华为USG防火墙运维命令大全

华为交换机维护检查用到些命令交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。

华为交换机日常维护检查有哪些常用的命令?华为交换机都是24小时运行的，日常需要做维护检查，查看设备的根本运行情况需要哪些命令?下面我们就来看看详细的教程，需要的朋友可以参考下1、查看子卡的运行状态，可以用命令display device。

此命令可以查看子卡在位信息及状态信息是否正常。

2、查看设备复位情况，可以用命令display reboot-info。

3、查看设备温度，可以用命令display temperature all。

各模块当前的温度应该在上下限之间，即“Current”的值在“Lower”和“Upper”之间。

4、查看设备的告警信息，可以用命令display alarm urgent。

如果没有告警就会显示无。

5、查看cpu状态，可以用命令display cpu-usage。

各模块的CPU占用率正常。

如果出现CPU占用率长时间超过80%或者频繁出现超过80%的情况，建议重点关注。

6、查看内存占用情况，可以使用display memory-usage。

7、查看日志信息，可以用display logbuffer或者display trapbuffer。

这两个命令为会经常用到。

交换机工作于OSI参考模型的第二层，即数据链路层。

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。

在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口。

因此，交换机可用于划分数据链路层播送，即冲突域;但它不能划分网络层播送，即播送域。

交换机拥有一条很高带宽的背部总线和内部交换矩阵。

交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的地址对照表以确定目的MAC(网卡的硬件地址)的NIC(网卡)挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC假设不存在，播送到所有的端口，接收端口回应后交换时机“学习”新的MAC地址，并把它添参加内部MAC地址表中。

华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】华为USG2000防火墙配置USG2000防火墙基本设置：外观1个调试口（CONSOLE）；2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）；1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。

初始配置GE0/0/0配置为路由接口，IP地址为防火墙访问IP为，登录用户名admin，密码Admin@123USG2000防火墙配置过程中注意事项：接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。

这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤一、配置防火墙的网络接口1.连接GE0/0/0端口，访问登录防火墙。

登录过程中出现证书错误，点击‘继续浏览此网站’继续。

输入用户名admin密码Admin@123登录防火墙。

登录后，弹出修改用户的初始密码的提示及快速向导。

初始密码尽量不要修改。

快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。

以上为USG2000基本配置界面。

现场配置所需要用到的只有网络和防火墙两个主菜单。

2.配置GE0/0/1端口选择菜单网络/接口，在GE0/0/1行最后点配置。

别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为‘access’，点击应用。

3.添加Vlan接口在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘’，子网掩码设置为‘’，最后点击应用。

如下图所示4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I区端口’。

注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到。

命令行注释命令行进入特权模式enable进入配置模式config切换语言switch language-mode查看全局配置display current-configuration查看单板温度display temperature 0查看DBA信息display dba-profile all查看线路模板信息display ont-lineprofile gpon all查看业务模板信息display ont-srvprofile gpon all查看流量模板信息display traffic table ip from-index 0查看设备单板display board 0查看设备某个单板，或者某个单板下ONU在线情况display board 0/2查看ONU是否上线display ont autofind all查看某个VLAN上下行Mac display mac-address vlan 3000进入单板interface gpon 0/2在单板下查看整个单板的配置interface gpon 0/1 display current-configuration在单板下查看某个PON口的光模块状态display port state 0在单板下查看某个PON口的流量display port traffic 0在单板下查看某个ONU的帧统计display statistics ont 0 0在单板下查看某个ONU的详细信息display ont info 0 0在单板下查看某个ONU的注册信息display ont register-info 0 0在单板下查看某个ONU的光模块信息display ont optical-info 0 0查看某个PON口配置信息display current-configuration port 0/1/0搜索匹配信息display current-configuration | begin进入主控板/上行板interface scu 0/9 interface giu 0/19在主控板/上行板模式下查看CRC错包display port statistics 0在主控板/上行板模式下查看光模块收发光信息display port ddm-info 0在主控板/上行板模式下查看端口流量信息display port traffic 0在主控板/上行板模式下查看光模块完整信息display port opticstate 0查看所有在线IPTV用户display igmp user online all查看某个PON口的IPTV用户display igmp user port 0/3/15查看某个IPTV用户是否正常观看节目display igmp user service-port 693查看BTV细节配置display current-configuration section btv查看聚合组、保护组细节配置display current-configuration section bbs查看SNMP细节配置display current-configuration section public 查看VLAN细节配置display current-configuration section vlan 命令行注释命令行进入特权模式enable进入配置模式config切换语言switch language-mode查看全局配置display current-configuration查看设备单板display board 0查看宽带端口在线情况display board 0/1查看语音端口在线情况display pstn state 0/2查看用户MAC地址display mac-address all查看语音H248接口协议状态信息display if-h248 all重启H248接口interface h248 0 reset coldstart y外线测试test pots loop-line-test 0/2/2 busy force语音仿真拨号(主叫)test pots emulational-caller caller-port 0/2/2 callee-telno 186********ONU常用命令OLT常用命令语音仿真拨号(被叫)test pots emulational-callee callee-port 0/2/2查看语音配置display current-configuration section h举例备注业务板、主控板、上行板等业务板类型有GPBD(8口)、GPFD（16口）等；主控板有SCUN 、SCUL；上行板有GICF根据注册信息可以查看设备上下线原因，一般情况下，有掉电（ONT dying-gasp）、丢光（LOSi）、断链等光模块信息需要查看ONU收OLT的光、OLT收ONU的光可根据IP地址、MAC地址、loid、设备描述等进行匹配搜索有错包影响IPTV用户使用根据查看结果可知道用户的service-port索引号根据查看结果可知道用户的service-port索引号根据用户的service-port索引号来查看举例备注可查看业务板、主控板，扣板等。

