H3C SecPath M9000系列多业务安全网关指南

合集下载

MPLS操作

目录第1章 MPLS体系结构......................................................................................................1-11.1 MPLS概述....................................................................................................................1-11.2 基本概念......................................................................................................................1-11.2.1 转发等价类（FEC）..........................................................................................1-11.2.2 标签...................................................................................................................1-11.2.3 标签分发协议（LDP）.......................................................................................1-41.3 MPLS体系结构.............................................................................................................1-41.3.1 MPLS网络结构..................................................................................................1-41.3.2 LSP的建立.........................................................................................................1-41.3.3 LSP隧道与分层..................................................................................................1-51.3.4 标签报文的转发..................................................................................................1-51.4 LDP协议介绍...............................................................................................................1-61.4.1 LDP基本概念.....................................................................................................1-61.4.2 LDP工作过程.....................................................................................................1-71.4.3 LDP基本操作.....................................................................................................1-81.4.4 LDP环路检测....................................................................................................1-101.4.5 基于约束路由的LDP..........................................................................................1-101.5 MPLS与其他协议间的关系..........................................................................................1-101.5.1 MPLS与路由协议的关系...................................................................................1-101.5.2 RSVP对MPLS的扩展........................................................................................1-101.6 MPLS应用...................................................................................................................1-111.6.1 基于MPLS的VPN..............................................................................................1-111.6.2 基于MPLS的流量工程.......................................................................................1-121.6.3 基于MPLS的QoS..............................................................................................1-12第2章 MPLS配置.............................................................................................................2-12.1 MPLS配置概述.............................................................................................................2-12.2 MPLS基本配置.............................................................................................................2-12.2.1 配置MPLS LSR ID.............................................................................................2-22.2.2 进入MPLS视图..................................................................................................2-22.2.3 配置拓扑驱动建立LSP的建立策略......................................................................2-22.2.4 配置静态LSP.....................................................................................................2-32.2.5 配置MPLS的IP TTL复制功能.............................................................................2-32.2.6 配置MPLS使用IP路由返回ICMP响应报文..........................................................2-42.3 LDP协议配置...............................................................................................................2-52.3.1 使能LDP协议.....................................................................................................2-52.3.2 在接口上使能LDP协议.......................................................................................2-62.3.3 配置LDP扩展发现模式.......................................................................................2-62.3.4 配置会话参数.....................................................................................................2-72.3.5 配置远程LDP对等体会话参数.............................................................................2-82.3.6 配置环路检测.....................................................................................................2-82.3.7 配置LDP验证方式..............................................................................................2-9 2.4 MPLS的显示与调试.....................................................................................................2-102.4.1 MPLS的显示与调试..........................................................................................2-102.4.2 LDP协议的显示与调试......................................................................................2-12 2.5 MPLS典型配置举例.....................................................................................................2-13 2.6 MPLS配置的故障排除.................................................................................................2-16第1章 MPLS体系结构1.1 MPLS概述MPLS（Multiprotocol Label Switching）是多协议标签交换的简称，它用短而定长的标签来封装网络层分组。

M9000版本升降级问题故障排查

M9000版本升级故障的定位思路是：首先明确现网采用松耦合还是紧耦合，确认所需版本，包括Bootrom及软件版本，之后排查版本上传是否成功，最后检查版本升级相关配置是否正确。

1、检查版本上传是否成功 1)通过Bootware方式上传在设备加电启动时进入Bootware菜单，通过显示存储介质中所有文件来确认版本上传是否成功。

例如：在Bootware菜单下，确认文件SECPATH9000M-CMW710-R9115P02.ipe成功上传到flash下，且文件大小与官网版本一致，若Bootware菜单下未出现该文件，者文件大小与官网版本不一致，则说明版本上传失败。

命令：pwd 命令：dir [ /all ] [ file-url | /all-filesystems ]例如：通过命令查看版本文件SECPATH9000M-CMW710-R9115P02.ipe成功上传到主用主控板flash下，且文件大小与官网版本一致。

