jí)值，范圍0-配置步驟：configure步驟Interface步驟bridgeo-time<1-配置發(fā)送參參 說 缺省配 發(fā)送obpdu時(shí)間間隔，范圍1-配置步驟：configure 步驟Interface 步驟bridgemax-age6- 參參 說 缺省配 STP最大老化時(shí)間，范圍20配置步驟：configure 步驟Interface 步驟bridgeforward-delay4- 參參 說 缺省配 端口狀態(tài)轉(zhuǎn)換時(shí)延，范圍 配臵將N設(shè)備一個(gè)原有的網(wǎng)絡(luò)結(jié)構(gòu)中，不改變?cè)型負(fù)浜团渲?，將N設(shè)備的ge0ge10（BVI0）中。ge0Router（e1口連接/16網(wǎng)段其余機(jī)器。7-2 #configure (config)#interfacebvi0 (config-if)#exit步驟 (config)#interface (config-if)#bridge-group0 (config-if)#exit步驟 (config)#interface (config-if)#bridge-group0 (config-if)#exit透明網(wǎng)橋與 #showbridge-group0Bridge:bvi0STP:bridgeid designatedroot :8000.0010f30d1a04Ageingtime:300bridgege0<forwarding>ge1 #showbridge-group0Bridge: 00:16:17:ed 100 #debugbridge步驟 #debugbridgeevent #debugbridgedetail常見故障配臵GRE接 GRE協(xié)議的英文全稱是GenericRoutingEncapsulation，即通用路由封裝協(xié)議，它規(guī)定了GRE被封裝的報(bào)文將在隧道的兩端進(jìn)行封裝和解封裝。使用GRE協(xié)議可以與對(duì)端路由器或7.4.2配臵內(nèi)備無3創(chuàng)建GREGREGRE通信的虛擬接口，默認(rèn)情況下該接口并不存在，因此需要手工創(chuàng)GRE接口將GRE封包的網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到對(duì)應(yīng)的物理接口，再發(fā)送到對(duì)端設(shè)步說1configure2interfacegre<0- 對(duì)于已建立的GRE通信，刪除GREGRE配置步驟：步說步驟configure步驟