华为防火墙配置使用手册(自己写)[USGxxxx] interface GigabitEthernet 0/0/1 [USGxxxx-GigabitEthernet0/0/1] ip address 192.168.1.1 24 [USGxxxx-GigabitEthernet0/0/1] quit[USGxxxx] saveThe current configuration will be written to the device.Are you sure to continue? [Y/N]:YInfo: Please input the filename(*.cfg,*.zip)[vrpcfg.zip]:(To leave the existing filename unchanged, press the enter key):It will take several minutes to save configuration file, please wt......Configuration file had been saved successfullyNote: The configuration file will take effect after being activated网络 > 接口 > 物理接口 > 编辑 > 基本信息 >华为防火墙配置使用手册一、概述二、功能介绍防火墙功能：根据用户定义的安全策略，对进出网络的数据包进行允许或拒绝的动作，实现网络隔离和访问控制。

入侵防御功能：通过内置或外置的入侵防御系统(IPS)，对网络流量进行深度分析，识别并阻断各种已知或未知的攻击行为，如端口扫描、拒绝服务、木马、漏洞利用等。

反病毒功能：通过内置或外置的反病毒引擎，对网络流量中的文件和进行扫描，检测并清除各种病毒、蠕虫、木马等恶意代码。

内容过滤功能：通过内置或外置的内容过滤引擎，对网络流量中的网页、、即时通信等应用层内容进行过滤，阻止不良或违规的信息传输，如色情、暴力、赌博等。

防⽕墙常⽤命令有的linux系统默认防⽕墙不是iptables,⽽是firewall,那就得使⽤以下⽅式关闭防⽕墙了。

>>>关闭防⽕墙systemctl stop firewalld.service #停⽌firewallsystemctl disable firewalld.service #禁⽌firewall开机启动>>>开启端⼝firewall-cmd --zone=public --add-port=80/tcp --permanent命令含义--zone #作⽤域--add-port=80/tcp #添加端⼝，格式为：端⼝/通讯协议--permanent #永久⽣效，没有此参数重启后失效>>>重启防⽕墙firewall-cmd --reload其他常⽤命令：firewall-cmd --state ##查看防⽕墙状态，是否是runningfirewall-cmd --reload ##重新载⼊配置，⽐如添加规则之后，需要执⾏此命令firewall-cmd --get-zones ##列出⽀持的zonefirewall-cmd --get-services ##列出⽀持的服务，在列表中的服务是放⾏的firewall-cmd --query-service ftp ##查看ftp服务是否⽀持，返回yes或者nofirewall-cmd --add-service=ftp ##临时开放ftp服务firewall-cmd --add-service=ftp --permanent ##永久开放ftp服务firewall-cmd --remove-service=ftp --permanent ##永久移除ftp服务firewall-cmd --add-port=80/tcp --permanent ##永久添加80端⼝iptables -L -n ##查看规则，这个命令是和iptables的相同的man firewall-cmd ##查看帮助更多命令，使⽤ firewall-cmd --help 查看帮助⽂件>>> CentOS 7.0默认使⽤的是firewall作为防⽕墙，使⽤iptables必须重新设置⼀下1、直接关闭防⽕墙systemctl stop firewalld.service #停⽌firewallsystemctl disable firewalld.service #禁⽌firewall开机启动2、设置 iptables serviceyum -y install iptables-services如果要修改防⽕墙配置，如增加防⽕墙端⼝3306vi /etc/sysconfig/iptables增加规则-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT保存退出后systemctl restart iptables.service #重启防⽕墙使配置⽣效systemctl enable iptables.service #设置防⽕墙开机启动。