若flash下未出现该文件，或者文件大小与官网版本不一致，则说明版本上传失败。

当前主用主控板（准备执行升级操作的主控板）应预留320MB以上的空闲空间，非主用主控板应预留160MB以上的空闲空间，防火墙插卡应预留60MB以上的空闲空间，注意：各个防火墙板都要检查。

剩余空间不足会导致升级过程中系统无法向存储介质写入解压后的板卡文件，需要彻底删除无用文件以释放存储空间。

H3C SecPath M9000虚拟多业务网关产品日常维护指导书

H3C SecPath M9000虚拟多业务网关产品维护指导V1.0杭州华三通信技术有限公司修订记录目录第1章日常维护建议 (2)1.1 日常维护建议 (2)1.2 维护记录表格和维护操作指导书的使用说明 (3)第2章维护操作指导 (4)2.1.H3C SecPath M9000虚拟多业务网关设备现场巡检 (4)2.2.设备日常维护操作指导 (5)2.3.设备季度维护操作指导 (7)2.4.H3C设备年度维护操作指导 (10)第3章维护记录表格 (11)3.1 H3C SecPath M9000虚拟多业务网关设备日常维护值班日志 (11)3.2 H3C SecPath M9000虚拟多业务网关设备季度维护记录表 (12)3.3 H3C SecPath M9000虚拟多业务网关设备年度维护记录表 (14)3.4 突发问题处理记录表 (16)3.5 硬件更换记录表 (17)3.6 系统参数修改记录表 (18)第4章常见故障处理 (19)4.1故障处理通用流程 (19)4.2.1故障处理注意事项 (19)4.2.2如何搜集设备运行信息 (20)1.logfile日志 (20)2.diag信息 (21)4.2.3故障定位和处理 (22)1.故障处理流程图 (22)2.故障原因分类 (24)3.常见的故障恢复措施 (24)4.2硬件类故障处理 (25)4.2.1单板故障 (25)1.故障描述 (25)2.故障处理步骤 (29)4.2.2电源故障 (30)3.故障描述 (30)4.故障处理步骤 (30)4.2.3风扇故障 (30)5.故障描述 (30)6.故障处理步骤 (30)4.2.4温度告警 (31)7.故障描述 (31)8.故障处理步骤 (31)4.2.5故障诊断命令 (32)4.3链路端口故障处理 (33)4.3.1端口错包 (33)9.故障描述 (33)10.故障处理步骤 (35)4.3.2端口无法up (35)11.故障描述 (35)12.故障处理步骤 (35)13.故障处理步骤 (36)4.3.3端口频繁Up/Down (37)14.故障描述 (37)15.故障处理步骤 (37)4.3.4光模块故障 (37)16.故障描述 (37)17.故障处理步骤 (37)4.3.5故障诊断命令 (40)4.4报文转发故障处理 (41)4.4.1ping不通或丢包 (41)18.故障描述 (41)19.故障处理步骤 (41)4.4.2有NAT转换情况下，ping丢包或不通 (43)20.故障描述 (43)21.故障处理步骤 (43)4.4.3故障诊断命令 (47)4.5IRF类故障处理 (48)4.5.1IRF无法形成 (48)22.故障描述 (48)23.故障处理步骤 (48)4.5.2IRF出现分裂 (50)24.故障描述 (50)25.故障处理步骤 (50)4.2.4故障诊断命令 (52)4.6双机热备故障 (53)4.6.1没有加入冗余组的冗余口直连无法ping通 (53)1.故障描述 (53)2.故障处理步骤 (53)4.6.2主备模式双机热备故障 (55)3.故障描述 (55)4.故障处理步骤 (57)4.6.3故障诊断命令 (59)4.7NAT类故障处理 (59)4.7.1动态NAT转换故障(以动态nat outbound为例) (59)5.故障描述 (59)6.故障处理步骤 (60)4.7.2静态NAT444转换故障 (62)7.故障描述 (62)8.故障处理步骤 (64)4.7.3设备作为出口网关设备割接之后，NAT业务不通，但是接口地址可以ping通 (66)9.故障描述 (66)10.故障处理步骤 (67)4.2.5故障诊断命令 (67)4.8IPSEC/IKE类故障处理 (68)4.8.1IPSEC SA可以成功建立，但是IPSEC保护的流量不通 (68)1.故障描述 (68)2.故障处理步骤（以分析M9000-2为例） (68)4.8.2IPSEC的防火墙端为2台M9000主备堆叠，在IRF主设备down掉后，IPSEC出现异常 723.故障描述 (72)4.故障处理步骤 (72)4.8.3故障诊断命令 (74)4.9系统管理维护类故障处理 (74)4.9.1CPU占用率高 (74)5.故障描述 (74)6.故障处理步骤 (77)4.9.2内存占用率高 (79)7.故障描述 (79)8.故障处理步骤 (80)4.9.3故障诊断命令 (81)H3C SecPath M9000虚拟多业务网关产品维护指导关键词：SecPath F10x0、维护指导、常见问题摘要：此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPath M9000虚拟多业务网关设备进行健康性检查的相关事项。

