1、ZXR10 8900系列 由交換機用戶手冊（ ） 版本：V2.8.02.C中興通訊地址：市科技南路55號：518057：傳真：技術支持 ： 郵件：800法律本資料著作權屬中興通訊 經(jīng)著作權人 ，任何 不得以任何方式摘錄、 或翻譯。 和 是中興通訊 的 商標。中興通訊 的名稱和標志是中興通訊的專有標志或 商標。在本手冊中提及的其他 或公司的名稱可能是其各自所有者的商標或 。在 中興通訊或第 商標或 所有者事先書面同意的情 ，本手冊不以任何方式授予閱讀者任何使用本手冊上出現(xiàn)的任何標記的 或權利。本 符合關于環(huán)境保護和人身安全方面的設計要求， 的存放、使用和棄置應遵照 手冊、相關合同或相關國 的要求

2、進行。如果本 進行改進或技術變更，恕不另行專門通知。當出現(xiàn) 改進或者技術變更時，您可以通過中興通訊技術支持有關。修訂歷史資料版本發(fā)布日期更新說明R1.02012-04-15手冊第一次發(fā)布資料編號：SJ-20120203114805-006 發(fā)布日期：2012-04-15(R1.0)前言手冊說明本手冊為ZXR10 8900系列（V2.8.02.C）由交換機用戶手冊（ ），適用于ZXR10 8902/8905/8908/8912由交換機的V2.8.02.C版本。ZXR10 8900系列（V2.8.02.C）由交換機支持 令是基于統(tǒng)一平臺ZXROS V4.8.22 版本。讀者對象本文檔主要適用于以下

3、工程師：l現(xiàn)場維護工程師l網(wǎng)絡 工程師l工程師內容ZXR10 8900系列（V2.8.02.C）由交換機用戶手冊（ ）的章節(jié)及其概要如下所示：章名概要第1章 安明安 明和符號說明第2章 簡介的功能原理和管理方式第3章 系統(tǒng)管理配置系統(tǒng)管理的基本概念、配置和配置實例第4章 資源管理配置資源管理的基本概念、配置和配置實例第5章 ZXR10功能管理功能管理的基本概念、配置和配置實例第6章包過濾及 規(guī)則配置包過濾及 規(guī)則的基本概念、配置和配置實例第7章 NAT地址轉換配置NAT地址轉換的基本概念、配置和配置實例第8章 協(xié)議過濾配置協(xié)議過濾的基本概念、配置和配置實例第9章 防御配置防御的基本概念、配置和

4、配置實例第10章 高可用性配置負載均衡的基本概念、配置和配置實例第11章 日志與配置日志與 的基本概念、配置和配置實例第12章 DPI單板和單板的關聯(lián)使用DPI單板和 單板的關聯(lián)使用的基本概念和配置I目錄1 安明1-11.1 安明1-11.2 符號說明1-12 防火墻簡介2-12.1 功能簡介2-12.1.1 工作原理2-22.1.2 工作模式2-42.2 管理方式2-52.2.1 通過Console口登錄 .2-52.2.2 通過Telnet登錄 .2-62.2.3 通過瀏覽器登錄.2-83 系統(tǒng)管理配置3-13.1 系統(tǒng)管理簡介3-13.2 系統(tǒng)基本 .3-13.3 系統(tǒng)運行 .3-23.

5、4 配置系統(tǒng)管理3-33.4.1 設置系統(tǒng)參數(shù)3-33.4.2 管理系統(tǒng)服務3-53.4.3 設置開放服務3-73.4.4 設置WEBUI3-103.5 配置維護3-113.5.1 維護配置簡介3-113.5.2 配置維護3-123.5.3 恢復系統(tǒng)3-123.5.4 重啟系統(tǒng)3-133.6 配置系統(tǒng)管理員3-133.6.1 系統(tǒng)管理員簡介3-133.6.2 配置系統(tǒng)管理員3-133.6.3 系統(tǒng)管理員配置實例3-154 資源管理配置4-14.1 資源管理簡介4-14.2 配置地址資源4-24.2.1 地址資源配置簡介4-24.2.2 設置主機資源4-24.2.3 設置地址范圍資源4-54.2

6、.4 設置子網(wǎng)資源4-74.2.5 設置地址組4-104.3 配置區(qū)域資源4-134.3.1 區(qū)域資源配置簡介4-134.3.2 配置區(qū)域資源4-134.4 配置時間資源4-164.4.1 時間資源配置簡介4-164.4.2 配置多次時間對象4-164.4.3 配置單次時間對象4-184.5 配置服務資源4-204.5.1 服務資源配置簡介4-204.5.2 查看系統(tǒng)定義服務4-214.5.3 配置自定義服務4-214.5.4 配置服務組4-245 ZXR10 防火墻功能管理5-15.1 ZXR10 功能管理簡介5-15.2 配置ZXR10 .5-15.2.1 進入和 FW配置模式5-15.2

