山石网科安全网关配置命令

Hillstone山石网科多核安全网关安装手册Hillstone山石网科SG-6000-IM0609-3.5R2C-01前言内容简介感谢您选用Hillstone Networks的网络安全产品。

本手册为Hillstone山石网科多核安全网关的安装手册，能够帮助用户正确安装Hillstone山石网科多核安全网关。

本手册的内容包括：•第1章产品介绍•第2章安全网关安装前的准备工作•第3章安全网关的安装•第4章安全网关的启动和配置•第5章安全网关的硬件维护•第6章常见故障处理手册约定为方便用户阅读与理解，本手册遵循如下约定：•警告：表示如果该项操作不正确，可能会给安全网关或安全网关操作者带来极大危险。

因此操作者必须严格遵守正确的操作规程。

•注意：表示在安装和使用安全网关过程中需要注意的操作。

该操作不正确，可能影响安全网关的正常使用。

•说明：为用户提供有助于理解内容的说明信息。

内容目录第1章产品介绍 (1)简介 (1)SG-6000系列多核安全网关的特点 (1)创新的多核Plus TM网络安全构 (1)强健的实时操作系统Hillstone (1)主机硬件介绍 (1)前面板介绍 (1)后面板介绍 (4)指示灯含义 (4)系统参数 (6)端口属性 (7)CLR按键 (9)电源 (10)第2章安全网关安装前的准备工作 (11)介绍 (11)洁净度要求 (11)防静电要求 (11)电磁环境要求 (11)接地要求 (11)检查安装台 (12)其它安全注意事项 (12)检查安全网关及其附件 (12)安装设备、工具和电缆 (12)第3章安全网关的安装 (13)安装前说明 (13)将安全网关安装在工作台上 (13)将安全网关安装到标准机柜中 (14)线缆连接 (14)连接地线 (15)连接配置电缆 (15)连接以太网电缆或光纤 (15)连接电源线 (16)安装完成后的检查 (16)第4章安全网关的启动和配置 (17)介绍 (17)搭建配置环境 (17)搭建配置口（CON口）的配置环境 (17)搭建WebUI配置环境 (18)搭建Telnet和SSH配置环境 (18)安全网关的基本配置 (18)第5章安全网关的硬件维护 (20)介绍 (20)电源模块的安装与拆卸 (20)风扇盘的安装与拆卸 (20)第6章常见故障处理 (22)介绍 (22)口令丢失情况下的处理 (22)电源系统故障处理 (22)配置系统故障处理 (22)插图目录图1-1：SG-6000-X5100前面板示意图 (2)图1-2：SG-6000-G6100前面板示意图 (2)图1-3：SG-6000-G3100前面板示意图 (3)图1-4：SG-6000-M3100前面板示意图 (3)图1-5：SG-6000-M2100前面板示意图 (3)图1-6：SG-6000-X5100/SG-6000-G6100后面板示意图 (4)图1-7：SG-6000-G3100后面板示意图 (4)图1-8：SG-6000-M3100后面板示意图 (4)图1-9：SG-6000-M2100后面板示意图 (4)图3-1：脚垫安装示意图 (13)图3-2：挂耳安装示意图 (14)图3-3：机柜安装示意图 (14)图4-1：配置口（CON口）配置环境 (17)图4-2：设置终端通讯参数 (18)表格目录表1-1：SG-6000-X5100前面板标识说明 (2)表1-2：SG-6000-G6100前面板标识说明 (2)表1-3：SG-6000-G3100前面板标识说明 (3)表1-4：SG-6000-M3100前面板标识说明 (3)表1-5：SG-6000-M2100前面板标识说明 (3)表1-6：Hillstone山石网科多核安全网关前面板指示灯含义 (5)表1-7：Hillstone山石网科多核安全网关系统参数 (7)表1-8：配置口属性 (7)表1-9：辅助口属性 (7)表1-10：USB Host接口属性 (8)表1-11：千兆电口属性 (8)表1-12：SFP接口属性 (8)表1-13：SFP光接口模块属性 (9)表1-14：SFP-T电接口模块属性 (9)表1-15：XFP接口属性 (9)表1-16：XFP光接口模块属性 (9)表2-1：机房灰尘浓度范围表 (11)第1章产品介绍简介Hillstone SG-6000系列多核安全网关是Hillstone山石网科自主开发、拥有知识产权的新一代安全网关。