H3C SecPath系列防火墙维护指导书(V2.0)

H3C SecPath系列防火墙维护指导书（V2.0）杭州华三通信技术有限公司修订记录Revision Records目录1.日常维护建议总则 (7)1.1.日常维护建议 (7)1.2.维护记录表格和维护操作指导书的使用说明 (8)2.安装操作指导 (9)3.维护操作指导 (10)3.1.H3C S EC P ATH防火墙设备现场巡检 (10)3.2.设备日常维护操作指导 (11)3.3.设备季度维护操作指导 (12)3.4.H3C设备年度维护操作指导 (12)4.入门维护 (13)4.1.基本概念 (13)4.2.产品FAQ (19)5.常见故障处理 (25)5.1.S EC P ATH防火墙故障诊断流程 (25)5.2.H3C S EC P ATH防火墙系统维护 (25)5.3.S EC P ATH防火墙连通性 (27)5.4.N AT故障处理 (28)5.5.攻击防范故障处理 (29)6.常见问题及FAQ (30)6.1.N AT专题篇FAQ (30)6.2.攻击防范篇FAQ (31)6.3.高可靠性篇FAQ (33)6.4.运行模式篇FAQ (34)7.附录 (37)7.1.维护记录表格 (37)7.2.H3C公司资源和求助途径 (43)H3C SecPath系列防火墙维护指导书关键词：SecPath防火墙、维护指导、常见问题、摘要：此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPath系列防火墙设备进行健康性检查的相关事项。

适用对象：本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。

安全的，即是私有的，在internet日益发达的年代，在公用网络上构建安全、可靠、能够满足特定业务QoS需求的私有专用网络，已经成为一种潮流，即可以利用internet的普及互连，经济，又可以构建一个与internet完全隔离的网络，满足金融行业信息保密的要求。