防火墙配置命令有哪些防火墙配置命令之一：IPaddress在防火墙管理中，要为每个启用的防火墙接口配置IP地址。

一般来说，防火墙的IP地址支持两种取得方式，一是通过自动获得，如可以通过企业内网的DHCP服务器取得IP地址;二是用户通过手工指定IP 地址。

这个命令的具体格式为Ipadressif-nameIP[NETMASK]若我们用上面的IF-NAME命令，给防火墙的接口配置好别名之后，则在后续的其他命令中，如这个配置IP地址的命令，则就不需要采用接口的位置名，而直接可以利用这个别名为具体的接口设置相关的参数。

若我们通过手工指定IP地址的时候，需要注意几个问题。

一是若企业中还有DHCP服务器的话，则要注意这个网络地址冲突的问题。

这个防火墙上的接口IP地址，在企业的整个网络中，也必须保持唯一，否则的话，就会造成IP地址冲突的错误。

所以，若企业中还有DHCP 服务器的话，则在DHCP服务器配置的时候，需要注意，这个防火墙接口所用的IP地址不应该在DHCP服务器的自动分配IP的地址池中，否则的话，很容易造成IP地址的冲突。

防火墙配置命令之二：interfaceInterface是防火墙配置中最基本的命令之一，他主要的功能就是开启关闭接口、配置接口的速度、对接口进行命名等等。

在买来防火墙的时候，防火墙的各个端都都是关闭的，所以，防火墙买来后，若不进行任何的配置，防止在企业的网络上，则防火墙根本无法工作，而且，还会导致企业网络不同。

1、配置接口速度在防火墙中，配置接口速度的方法有两种，一种是手工配置，另外一种是自动配置。

手工配置就是需要用户手工的指定防火墙接口的通信速度;而自动配置的话，则是指防火墙接口会自动根据所连接的设备，来决定所需要的通信速度。

如：interfaceethernet0auto--为接口配置“自动设置连接速度”Interfaceethernet2100ful--为接口2手工指定连接速度，100MBIT/S。

华为USG防火墙设置完整版1. 简介华为USG防火墙是一款功能强大的网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

本文将提供华为USG 防火墙的完整设置步骤。

2. 连接防火墙首先，确保您正确地将USG防火墙连接到企业网络。

将防火墙的一个以太网口连接到您的局域网交换机上，并将另一个以太网口连接到网络边界路由器上。

3. 登录防火墙通过Web浏览器访问防火墙的管理界面。

输入防火墙的默认地址（一般为192.168.1.1）并按Enter键。

在登录页面中输入管理员用户名和密码，然后单击登录按钮。

4. 基本设置进入防火墙的管理界面后，首先进行基本设置。

点击"系统设置"选项卡，并在"基本设置"中进行如下配置：- 设置防火墙的名称和描述- 配置管理员密码、SNMP和NTP服务- 设置系统日志服务器5. 网络设置接下来，进行网络设置以确保防火墙与企业网络正常通信。

点击"网络对象"选项卡，并配置以下内容：- 配置局域网接口- 配置公网接口（如果有）- 配置NAT和端口映射规则6. 安全策略设置安全策略以保护企业网络免受未经授权的访问和恶意攻击。

点击"安全策略"选项卡，并完成以下步骤：- 创建访问控制规则，限制特定IP地址或IP地址范围的访问- 根据需求创建应用程序过滤规则和URL过滤规则- 配置反病毒、反垃圾邮件和反欺骗策略7. 其他配置除了上述步骤，您还可以进行其他配置以满足特定需求。