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项s howarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息s howdhcpexechasy；MAC地址表showmacexecha表29-1：手动同步配置命令列表HA 同步信息show 命令手动同步命令配置信息show configuration exec ha sync configuration文件信息show file exec ha sync file file-nameARP 表项show arp exec ha sync rdo arpDNS 配置信息show ip hosts exec ha sync rdo dnsDHCP 配置信息show dhcp exec ha sync rdo dhcpMAC 地址表show mac exec ha sync rdo macshow pki keyPKI 配置信息show pki trust-domainexec ha sync rdo pki会话信息show session exec ha sync rdo session show ipsec saIPSec VPN 信息show isakmp saexec ha sync rdo vpnshow scvpn client testshow scvpnhost-check-profileshow scvpn poolshow scvpnuser-host-bindingshow scvpn sessionSCVPN 信息show auth-user scvpnexec ha sync rdo scvpnshow l2tp tunnelshow l2tp poolshow l2tp client{tunnel-name name [useruser-name]| tunnel-id ID}L2TP 信息show auth-user l2tp{interface interface-name| vrouter vrouter-name}exec ha sync rdo l2tpWeb 认证信息show auth-user webauth exec ha sync rdo webauth NTP 信息show ntp exec ha sync rdo ntpSCVPN 信息show scvpn exec ha sync rdo scvpn路由信息show ip route exec ha sync rdo route显示HA配置系统提供相应的show 命令，查看HA 配置信息。

Hillstone山石网科多核安全网关快速配置手册Hillstone山石网科QS-UG0509-V1.1-01前言手册内容首先感谢您使用山石网科的网络安全产品。

本手册为Hillstone山石网科多核系列安全网关的快速配置手册，对Hillstone山石网科多核系列安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI的配置。