H3C网络设备产品参数

安全产品技术规范杭州华三通信技术有限公司目录1.防火墙系列 (4)1.1.M9000防火墙核心引导指标说明： (4)1.2.M9006 (4)1.3.M9010 (7)1.4.M9014 (10)1.5.新一代防火墙F50X0核心引导指标说明： (13)1.6.F5040防火墙招标参数 (13)1.7.F5020防火墙招标参数 (14)1.8.F5000-S防火墙招标参数 (16)1.9.F5000-C防火墙招标参数 (17)1.10.新一代F10X0防火墙核心引导指标说明： (19)1.11.H3C SecPath F1020防火墙招标参数 (19)1.12.H3C SecPath F1030防火墙招标参数 (21)1.13.H3C SecPath F1050防火墙招标参数 (23)1.14.H3C SecPath F1060防火墙招标参数 (25)1.15.H3C SecPath F1070防火墙招标参数 (28)1.16.H3C SecPath F1080防火墙招标参数 (30)1.17.三款新千兆防火墙核心引导指标说明： (32)1.18.F1000-E (32)1.19.F1000-E-SI (33)1.20.F1000-A-EI (35)1.21.F1000-S-AI (36)1.22.SecBlade FW Enhanced招标参数 (37)1.23.SecBlade FW招标参数 (39)1.24.SecBlade FW Lite防火墙招标参数 (41)1.25.新一代F1000-C-SI、F100-A/M-SI防火墙核心引导指标说明： (42)1.26.F1000-C-SI防火墙招标参数 (43)1.27.F100-A-SI防火墙招标参数 (44)1.28.F100-M-SI防火墙招标参数 (45)2.VPN系列................................................................................................................. 错误!未定义书签。

H3CSecPathM9000软件包兼容性issu升级

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (2)3.1 组网需求 (2)3.2 配置步骤 (2)3.2.1 FTP下载安全引擎板的软件包，并指定安全引擎板的升级软件包 (2)3.2.2 FTP下载主控的软件包，并查看软件版本兼容信息和ISSU升级的决策 (3)3.2.3 确认升级备用设备的启动软件包并指定主用设备的下次启动软件包 (4)3.2.4 进行ISSU倒换 (8)3.2.5 确认并升级主设备的软件包 (10)1 简介本指导介绍版本软件包兼容情况下ISSU方式软件升级过程。

ISSU（In-Service Software Upgrade，不中断业务升级）是一种可靠性高的升级设备启动软件的方式。

它主要通过以下几个方面来确保在升级过程中业务不中断或者中断时间较短。

•引入软件包概念，便于软件的管理和维护。

将启动软件按功能划分成Boot软件包、System 软件包、Feature软件包和补丁包，将系统软件中比较稳定的基础进程和相对比较活跃的业务进程分离。

通常情况下，不需要升级基础进程，只需升级部分业务进程。

而且，业务进程之间互相独立，当某业务需要版本更新时，只需升级该业务对应的软件包即可，不用升级所有模块，从而不会对设备运行甚至其它业务造成影响。

•支持热补丁。

使用补丁包在不重启设备的情况下快速修复系统缺陷。

•根据不同的应用场景，提供不同的升级策略，尽量避免升级影响到当前业务的正常进行。

•需要硬件的配合，比如部署至少两块主控板。

当全局主用主控板需要重启升级时，全局备用主控板能接替全局主用主控板的工作，保证升级过程业务尽量不中断。

H3C安全产品手册(2016-03-02)

H3C SecPath M9000系列全面支持攻击防范、抗DDoS、访问控制、安全域划分、黑名单、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；采用ASPF（Application Specific Packet Filter）应用状态检测技术，可对连接状态过程和异常命令进行检测；支持多种 VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN、SSL VPN、MPLS VPN等，满足多种高性能VPN接入的需求；支持业界最丰富的NAT特性，满足各大运营商的NAT需求；提供丰富的路由能力，支持静态路由、RIP/OSPF/BGP/ISIS路由策略及策略路由；全面支持IPv4/IPv6双协议栈。
●支持安全ONE平台（SOP）。采用创新的基于容器的虚拟化技术实现了真正意义上的虚拟防火墙：
◎SOP之间实现了基于进程的真正相互隔离；
◎SOP通过统一的OS内核可以对系统的静态及动态的资源进行细粒度的划分；
◎SOP数量可以按照系统需求的变化动态调整；
◎SOP能力可以根据用户需求动态的进行调整。
电信级设备高可靠性
●采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从大中型企业用户到各大电信运营商，经历了多年的市场考验；
●支持状态1:1热备功能，支持Active/Active和Active/ Backup两种工作模式，实现负载分担和业务备份；
●支持状态N:N热备功能，实现负载分担和业务备份，大幅提高系统可靠性。
H3C Blue Valley网络内容缓存系统
103
104
安全管理平台
H3C SecPath云网站安全监测中心
104
H3C iMC SSM安全业务管理