7、.2 創(chuàng)建和刪除fw-template模式5-25.2.3 綁定管理IP5-35.2.4 配置流恢復5-35.2.5 綁定槽位號5-45.2.6 配置NAT IP5-45.2.7 配置session5-55.2.8 為指定VLAN綁定FW模板5-55.2.9 查看管理配置5-65.2.10 配置VLAN5-66 包過濾及規(guī)則配置6-16.1 配置包過濾策略6-16.1.1 包過濾簡介6-16.1.2 配置包過濾策略6-16.1.3 包過濾策略配置實例6-66.2 配置規(guī)則6-96.2.1 規(guī)則簡介6-96.2.2 配置規(guī)則6-96.2.3 規(guī)則配置實例6-126.3 配置IDS聯(lián)動6-186.

8、3.1 IDS聯(lián)動簡介6-186.3.2 配置IDS聯(lián)動6-187 NAT地址轉換配置7-17.1 NAT地址轉換簡介7-17.2 配置NAT地址轉換7-27.3 NAT地址轉換配置實例7-77.3.1 基于地址對象的源地址轉換配置實例7-77.3.2 基于IP地址的目的地址轉換配置實例7-87.3.3 基于端口的目的地址轉換配置實例7-108 協(xié)議過濾配置8-18.1 協(xié)議過濾簡介8-18.2 配置應用端口綁定8-18.2.1 應用端口綁定簡介8-18.2.2 配置應用端口綁定8-28.2.3 應用端口綁定配置實例8-48.3 配置SIP服務8-49 防御配置9-19.1 防御簡介9-19.

9、2 配置檢測規(guī)則9-110 高可用性配置10-110.1 負載均衡簡介10-110.2. 10-110.2.1簡介10-110.2.2 配置雙機熱備10-210.3 配置負載均衡10-410.3.1 配置負載均衡服務器10-410.3.2 配置負載均衡組10-710.4 負載均衡配置實例10-911 日志與 配置11-111.1 日志與 簡介11-111.1.1 日志配置11-111.1.2 日志查看11-111.1.3 . 11-111.2 配置日志與 . 11-211.2.1 配置日志11-211.2.2 查看日志11-411.2.3 配置. 11-512 DPI單板和防火墻單板的關聯(lián)使用

10、12-112.1 DPI單板和 單板的關聯(lián)使用簡介12-112.2 配置DPI單板和 單板的關聯(lián)使用12-1圖目錄I縮略語表III1 安明本章包含如下 ： 安明1-1 符號說明1-11.1 安 明本 中 高溫和高壓，只有經(jīng)過培訓合格的專業(yè) 才能進行安裝、操作和維護。在 安裝、操作和維護中，必須遵守所在地的安全規(guī)范和相關操作規(guī)程，否則可能會 導致人身 或 損壞。手冊中提到的安全注意事項只作為當?shù)匕踩?guī)范的補充。中的debug命令會嚴重影響 性能，請慎重使用。特別是debug all命令，會把所有debug進程全打開，在帶業(yè)務的 上不應該使用。建議在用戶網(wǎng)絡正常的情 ， 不要使用debug命令。中

11、興通訊不承擔任何因 通用安全操作要求或 設計、生產和使用 安全標準而造成的責任。1.2 符號說明對 進行安裝、操作和維護時需要注意的一些內容，采用如下格式進行說明。警告！表示若忽視安全告誡，就有可能發(fā)生 或嚴重 事故，或損壞 。注意！表示若忽視安全告誡，就有可能發(fā)生 事故，或損壞 。說明：除安 明以外的需要特別注意的內容。2 簡介本章包含如下 ： 功能簡介2-1 管理方式2-52.1 功能簡介ZXR10 8900系列交換機業(yè)務板具有如下基本功能：l支持路由和混合兩種工作模式。l支持基于對象的網(wǎng)絡， 網(wǎng)絡層、應用層等多層次的。l支持多種網(wǎng)絡地址轉換（NAT）方式。l支持內置IDS模塊，能夠自防御