本手册的内容包括以下各章：♦搭建配置环境。

介绍配置环境信息以及WebUI配置环境的搭建。

♦第2章系统管理。

介绍系统固件StoneOS的升级、配置文件的备份等。

♦第3章快速部署安全网关。

介绍安全网关的路由应用模式部署。

♦第4章对外发布服务器。

介绍DNAT的基本配置。

♦第5章IP QoS。

介绍IP QoS的配置用例。

♦第6章应用QoS。

介绍应用QoS的配置用例。

♦第7章SCVPN。

介绍SCVPN的配置用例。

手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：♦提示：为用户提供相关参考信息。

♦说明：为用户提供有助于理解内容的说明信息。

♦注意：如果该操作不正确，会导致系统出错。

♦『』：用该方式表示WebUI页面上的链接、标签或者按钮。

♦< >：用该方式表示WebUI页面上提供的文本信息，包括单选按钮名称、复选框名称、文本框名称、选项名称以及文字描述。

目录第1章搭建配置环境 (1)配置环境介绍 (1)搭建WebUI配置环境 (1)搭建Console配置环境 (3)安全网关的基本配置 (3)第2章系统管理 (5)介绍 (5)时间配置 (5)升级StoneOS (5)配置信息操作 (6)保存配置信息 (6)导出配置信息 (7)导入配置信息 (7)恢复出厂配置 (8)第3章快速部署安全网关 (9)介绍 (9)组网 (9)配置步骤 (9)第4章对外发布服务器 (15)介绍 (15)组网 (15)配置步骤 (16)第5章IP QoS (23)介绍 (23)配置需求 (23)配置步骤 (23)第6章应用QoS (25)介绍 (25)配置需求 (25)配置步骤 (25)第7章SCVPN (26)介绍 (26)组网 (26)配置步骤 (26)第1章搭建配置环境配置环境介绍Hillstone山石网科多核安全网关是山石网科自主研发的专用高性能纯硬件安全网关，可应用于大中小型企业、大型区域办事结构、电信运营商、数据中心等。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (42)一对多映射（服务器负载均衡） (45)第4章链路负载均衡 (47)链路负载均衡介绍 (47)基于目的路由的负载均衡 (48)基于源路由的负载均衡 (49)智能链路负载均衡 (49)第5章QoS配置 (52)QoS介绍 (52)IP QoS配置 (52)应用QoS配置 (54)混合QoS配置 (57)QoS白名单配置 (58)第6章网络行为控制 (59)URL过滤（有URL许可证） (59)配置自定义URL库 (62)URL过滤（无URL许可证） (63)网页关键字过滤 (64)网络聊天控制 (68)第7章VPN高级配置 (71)基于USB Key的SCVPN配置 (71)新建PKI信任域 (71)配置SCVPN (76)制作USB Key (77)使用USB Key方式登录SCVPN (79)PnPVPN (81)用户配置 (82)IKE VPN配置 (83)隧道接口配置 (87)路由配置 (88)策略配置 (89)PnPVPN客户端配置 (90)第8章高可靠性 (92)高可靠性介绍 (92)高可靠性配置 (93)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。

Version5.5R8Copyright2020Hillstone Networks.All rights reserved.Information in this document is subject to change without notice.The software described in this document is furnished under a license agreement or nondisclosure agreement.The software may be used or copied only in accordance with the terms of those agreements.No part of this publication may be reproduced,stored in a retrieval system,or transmitted in any form or any means electronic or mechanical,including photocopying and recording for any purpose other than the purchaser's personal use without the written permission of Hill-stone Networks.Hillstone Networks本文档禁止用于任何商业用途。

联系信息北京苏州地址：北京市海淀区宝盛南路1号院20号楼5层地址：苏州高新区科技城景润路181号邮编：100192邮编：215000联系我们：/about/contact_Hillstone.html关于本手册本手册介绍山石网科的产品系统的使用方法。

获得更多的文档资料，请访问：https://针对本文档的反馈，请发送邮件到：*************************山石网科https://TWNO:TW-CUG-UNI-VSY-5.5R8-CN-V1.0-11/11/2020目录目录1关于本手册1手册约定1内容约定1CLI约定1命令行接口（CLI）2CLI介绍2命令模式和提示符2执行模式2全局配置模式2子模块配置模式3CLI命令模式切换3命令行错误信息提示3命令行的输入4命令行的缩写形式4自动列出命令关键字4自动补齐命令关键字4命令行的编辑4查看历史命令4快捷键5过滤CLI输出信息5分页显示CLI输出信息6设置终端属性7设置连接超时时间7重定向输出7诊断命令8虚拟系统9 VSYS对象9根VSYS和非根VSYS9管理员10 VRouter、VSwitch、安全域和接口12共享VRouter12共享VSwitch13共享域13共享接口13创建接口13配置VSYS13创建非根VSYS14配置非根VSYS的描述信息14创建VSYS Profile14设置资源配额15设置日志的缓存配额17配置URL过滤18配置入侵防御19配置病毒过滤19配置边界流量过滤20配置QoS20启用/禁用CPU资源配额21绑定Profile到VSYS21进入非根VSYS22配置共享属性22导入/导出物理接口23分配逻辑接口23绑定监测对象23监测指定VSYS状态24回退配置信息（非根VSYS）24退出配置回滚模式25配置退出配置回滚模式的动作26配置VSYS日志功能26配置跨VSYS转发功能27开启跨VSYS转发功能27配置Simple-Switch27创建Simple-Switch27绑定二层安全域到Simple-Switch28创建VWANIF接口28创建VPort接口29配置VWANIF接口29分配VWANIF接口29显示跨VSYS转发功能信息29显示VWANIF接口配置信息30显示VWANIF接口IPv6配置信息30显示VSYS信息30显示VSYS Profile信息30 VSYS配置举例30例1：VSYS在三层流量转发中的应用（通过单一VSYS）31组网需求31配置步骤31例2：VSYS在三层流量转发中的应用（通过共享VRouter）33组网需求33配置步骤34例3：VSYS在二层流量转发中的应用（通过共享VSwitch）37组网需求37配置步骤38例4：跨VSYS的流量转发（通过Simple-Switch）42组网需求42配置步骤43关于本手册手册约定为方便用户阅读与理解，本手册遵循以下约定：内容约定本手册内容约定如下：l提示：为用户提供相关参考信息。