H3CSecPath系列防火墙基本上网配置

新手可以根据下面的配置一步一步操作，仔细一点儿就没问题了~！可以用超级终端配置，也可以用CRT配置如果配置了，还是不能上网，可以加我的QQ：1恢复出厂设置：Reset saved-configuration配置防火墙缺省允许报文通过：system-viewfirewall packet-filter default permit为防火墙的以太网接口（以Ethernet0/0为例）配置IP地址，并将接口加入到安全区域：interface Ethernet0/0ip address IP地址子网掩码quitfirewall zone trustadd interface Ethernet0/0quit添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限：local-user 登录账号password simple 登录密码service-type telnetlevel 3quitquitsysfirewall packet-filter default permitdialer-rule 1 ip permitacl number 3000rule 0 permit ipquitinterface Dialer1link-protocol pppppp chap user PPPOE账号ppp chap password simple PPPOE密码ip address ppp-negotiatedialer-group 1dialer bundle 1nat outbound 3000quitinterface Ethernet0/4pppoe-client dial-bundle-number 1firewall zone untrustadd interface Ethernet0/4add interface Dialer1quitfirewall zone trustadd interface Ethernet0/0quitip route-static Dialer 1 preference 60 save。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C 、、H3CS 、H3CIE 、H3CNE 、Aolynk 、、H 3Care 、、IRF 、NetPilot 、Netflow 、SecEngine 、SecPath 、SecCenter 、SecBlade 、Comware 、ITCMM 、HUASAN 、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。

H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，H3C 尽全力在本手册中提供准确的信息，但是H3C 并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

安全声明重要！在产品上电启动之前，请阅读本产品的安全与兼容性信息。

IMPORTANT! See Compliance and Safety information for the product before connecting to the supply.您可以通过以下步骤获取本产品的安全与兼容性信息：To obtain Compliance and Safety information, follow these steps: (1) 请访问网址：/Technical_Documents ；Go to /Technical_Documents . (2) 选择产品类型以及产品型号；Choose the desired product category and model.(3) 您可以从安全与兼容性手册或安装手册中获取安全与兼容性信息。

Obtain Compliance and Safety information from the Compliance and Safety Manual or the installation guide for the product.环境保护本产品符合关于环境保护方面的设计要求，产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。

目录1快速安装指南 ····································································································································· 1-11.1 安装前的准备····································································································································· 1-11.2 安装多业务安全网关·························································································································· 1-11.2.1 安装前检查······························································································································ 1-11.2.2 安装浮动螺母 ·························································································································· 1-21.2.3 安装走线架······························································································································ 1-31.2.4 安装挂耳 ································································································································· 1-51.2.5 安装机箱到机柜 ······················································································································ 1-51.3 连接保护地线····································································································································· 1-61.4 安装模块············································································································································ 1-71.4.1 佩戴防静电手腕 ······················································································································ 1-71.4.2 安装单板到机箱 ······················································································································ 1-81.4.3 安装电源模块到机箱 ··············································································································· 1-91.5 连接电源线 ······································································································································ 1-101.5.1 连接交流电源线 ···················································································································· 1-101.5.2 连接直流电源线 ···················································································································· 1-111.6 安装XFP/SFP+/SFP/QSFP+模块（可选） ····················································································· 1-111.7 登录多业务安全网关························································································································ 1-121.8 资料获取方式··································································································································· 1-131 快速安装指南本文档用于为H3C SecPath M9000系列多业务安全网关的硬件安装提供简单快捷的操作指导，有关安装过程及注意事项更详细的介绍，请参见《H3C SecPath M9000系列多业务安全网关安装指导》。