12、Land、Smurf、TearOfDrop、 of Death、SynFlood、Targa3和IpSweep等十幾種 ，具有抗DOS/DDOS 功能。l支持 單板間配置熱備份。l支持FTP、TFTP、MMS、H.323、SIP、RTSP、SQLNET、 協(xié)議。l支持鏈路聚合。鏈路聚合是指將多個物理接口聚 一個邏輯端口，聚合后的端口稱為一條聚合鏈路，其性能接近各個網(wǎng)口的速率總和，可大大提高端口間的通信速度。ZXR10 8900系列交換機具有如下特點：l采用多接口設計，具有良 網(wǎng)絡應用可擴展性。l高效的應用層。傳統(tǒng)的應用層 采用 技術，系統(tǒng)需頻繁地在系統(tǒng)核心和應用層以及進程之間切換，消耗了大量系

13、統(tǒng)資源，影響性能。l靈活的管理。管理員可以通過多種接口登錄 ，實現(xiàn) 管理。l全新的管理端口協(xié)議。該協(xié)議實現(xiàn)了在 的唯一服務端口上同時運行多個管理事務服務。l高性能的內容過濾。系統(tǒng) 層實現(xiàn)傳輸內容的還原、安全檢測，實現(xiàn)高性能的內容安全協(xié)議。SJ-20120203114805-006 | 2012-04-15(R1.0)2-12簡介2.1.1 工作原理數(shù)據(jù)流的處理流程來說， 的作用是 外部的非信任網(wǎng)絡（如Internet）對內部信任網(wǎng)絡的訪問，以及內部網(wǎng)絡中不同區(qū)域之間的相互 。ZXR10 8900系列交換機模塊所使用的操作系統(tǒng)平臺是基于模塊設計的最新操作系統(tǒng)。通過加載 模塊、包過濾模塊等一系列功

14、能模塊， 模塊可以通過設置 規(guī)則，并配合包過濾規(guī)則，以及接口屬性等機制， 穿越 的數(shù)據(jù)流。加載各個功能模塊后，ZXR10 8900系列交換機 模塊處理數(shù)據(jù)包的基本過程可以分為以下幾個基本步驟：1. 快速轉發(fā)對于一個新接收的合法報文， 將首先 會話表， 該報文是否屬于某個已經(jīng) 的會話。如果是，則根據(jù)會話表中所包含的會話處理 ，如匹配會話的規(guī)則和地址轉換策略，快速處理此報文。如果不 ，則說明此報文屬于一個新的會話， 將檢索路由表，地址轉換策略表和 規(guī)則表，收集與此報文相關的處理策略，即進入“接收處理”流程。2. 接收處理ZXR10 8900系列交換機模塊將調用相關的功能模塊對接收的數(shù)據(jù) 初步處理。

15、調用的功能模塊 ：lIDS模塊。用來對數(shù)據(jù)過濾檢測。如果接收的數(shù)據(jù)報文匹配IDS 規(guī)則，則判定為 報文并丟棄。lIP-MAC綁定模塊。如果接收的數(shù)據(jù)包頭所包含的IP地址和MAC地址了IP-MAC綁定表中的規(guī)則，則丟棄數(shù)據(jù)包。3. 規(guī)則匹配在這一步， 將調用以下的功能模塊對通過接收處理的數(shù)據(jù) 一系列的規(guī)則匹配操作。調用的模塊 ：l包過濾（PF）模塊。包過濾模塊不僅僅對數(shù)據(jù) 2層或3層的協(xié)議過濾，還進一步的檢查數(shù)據(jù)包是否屬于被 通過的服務。l地址轉換模塊。地址轉換策略描述了對接收的報文的處理方式，ZXR10 8900系列交換機 模塊支持4種地址轉換策略：直接轉發(fā)方式對報文不作任何處理，直接轉發(fā)，這

16、是ZXR10 8900系列交換機防火墻模塊的缺省地址轉換策略。源地址轉換方式將接收的報文的源IP地址（或端口）轉換為預先設定的IP地址（或端口），然后轉發(fā)被修改源地址的報文。目的地址轉換方式模塊將接收的報文的目的IP地址（或端口），通常為 接口地址，轉換為預先設置的IP地址或端口（真實的IP地址或端口），然后轉發(fā)被修改目的地址的報文。 雙向地址轉換方式同時轉換數(shù)據(jù)包的源和目的地址（或端口）。l 模塊。 規(guī)則描述了 能否 符合相關條件的報文通過。接收到報文后，將按策略的編號順序逐條匹配 規(guī)則表中所設定規(guī)則， 一旦尋找到完全匹配的規(guī)則，則按照該策略所規(guī)定的操作（ 或丟棄）處理該報文。如果匹配不到相