Web界面配置指导Version 4.0Hillstone山石网科目录一、设备的登录 (2)二、基本上网配置 (3)三、端口映射 (8)四、IPSECVPN两种模式的配置 (14)五、SCVPN配置 (19)六、WEB认证上网功能配置 (23)七、URL日志记录 (26)八、IP-MAC绑定实现IP或MAC变更不能上网 (28)九、设备恢复出厂操作 (30)十、AAA服务器使用AD域类型的配置 (31)十一、SCVPN调用两个AAA服务器中的用户认证登录 (34)十二、HA配置注意事项 (35)一、设备的登录设备默认的管理接口为ethernet0/0，登录的ip为192.168.1.1,，默认的管理账号为hillstone，密码为hillstone。

把本地电脑网卡填写IP为192.168.1.2，使用web、telnet、ssh均可登录，，在浏览器中输入192.168.1.1 就可以通过WEBui的方式登录管理设备。

注意：如果是SG6000-NAV 系列的http的服务端口统一为9090，https的服务端口统一为8443。

所以默认登录该设备的WEBui的方式为http://192.168.1.1:9090,或h ttps://192.168.1.1:8443登录的账号密码都为hillstone二、基本上网配置1.设置接口信息购买的宽带地址是静态IP，一般会营业厅会告知IP地址、子网掩码、网关、DNS。

例如IP地址200.0.0.188 子网掩码255.255.255.0 或24，网关200.0.0.1DNS 202.106.0.20配置外网接口，ethernet0/1 为连接外网的接口【网络】>>【接口】，在接口列表中选择ethernet0/1，点击该接口后面的“编辑”按钮显示接口配置界面如下：配置完基本信息，点击“确认”上面是静态IP的使用，如果是ADSL拨号，【网络】>>【PPPoE客户端】新建填写使用的用户名和密码外网接口调用PPPoE，选择【设置路由】启用，勾选后不需要创建第2步的目的路由配置内网口，比如ethernet0/3连接内网：ethernet0/3的配置界面如下：配置完基本信息，点击“确认”2.增加内网上网的目的路由【网络】>>【路由】>>【目的路由】，填写完信息，点击“确认”3．增加内网用户上网的NAT配置【防火墙】>>【NAT】>>【源NAT】，点击“新建”选择“基本配置”：选择出接口，点击“确认”。

目录一、设备基础管理 (1)1.1设备登录 (1)1.1.1 通过CLI管理设备 (1)1.1.2 通过WebUI管理设备 (2)1.2管理员帐号及权限设置 (4)1.2.1 新增管理员 (4)1.2.1 修改管理员密码 (5)1.3 License安装 (6)1.4设备软件升级 (7)1.5设备配置备份与恢复 (9)1.5.1 备份设备配置 (9)1.5.2 恢复设备配置 (12)1.6系统诊断工具的使用 (14)二、对象配置 (16)2.1 配置地址薄 (16)2.2 配置服务簿 (17)三、网络配置 (21)3.1 配置安全域 (21)3.2 配置接口 (22)3.3 配置路由 (23)3.4 配置DNS (24)四、防火墙配置 (26)4.1 配置防火墙策略 (26)4.1.1 新增防火墙安全策略 (26)4.1.2 编辑防火墙安全策略 (27)4.2 配置NAT (28)4.2.1 配置源NAT (28)4.2.2 配置目的NAT (31)4.3 防火墙配置举例 (35)五、QOS配置 (44)5.1 配置IP QOS (45)5.2 配置应用QOS (46)六、常用日志配置 (48)一、设备基础管理1.1设备登录安全网关支持本地与远程两种环境配置方法，可以通过CLI 和WebUI 两种方式进行配置。

