当前位置：首页 > news >正文

HCIE Security——防火墙互联技术

news 2025/12/15 9:44:00

一、防火墙接口互联接口

1.防火墙支持的接口及板卡

2.物理链接线缆

3.支持接口种类

（1）物理接口

（2）逻辑接口

二、相关配置命令

1.配置三层接口IP地址

2.配置PPPOE拨号接口

3.配置VLANIF接口、子接口、回环接口

4.配置二层互联接口

5.配置Eth-Trunk接口

三、故障排除

1.以太网接口不能UP

（1）现象

（2）解决方法

2.光口物理层状态不能UP

（1）故障现象

（2）解决方法

四、防火墙初始化配置

1.管理员角色

2.管理员角色和管理员级别

3.系统时钟配

（1）手工配置

（2）从NTP服务器

4.激活系统License

（1）查看ESN来申请License

（2）配置手工激活

5.配置备份及还原

6.升级中心

（1）升级中心目前提供特征库的升级

（2）升级方式

一、防火墙接口互联接口

1.防火墙支持的接口及板卡

下一代防火墙接口及扩展卡支持以太网电口和光口两种

2.物理链接线缆

屏蔽与非屏蔽双绞线

单模光纤（长距）与多模光纤（短距）

光纤连接器

3.支持接口种类

（1）物理接口

三层以太网接口，二层以太网接口

（2）逻辑接口

VT接口，Dialer接口

Tunnel接口，Null接口在web界面无法配置

VLAN接口

三层以太网子接口

Eth-Trunk接口，Loopback接口（不需要划zone）

二、相关配置命令

1.配置三层接口IP地址

#1.配置静态IP
interface 接口
ip address IP地址 子网掩码

#2.配置DHCP获取IP（可选项）
interface 接口
dhcp client enalbe

#3.配置双工、速度、MTU（可选）
interface 接口
undo negotiation auto
duplex full
speed 1000
mtu 1500

#4.配置描述和别名
description 描述
alias 别名

#5.配置网管功能
service-manage enable
service-manage http https ping ssh permit

2.配置PPPOE拨号接口

#1.配置dialer接口
interface Dialer0
link-protocpl ppp
ppp chap user user1
ppp chap password cipher yourpasswd 
ppp pap loacl-user user password cipher yourpasswd

ppp ipcp dns admit-any  ——clinet配置
ip address ppp-negotiate
dilaler user user1
dilaler bundle 1

#2.绑定dialer到物理接口上
interface 接口
pppoe-client dial-bundle-number 1 ipv4

3.配置VLANIF接口、子接口、回环接口

#1.配置VLANIF接口
vlan batch 10 20
interface VLANIF 10
ip address IP地址 子网掩码

#2.配置三层子接口
interface g1/0/3.10
vlan-type dot1q 10
ip address IP地址 子网掩码
interface g1/0/3.20
vlan-type dot1q 20
ip address IP地址 子网掩码

#3.配置环回接口
interface loopback 0
ip address IP地址 子网掩码

4.配置二层互联接口

#1.配置VLAN
vlan batch 10 20

#2.配置Access接口
interface G1/0/1
portswich
port link-type access
port access vlan 10

#3.配置Hybrid接口
interface G1/0/2
portswitch
port linl-type hybrid
port hybrid pvid 20
port hybird vlan 20 untagged

#4.配置Trunk接口
interface G1/0/3
portswitch
port link-type trunk
port trunk pvid 1
port trunk permit vlan 10 20

5.配置Eth-Trunk接口

#1.配置手工eht-trunk
interface eth-trunl 1
portswitch

#2.配置LACP eth-trunk
interdace eth-trunk 1
portswitch
mode lacp-static
max active-linknumber 2

#3.添加到eth-trunk接口中
interface G1/0/1
portswitch
eth-trunl 1
interface G1/0/2
portswitch
eth-trunl 1

三、故障排除

1.以太网接口不能UP

（1）现象

观察USG发现相连接口的只是灯不亮或者状态为down

（2）解决方法

网线问题：换网线

接口执行了shutdown命令：接口试图执行undo shutdown命令

两端设备的底层芯片实现的自协商协议不一致：在两端接口试图下配置相同速率和双工模式

两端接口配置的速率或工作模式不同：在两端接口视图下配置相同的速率和双工模式

USG接口卡存在问题：更换接口或接口卡

2.光口物理层状态不能UP

（1）故障现象

光接口互联后，LINK指示灯不亮或接口状态为down

（2）解决方法

光模块或光纤不匹配：确保光纤，光模块，接口卡全部匹配，确保光纤收发顺序没有接反

光模块或光纤异常：使用光功率计测量收光功率并相应处理

两端设备接口配置信息不一致：关闭协商功能，手工配置两端接口的双工模式、速度模式

接口、接口卡故障：替换接口，光模块或检测接口卡是否接好

四、防火墙初始化配置

1.管理员角色

默认支持一下四种，也可以自定义新角色

角色	描述	默认用户
系统管理员	拥有出审计功能外的所有权限	admin/Admin@123
配置管理员	拥有业务配置和设备监控权限	无
配置管理员（只读）	拥有设备监控权限	无
审计管理员	配置审计策略和查看审计日志的专用管理员角色	audit-admin/Admin@123

2.管理员角色和管理员级别

管理员角色优先级高于管理员级别，管理员角色优先级高于远程服务器授权

级别	说明
0	只可以使用参观级（0级）命令
1	可以使用监控（1级）及参观级（0级）的命令
2	可以使用配置（2级）、监控（1级）及参观级（0级）的命令
3	可以使用管理（3级）、配置（2级）、监控（1级）及参观级（0级）的命令
4-15	缺省与3级管理员权限相当，命令级别扩充时，可以撇和扩充命令级别使用

3.系统时钟配

（1）手工配置

<SRG>clock timezone beijing add 8
16:31:09  2023/07/31

<SRG>dis clock
00:31:21  2023/07/31
2023-07-31 00:31:21
Monday
Time Zone : beijing add 08:00:00

（2）从NTP服务器

<SRG>clock timezone beijing add 8
00:32:26  2023/07/31
<SRG>sys
00:32:28  2023/07/31
Enter system view, return user view with Ctrl+Z.

[SRG]ntp-service unicast-server 133.100.11.8
00:32:49  2023/07/31

4.激活系统License

（1）查看ESN来申请License

[SRG]dis firewall esn
00:33:44  2023/07/31
Device ESN is: 210235t3330123456789

（2）配置手工激活

[SRG]license file hda1:/license.dat
<SRG>display license

5.配置备份及还原

命令行可以使用FTP/SFTP/TFTP协议对配置进行备份和还原

配置进行备份前要使用save命令进行保存

配置还原后使用startup saved-configuration命令设置下次启动后加载配置文件

<SRG>startup saved-configuration vrpcfgbk.cfg
00:59:53  2023/07/31
Error:The file name is invalid or not exist in mainboard!

<SRG>dis startup
01:00:03  2023/07/31
MainBoard: Configed startup system software:          NULLStartup system software:                   NULLNext startup system software:              NULLStartup saved-configuration file:          NULLNext startup saved-configuration file:     NULL
<SRG>

6.升级中心

（1）升级中心目前提供特征库的升级

入侵防御特征库

反病毒特征库

应用识别特征库

地区识别特征库

（2）升级方式

通过安全按中心平台升级

通过内网升级服务器进行升级