17、應的 策略，則 將該報文轉發(fā)到目的接口。ZXR10 8900系列交換機模塊將根據(jù)目的接口所在區(qū)域的缺省屬性（ ，或），處理該報文。4. 創(chuàng)建會話對于一個不 會話匹配的報文，ZXR10 8900系列交換機模塊將根據(jù)步驟1 3的報文處理，在會話表中創(chuàng)建一條新的 ， 該報文的目的地址、源地址、路由、地址轉換策略、 規(guī)則等 ，此后接收到的屬于此會話的報文將根據(jù)會話表所 的 進行相應處理。5. 路由前處理如果在通信過 ，策略發(fā)生改變， 將重新調用包過濾、模塊對數(shù)據(jù) 策略匹配。6. 路由 ZXR10 8900系列交換機模塊將根據(jù)路由表或各個接口所學習的MAC地址表選擇報文的轉發(fā)接口。如果數(shù)據(jù)包經(jīng)過了地址轉

18、換操作，那么 將 地址轉換表以根據(jù)真實的地址進行路由。匹配規(guī)則規(guī)則，是一組用戶自定義的策略，這些規(guī)則可以描述滿足哪些條件的報文可以通過 ，以及滿足哪些條件的報文將被。每一個 策略中包含的 主要：報文的源地址，目的地址，服務（協(xié)議類型和端 ），以及對滿足條件的報文進行何種操作（轉發(fā)或丟棄）。在 策略中，策略源定義了報文的來源，策略源可以是一個或多個對象（如主機、子網(wǎng)、范圍等）。當報文的源地址屬于策略源的范圍，則被認為滿足策略源約束條件。SJ-20120203114805-006 | 2012-04-15(R1.0)2-9策略目的定義了報文的目的地址范圍，與策略源相同，可以 一個或多個主機、子網(wǎng)、

19、或范圍，也可以 多個區(qū)域（或VLAN）。策略服務定義了報文采用的網(wǎng)絡協(xié)議或特定端 。定義了 對滿足策略的報文所采取的處理方式，（該報文被 通過）和 （丟棄該包）。一個報文和某一條 策略匹配指的是：報文的源地址包含于策略源定義、報文目的地 址包含于策略目的，以及報文端口包含于策略服務，如果定義了 時間，則報文的接收時間也必須滿足策略 時間約束。只有當一個報文完全符合策略中所規(guī)定的所有條件時，這條策略才匹配該報文。需要特別說明的是，每條 規(guī)則中可以定義一個內容過濾策略和一個應用程序識別策 略，對應用層的內容進行過濾檢測。 按照如下步驟查找匹配報文的 策略。1. ZXR10 8900系列交換機模塊將

20、按照 策略的排列順序檢索 規(guī)則表， 逐一與數(shù)據(jù)包匹配。一旦發(fā)現(xiàn)匹配報文的 策略， 將停止 策略匹配檢查，并根據(jù)最先匹配的那一條 策略的規(guī)則定義，處理報文（ 或拒絕）。如沒有任何 策略能夠匹配該報文，則根據(jù)發(fā)送接口的缺省屬性，處理該報文。2. 如果報文被 轉發(fā)，則被丟棄；如果被 轉發(fā)，則查看該條策略中是 義了DPI策略或應用程序識別策略。3. 如果策略中定義了應用程序識別策略，則檢查報文應用層是否使用了該應用程序識 別策略中包含的協(xié)議。如果符合，則按照該應用程序識別策略規(guī)定的處理動作處理 該報文。2.1.2 工作模式ZXR10 8900系列交換機模塊以VLAN接口為保護對象，支持路由模式以及混合

21、模式兩種工作方式。路由模式在這種模式下，ZXR10 8900系列交換機模塊 受保護VLAN接口的3層數(shù)據(jù)包進行保護。所有經(jīng)過保護VLAN的3層數(shù)據(jù)包，將經(jīng)過 模塊處理之后才被轉發(fā)。該模式適用于每個區(qū)域都不在同一個網(wǎng)段的情況。和路由器一樣，路由模式以及混合模式的 每個vlan接口均要根據(jù)區(qū)域規(guī)劃配置IP地址。混合模式在這種模式下，ZXR10 8900系列交換機模塊 受保護VLAN接口的2、3層數(shù)據(jù)保護。無論是受保護VLAN內部的2層數(shù)據(jù)包，還是跨VLAN的3層數(shù)據(jù)包，都將經(jīng)過 模塊處理之后才被轉發(fā)。2.2 管理方式網(wǎng)絡管理員可通過多種方式管理ZXR10 8900系列交換機模塊。 ：lCONSOL