CLI同时支持Console、telnet、SSH等主流通信管理协议。

1.1.1 通过CLI管理设备通过Console 口配置安全网关时需要在计算机上运行终端仿真程序（系统的超级终端、SecureCRT等）建立与安全网关的连接，并按如下表所示设置参数（与连接Cisco设备的参数一致）：通过telnet或者SSH管理设备时，需要在相应接口下启用telnet或SSH 管理服务，然后允许相应网段的IP管理设备（可信主机）。

对接口启用telnet或SSH管理服务的方法如下：首先在网络—>网络连接模式下的页面下方勾选指定接口，点击图示为的编辑按钮，然后在弹出的接口配置窗口中对接口启用相应的管理服务，最后确认即可：1.1.2 通过WebUI管理设备WebUI同时支持http和https两种访问方式，首次登录设备可通过默认接口ethernet0/0 （默认IP 地址192.168.1.1/24，该接口的所有管理服务默认均已被启用）来进行，登录方法为：1. 将管理PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

Hillstone山石网科多核安全网关基础配置手册version 5.0目录第1章设备管理 (1)设备管理介绍 (1)终端Console登录 (1)WebUI方式登录 (1)恢复出厂设置 (2)通过CLI方式 (2)通过WebUI方式 (2)通过CLR按键方式 (4)StoneOS版本升级 (4)通过网络迅速升级StoneOS（TFTP） (4)通过WebUI方式升级StoneOS (6)许可证安装 (8)通过CLI方式安装 (8)通过WebUI方式安装 (8)第2章基础上网配置 (10)基础上网配置介绍 (10)接口配置 (10)路由配置 (11)策略配置 (13)源NAT配置 (14)第3章常用功能配置 (16)常用配置介绍 (16)PPPoE配置 (16)DHCP配置 (18)IP-MAC绑定配置 (20)端到端IPsec VPN配置 (22)SCVPN配置 (29)DNAT配置 (36)一对一IP映射 (37)一对一端口映射 (39)多对多端口映射 (41)一对多映射（服务器负载均衡） (44)第4章链路负载均衡 (46)链路负载均衡介绍 (46)基于目的路由的负载均衡 (47)基于源路由的负载均衡 (48)智能链路负载均衡 (48)第5章QoS配置 (51)QoS介绍 (51)IP QoS配置 (51)应用QoS配置 (53)混合QoS配置 (56)QoS白名单配置 (57)第6章网络行为控制 (58)URL过滤（有URL许可证） (58)配置自定义URL库 (61)URL过滤（无URL许可证） (62)网页关键字过滤 (63)网络聊天控制 (67)第7章VPN高级配置 (70)基于USB Key的SCVPN配置 (70)新建PKI信任域 (70)配置SCVPN (75)制作USB Key (76)使用USB Key方式登录SCVPN (78)PnPVPN (80)用户配置 (81)IKE VPN配置 (82)隧道接口配置 (86)路由配置 (87)策略配置 (88)PnPVPN客户端配置 (89)第8章高可靠性 (91)高可靠性介绍 (91)高可靠性配置 (92)关于本手册手册内容本手册为Hillstone山石网科多核安全网关的基础配置手册，对Hillstone山石网科多核安全网关的主要功能模块配置进行介绍，帮助用户快速掌握安全网关的WebUI配置。