例如：- 配置VPN（虚拟专用网络）- 设置用户认证和权限管理- 配置远程访问8. 保存和应用配置在完成所有设置后，确保保存并应用配置更改。

点击"保存"按钮，并在确认弹窗中点击"应用"按钮。

防火墙将立即应用新的配置。

以上就是华为USG防火墙的完整设置步骤。

根据实际需求，您可以灵活配置并添加其他功能。

如果需要更详细的指导，请参考华为USG防火墙的官方文档。

防火墙配置常用命令firewall zone name userzone 创建一个安全区域，进一个已建立的安全区域视图时不需要用关键字。

set priority 60 设置优先级add interface GigabitEthernet0/0/1 把接口添加进区域dis zone [userzone]显示区域配置信息[FW]policy interzone trust untrust outbound[FW-policy-interzone-trust-untrust-outbound]policy 1firewall defend ip-sweep enablefirewall defend ip-sweep max-rate 1000firewall blacklist enable[SRG]firewall defend ip-sweep blacklist-timeout 20firewall mac-binding enable MAC地址绑定配置firewall mac-binding 202.169.168.2 00e0-fc00-0100[FW2]firewall zone untrust[FW2-zone-untrust]add interface g0/0/0[FW2]firewall packet-filter default permit interzone trust untrust[FW2]firewall packet-filter default permit interzone local untrustIPSec相关配置：先配置ACL：acl number 3000rule 5 permit ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.2551、配置安全提议，封闭使用隧道模式，ESP协议，ESP使用DES 加密算法，完整性验证使用SHA1算法。

USG6310S防火墙配置说明1.概述防火墙使用场景为子站保护管理机（安全II区）接入站内继保保护装置（安全I区），通过对IP地址及端口进行限制，达到阻止非法访问的目的。

为方便现场调试及日后维护工作现规定如下：1)防火墙ETH0的IP固定为，用作配置用；2)防火墙ETH0接从交换机过来的网线；3)防火墙ETH4接从子站管理机过来的网线。

2.登录将笔记本通过网线接入防火墙的ETH0，通过浏览器访问。

用户名：admin、密码：Admin@123（初始密码）进行配置，第一次登录时需要修改密码，将密码改为“Nice2003”。

登录后设置界面如下图所示图2-1 登录首页3.网络配置点击快捷按钮“网络”,可以对所使用的接入口进行配置，操作顺序如下图所示：装置后面板网口标识0至7与配置页面中接口名称对应关系如下：后面板ETH0对应配置页面中接口GE0/0/0后面板ETH1对应配置页面中接口GE0/0/1…后面板ETH7对应配置页面中接口GE0/0/73.1.ETH0配置ETH保留作为配置使用。

出厂时已经设好，无需变更。

图3-1 ETH0配置3.2.ETH1配置选择GE0/0/1行右则的编辑，在弹出的界面中设置如下：图3-2 ETH1配置配置项如下：别名：保护安全区域：trust模式：交换连接类型：Access确定后第一次操作会弹出提示，如下图所示，确定即可。

图3-3 模式切换确认提示3.3.ETH4配置选择GE0/0/4行右则的编辑，在弹出的界面中设置如下：图3-4 ETH4配置配置项如下：别名：子站安全区域：dmz模式：交换连接类型：Access4.对象配置对象配置中主要配置需放行的IP及端口号，IP在“地址”中配置、端口号在“服务中配置”，配置操作顺序如下图所示：图4-1 对象配置操作顺序4.1.地址配置首次配置选择“新建”，如已有配置则选择“编辑”，配置界面如下图所示：图4-2 保护IP配置注：1)第行可配置1个IP/范围或MAC地址，行之间使用回车分隔；2)掩码可以使用样式，也可使用掩码位数来表示；3)IP配置支持多种方式，若连续的IP，可在首末2个IP之间通过“-”连接，如；4)单个IP配置，其掩码必须为或32，否则保存时其最后1至2段会变成0；新建地址分两部分，一是可以通过IP，一是需要屏蔽的IP图4-3 子站地址配置4.2.服务配置4.2.1.服务配置服务配置中我们选择放行的端口，根据实际配置：常用放行的端口如下：icmp:ping服务4.2.2.服务组配置为方便选择及管理，将子站与保护通信的端口归到保护通信组中。