22、E方式（通過CONSOLE口進行本地管理）lTELNET方式（通過Telnet方式登錄 進行 管理）lWEBUI方式（通過瀏覽器直接登錄 進行 管理）相關2.2.1 通過Console口登錄 步驟通過CONSOLE口登錄到 模塊，對 進行一些基本的設置。1. 使用一條串口線（包含在出廠配件中），分別連接計算機的串口（這里假設使用com1）和交換機主控的CONSOLE口。2. 設置串口的屬性，按照以下參數(shù)進行設置。參數(shù)描述每秒位數(shù)：9600數(shù)據(jù)位：8奇偶校驗：無停止位：13. 登錄交換機主控后，輸入以下命令登錄 單板。步驟命令功能1ZXR10(config)#fw在config節(jié)點下進入 模板配

23、置模式2ZXR10(confi)#fw template X進入節(jié)點3ZXR10(confi-template-X)#bind slot Y綁定slot號3ZXR10(fw-template-X)#session從主控板登錄 單板4. 輸入系統(tǒng)默認的用戶名，即可登錄到ZXR10 8900系列交換機模塊。登錄后， 用戶就可使用命令行方式進行配置管理。提示：用戶名和 是大小寫敏感。-步驟結束-相關2.2.2 通過Telnet登錄 步驟管理員可以通過telnet登錄到 模塊，對 進行一些基本的設置。1. 將fw-template綁定槽位號，以便對接口進行操作。2. 選擇管理員所在VLAN接口，配置I

24、P。命令功能ZXR10(config-if-vlan1)#ip address 給三層VLAN接口vlan 1配置IP及子網(wǎng)掩碼參數(shù)說明：參數(shù)描述IP地址，格式為A.B.C.D子網(wǎng)掩碼，如3. 進入 配置節(jié)點，將VLAN接口的IP配置為被管理 單板的管理IP。命令功能ZXR10(confi)#bind mng-ip 將VLAN接口的IP配置為被管理單板的管理IP參數(shù)說明：參數(shù)描述單板所在槽位號對應上面配置的三層vlan接口IP地址，格式為A.B.C.D4. 在 單板上開放telnet服務。5. 在管理員的PC上運行telnet 即步驟2所配IP地址，就可以登錄單板的配

25、置界面。舉例-步驟結束-Telnet登錄 全過程。1. 將fw-template 1綁定槽位號ZXR10(config)#fw ZXR10(confi )#fw-template 1ZXR10(confi-template-1)#bind slot 2 ZXR10(confi-template-1)#exit ZXR10(confi )#exit2. 配置三層VLAN接口的IP地址ZXR10(config)#vlan 2 ZXR10(config-vlan2)#exit ZXR10(config)#int vlan 2ZXR10(config-if-vlan2)#ip addr 10.2.2.

26、1 3. 進入 配置節(jié)點，將VLAN接口的IP配置為被管理 單板的管理IPZXR10(config-if-vlan2)#exit ZXR10(config)#fwZXR10(confi )#bind mng-ip 2 4. 在 單板上開放telnet服務。登錄 后，建立區(qū)域，并開啟telnet服務，假設管理網(wǎng)口線插在gei_1/2。ZXR10_FW # define area add name telnet_area attribute gei_1/2 access on vsid 0 ZXR10_FW # pf service add name te

27、lnet area telnet_area addressname anyZXR10_FW # system telnetd start5. 使用終端telnet 登錄單板telnet 相關2.2.3 通過瀏覽器登錄 步驟通過瀏覽器登錄到 ，對 進行一些基本的設置。1. 將fw-template綁定槽位號，以便對接口進行操作。2. 選擇管理員所在VLAN接口，配置IP。命令功能ZXR10(config-if-vlan1)#ip address 給三層vlan接口vlan 1配置IP及子網(wǎng)掩碼參數(shù)說明：參數(shù)描述IP地址，格式為A.B.C.D子網(wǎng)掩碼 ，如 255.255.255.

28、03. 進入 配置節(jié)點，將VLAN接口的IP配置為被管理 單板的管理IP。命令功能ZXR10(confi)#bind mng-ip 將VLAN接口的IP配置為被管理單板的管理IP參數(shù)說明：參數(shù)描述單板所在槽位號IP地址，格式為A.B.C.D4. 在 單板上開放webui服務。5. 管理員在管理主機的瀏覽器上輸入 的管理URL，例如：https:/， 彈出登錄頁面。舉例-步驟結束-瀏覽器https登錄 。1. 將fw-template 1綁定槽位號ZXR10(config)#fwZXR10(confi )#fw-template 1 ZXR10(confi -template1)#bind sl

29、ot 22. 配置三層vlan接口的ip地址ZXR10(config)#vlan 2 ZXR10(config-vlan2)#exit ZXR10(config)#int vlan 2ZXR10(config-if-vlan2)#ip addr 3. 進入 配置節(jié)點，將VLAN接口的IP配置為被管理 單板的管理IPZXR10(config-if-vlan2)#exit ZXR10(config)#fwZXR10(confi)#bind mng-ip 2 4. 在 單板上開放webui服務。登錄 ，建立區(qū)域，并開啟webui服務，假設管

30、理網(wǎng)口線插在gei_1/2。ZXR10_FW # define area add name webui_area attribute gei_1/2 access on vsid 0 ZXR10_FW # pf service add name webui area webui_area addressname any5. https登錄 單板https：/ 3 系統(tǒng)管理配置本章包含如下 ： 系統(tǒng)管理簡介3-1 系統(tǒng)基本 3-1 系統(tǒng)運行 3-2 配置系統(tǒng)管理3-3 配置維護3-11 配置系統(tǒng)管理員3-133.1 系統(tǒng)管理簡介在system命令模塊中，用戶可以配置ZXR10 8

31、900系列交換機業(yè)務板的基本 ， 如版本顯示、時鐘管理、NTP設置、系統(tǒng)配置管理、系統(tǒng)升級、認證用戶管理、管理員 、 重新啟動命令等。進入本命令模塊操作如下：ZXR10_FW#system本命令模塊操作如下：ZXR10_FW.system#exit或者ZXR10_FW.system#endCLI管理員登錄 進入本命令模塊后，可以執(zhí)行相應的組件管理命令。下面將詳細 描述本命令模塊下的所有組件管理命令。命令的實例輸入格式將按已經(jīng)進入本命令模塊 書寫。3.2 系統(tǒng)基本 用戶可以在system命令模塊中查看當前 的型號、 平臺版本、系統(tǒng)當前配置等信息。SJ-20120203114805-006 | 2

32、012-04-15(R1.0)3-13 系統(tǒng)管理配置1. 顯示系統(tǒng)版本 命令功能ZXR10_FW.system#version顯示系統(tǒng)版本 2. 顯示系統(tǒng)服務的運行狀態(tài)命令功能ZXR10_FW.system#service status顯示系統(tǒng)服務的運行狀態(tài)（如 各個服務器的狀態(tài)和各種服務是否開啟）3. 顯示系統(tǒng)名稱命令功能ZXR10_FW.system#devname show顯示系統(tǒng)名稱4. 顯示系統(tǒng)當前配置命令功能ZXR10_FW.system#config show_running顯示系統(tǒng)當前的配置3.3 系統(tǒng)運行 運行 指的是當前系統(tǒng)CPU、內存等系統(tǒng)資源的占用情況以及當前通過 建立

33、的連接 。1. 查看當前 運行狀態(tài) 命令功能ZXR10_FW.system#information查看當前 運行狀態(tài) 。主要是內存、CPU等 2. 顯示網(wǎng)絡連接 命令功能ZXR10_FW.system#netstat顯示系統(tǒng)運行時內部的連接情況3.4 配置系統(tǒng)管理3.4.1 設置系統(tǒng)參數(shù)用戶可以在authset命令模塊，設置管理員登錄參數(shù)、連接超時參數(shù)以及查看會話的統(tǒng)計 。系統(tǒng)參數(shù)規(guī)定同一管理員的最大登錄失敗次數(shù)，以及并發(fā)管理數(shù)和管理登錄地點。一旦某個管理員的登錄失敗次數(shù)超過設定數(shù)值，系統(tǒng)將對其進行登錄鎖定，從而防止非 法用戶通過的方式登錄到ZXR10 8900系列交換機業(yè)務板。進入auths

34、et命令模塊操作如下：ZXR10_FW.system#authset本命令模塊操作如下：ZXR10_FW.system authset#exit設置系統(tǒng)參數(shù)命令如下：1. 設置最大驗證失敗相關參數(shù)命令功能ZXR10_FW.system authset#authfail set maxnum 設置最大驗證失敗相關參數(shù)。防止參數(shù)說明：參數(shù)描述set maxnum設置系統(tǒng)名稱數(shù)值，范圍110使用舉例：設置最大驗證失敗數(shù)為5。ZXR10_FW.system.authset#authfail set maxnum 52. 顯示最大驗證失敗次數(shù)命令功能ZXR10_FW.system authset#aut

35、hfail show顯示最大驗證失敗次數(shù)3. 設置最大并發(fā)管理地點相關參數(shù)SJ-20120203114805-006 | 2012-04-15(R1.0)3-3命令功能ZXR10_FW.system authset#managermaxlogin set maxnum設置最大并發(fā)管理地點相關參 數(shù)，即設定使用同一管理員名同時登錄到同一臺 的不同地點（IP）的最大值。默認值為5, 范圍132。例如給某個 配置了多個IP，則最大并發(fā)管理地點 限制了某用戶能夠使用其中多少個IP登錄參數(shù)說明：參數(shù)描述set maxnum設置最大并發(fā)管理地點相關參數(shù)數(shù)值，范圍132使用舉例：設置最大并發(fā)管理地點數(shù)為16

36、。ZXR10_FW.system.authset#managermaxlogin set maxnum 164. 顯示最大并發(fā)管理地點相關參數(shù)命令功能ZXR10_FW.system authset#managermaxlogin show顯示最大并發(fā)管理地點相關參數(shù)5. 設置最大并發(fā)管理數(shù)命令功能ZXR10_FW.system authset#maxonlineadm set maxnum設置最大并發(fā)管理數(shù)參數(shù)說明：參數(shù)描述set maxnum設置最大并發(fā)管理數(shù)數(shù)值，范圍1256使用舉例：設置最大并發(fā)管理數(shù)為16。ZXR10_FW.system.authset#maxonlineadm set

37、 maxnum 163 系統(tǒng)管理配置6. 顯示最大并發(fā)管理數(shù)命令功能ZXR10_FW.system authset#maxonlineadm show顯示最大并發(fā)管理數(shù)7. 設置所有認證參數(shù)為默認值命令功能ZXR10_FW.system authset#setdefault設置所有認證參數(shù)為默認值8. 設置同一用戶最大登錄數(shù)命令功能ZXR10_FW.system authset#usermaxlogin set maxnum設置同一用戶最大登錄數(shù)參數(shù)說明：參數(shù)描述set maxnum設置同一用戶最大登錄數(shù)數(shù)值，范圍12000使用舉例：設置同一用戶最大登錄數(shù)為4。ZXR10_FW.system.

38、authset#usermaxlogin set maxnum 49. 顯示系統(tǒng)設置的最大同時在線用戶數(shù)命令功能ZXR10_FW.system authset#usermaxlogin show顯示系統(tǒng)設置的最大同時在線用戶數(shù)3.4.2 管理系統(tǒng)服務系統(tǒng)服務是指對 進行管理或 的服務， 服務、SSH服務、Telnet服務和HTTP服務。l服務用于用戶該 的運行狀態(tài)。lSSH服務用于用戶通過SSH協(xié)議 管理 。lTelnet服務用于用戶通過Telnet協(xié)議 管理 。lHTTP服務用于用戶通過HTTP協(xié)議 管理 。SJ-20120203114805-006 | 2012-04-15(R1.0)3-

39、5出廠配置中只有HTTP和Telnet服務處于運行狀態(tài)，如果停止該系統(tǒng)服務，用戶將無法通 過WebUI方式對系統(tǒng)進行管理。 系統(tǒng)提供了對這些服務的 （啟動和停止）功能，其具體 令行操作如下：1. 啟動 服務命令功能ZXR10_FW.system#monitord start啟動 服務2. 停止 服務命令功能ZXR10_FW.system#monitord stop停止 服務3. 啟動SSH服務命令功能ZXR10_FW.system#sshd start啟動SSH服務4. 停止SSH服務命令功能ZXR10_FW.system#sshd stop停止SSH服務5. 啟動telnet服務命令功能ZX

40、R10_FW.system#telnetd start啟動telnet服務6. 停止telnet服務命令功能ZXR10_FW.system#telnetd stop停止telnet服務7. 啟動HTTP服務命令功能ZXR10_FW.system#httpd start啟動HTTP服務8. 停止HTTP服務命令功能ZXR10_FW.system#httpd stop停止HTTP服務3 系統(tǒng)管理配置說明：啟用相應的系統(tǒng)服務 會在 啟動相應的服務程序以提供該服務。但用戶要使用這種服務對 進行管理或 ，還必須在“開放服務”中添加相應的服務 規(guī)則。相關內容請參見“設置開放服務”小節(jié)。系統(tǒng)默認出廠配置中只

41、有HTTP和Telnet服務處于啟動狀態(tài)。3.4.3 設置開放服務為了提高 自身的安全性，系統(tǒng)提供了用戶與 、 與 之間管理通信的細粒度。用戶可以通過設置開放服務 規(guī)則加強系統(tǒng)的。系統(tǒng)可管理的服務分為以下幾類：服務名意義GUI用戶通過ZXR10 8900系列交換機業(yè)務板管理器對 進行配置和管理WEBUI用戶通過WEBUI對 進行配置和管理MONITOR用戶根據(jù)其設定的條件的運行狀態(tài)用戶可以到 的物理接口地址、VLAN虛接口和子接口的地址TELNET用戶通過TELNET對 進行配置和管理IDS與IDS 間的聯(lián)動用戶可以通過設置包過濾策略實現(xiàn)簡單的二、三層的。當 接收到一個數(shù)據(jù)報文后，會順序匹配包

42、過濾策略，如果沒有匹配到任何策略，則會依據(jù)默認規(guī)則對該報 文進行處理。在出廠配置中，默認包過濾規(guī)則為 所有的數(shù)據(jù)報文通過 。進入本命令模塊操作如下：ZXR10_FWpf本命令模塊操作如下：ZXR10_FW pf#exitCLI管理員登錄網(wǎng)關進入本命令模塊后，可以執(zhí)行相應的組件管理命令。下面將詳細描述本命令模塊下的所有組件管理命令。命令的實例輸入格式將按已經(jīng)進入本命令模塊書寫。1. 增加一條開放服務規(guī)則SJ-20120203114805-006 | 2012-04-15(R1.0)3-15命令功能ZXR10_FW pf#service add name area addressid| addre

43、ssname 增加一條開放服務規(guī)則參數(shù)說明：參數(shù)描述add增加一條開放服務規(guī)則name選擇網(wǎng)關開放的服務名guiGUI服務snmpSNMP服務sshSSH服務monitorMONITOR服務服務telnetTELNET服務idsIDS服務authAUTH服務ntpNTP服務update升級dhcpDHCP服務ripRIP服務l2tpL2TP服務服務webui通過WEBUI管理網(wǎng)關ipsec建立IPSEC隧道時需要開放的服務area選擇 服務請求來自哪個區(qū)域，只能從現(xiàn)有區(qū)域中選擇一個字符串，區(qū)域名稱addressid設定 地址對象ID號數(shù)值addressname設定 地址對象名稱字符串，必須是已

44、經(jīng)定義的主機、子網(wǎng)或范圍地址對象使用說明：參數(shù)addressid與addressname可以同時使用，但必須確認兩者所指的地址對象唯一，否則將不能正確添加服務。使用舉例：為區(qū)域area_intervlan0開放webui服務，area_intervlan0為已經(jīng)定義 區(qū)域對象。ZXR10_FW pf#service add name webui area area_intervlan0 addressname any2. 修改一條開放服務規(guī)則命令功能ZXR10_FW pf#service modify id namearea addressidaddressname 修改一條開放服務規(guī)則參數(shù)說

45、明：參數(shù)描述modify修改一條開放服務規(guī)則id指定規(guī)則ID號數(shù)值，必須是已經(jīng)添加的規(guī)則號使用說明：一條服務規(guī)則除ID號不可修改外，其余內容皆可以修改。 使用舉例：修改id為 8361的服務，開放gui服務。ZXR10_FW pf#service modify id 8361 name gui area area_intervlan0 addressname any3. 查看開放服務規(guī)則命令功能ZXR10_FW pf#service show name 查看某條開放服務規(guī)則參數(shù)說明：參數(shù)描述show查看開放服務規(guī)則name選擇查看的服務名使用說明：選定類型時顯示指定服務類型的設置，不選定類型時

46、，顯示所有規(guī)則。 使用舉例：查看GUI開放服務規(guī)則。ZXR10_FW pf#service show name gui4. 刪除一條開放服務規(guī)則命令功能ZXR10_FW pf#service delete id 刪除一條開放服務規(guī)則參數(shù)說明：參數(shù)描述delete刪除一條開放服務規(guī)則id選擇網(wǎng)關開放的服務id號數(shù)值使用說明：刪除服務所需的id號，可由使用service show命令查得。3.4.4 設置WEBUIWEBUI認證是指管理員需要通過用戶名/ 認證，才能登錄ZXR10 8900系列交換機防火墻業(yè)務板。1. 查看WEBUI設置命令功能ZXR10_FW.system#webui show查看WEBUI設置2. 設置WEBUI超時時間命令功能ZXR10_FW.system#webui idle-timeout 設置WEBUI超時時間參數(shù)說明：參數(shù)描述idle-timeout設置WEBUI超時時間參數(shù)描述數(shù)值，表示時間間隔，取值范圍303