H3C F5000-A5防火墙培训

H3CF5000-A5防火墙培训ISSUE1.0日期：2010/03/01杭州华三通信技术有限公司版权所有，未经授权不得使用与传播H3CSecPathF5000-A5是目前处理性能最高的分布式防火墙，旨在满足大型企业、运营商和数据中心网络高性能的安全防护。SecPathF5000-A5采用多核多线程、ASIC等先进处理器构建分布式架构，将系统管理和业务处理相分离，实现整机吞吐量达到40Gbps，使其具有全球最高性能的分布式安全处理能力。引入了解H3C防火墙产品的主要特性熟悉H3C防火墙的常见组网方式掌握H3C防火墙产品的典型配置掌握H3C防火墙的常见故障及其处理方法课程目标学习完本课程，您应该能够：H3CF5000-A5产品介绍H3CF5000-A5基本功能配置H3CF5000-A5典型组网常见故障及其维护方法目录产品简介ScatheF5000-A5是SecPath防火墙/VPN网关的旗舰产品定位在大型园区出口、ICP/ISP、数据中心以及MSSP运营商组网环境综合了多项业界领先的技术于一身：多核CPU，无阻塞交换网，业务处理FPGA化……具有业务高性能，系统高可靠性以及端口高密度等特点产品规格产品规格整机规格尺寸标准7U插槽1主控板+4业务板业务接口48GE/8*10GE管理口1GE+1CON+1AUX热备口1GE整机性能规格吞吐量40Gbps并发连接400万每秒新建连接10万加密性能2GbpsVPN隧道数20000主控板业务板电源风扇板卡介绍主控板：NSQ1MPUA0业务版：NSQ1GT8C40NSQM1GT8P40NSQ1XP20型号描述NSQ1GT8C408个电口和4个Combo口NSQM1GT8P408个SFP口和4个Combo口NSQ1XP202个XFP接口路由协议VOIPMPLSVPNs多播VRRPQoSGRE、L2TPIP服务层面操作安全层面单播反向地址检查（反欺骗）AAA认证命令行授权16优先级终端日志SNMPv3ARP安全层面ACLAAANATIPsecFirewall入侵检测SSHSSLPKI、VPNFirewallIDS管理业务用户管理网络集成解决方案动态VPN防火墙软件架构高速、丰富的NAT转换支持多种常用转换（一对多、多对一、NAPT、EasyIP等）支持多种地址转换应用层网关(解决特殊协议穿越NAT问题)NAT限制最大TCP连接数（解决内网病毒主机发起大量NAT会话）支持NAT多实例（解决VPN私网地址重叠问题）静态网段地址转换双向地址转换支持DNS映射NAT规格整机性能规格NAT吞吐量40GbpsNAT并发会话400万每秒新建连接28万相关协议及技术支持的协议L2TPVPNGREVPNIPSecVPNMPLSVPNSSLVPN加密/认证算法DES/3DESAESMD5SHA-1身份认证方式本地认证RADIUS/TACACS认证PKI/CA认证PKI/CA共享密钥共享密钥数字证书IKE2IKE1ProposalsProposalsProposalsProposals数字证书IKESAIPsecSA1.2.3.IPsec隧道网络深度融合能力接收报文报文分类/标记Queue0Queue1Queue2QueueNREDWREDSARED拥塞检测/避免队列调度FIFOPQCQWFQCBWFQ令牌流量整形丢弃丢弃继续发送入队出队令牌筒出接口入接口GTS源地址目的地址源端口目的端口协议类型TOSACLCAR流量监管拥塞管理专业网络厂商的丰富路由及QoS特性：静态/RIPv1/2/OSPF/BGP策略路由及路由策略流量监管/拥塞检测及避免/流量整形MPLS/多播/虚拟防火墙虚拟防火墙实例提供相互隔离的安全服务，具备私有的区域、域间、ACL规则组和NAT地址池，并且能够将绑定接口加入私有区域虚拟防火墙实例能够提供地址绑定、黑名单、地址转换、包过滤、统计、攻击防范、ASPF和NATALG等私有的安全服务虚拟防火墙为用户提供相互隔离的配置管理平面虚拟防火墙管理员登录防火墙后有权管理和维护私有的防火墙路由和安全策略高可靠性：保障您的业务不间断性支持VRRP组网，多台防火墙可组成高可靠性的网络双机热备：支持主/主、主/备模式双机状态热备：保证设备切换连接不中断实现非对称路径转发。链路负载均衡：通过探测链路，分析最优路径（时延小），自动选择最优路径转发电信电信高可用性—电信级硬件平台关键部件均冗余设计高达35万小时的(MTBF)支持接口模块热插拔支持温度自动检测及告警双电源冗余备份设备可靠网络可靠业务可靠端到端可靠网络Syslog文本日志二进制日志丰富日志信息：流日志NAT/ASPF日志攻击防范日志黑名单/地址绑定日志邮件/网址/内容过滤日志多种告警收集方式告警邮件手机短信统一设备网管能力WEB、SNMP、TR069等管理方式支持iMC统一网管支持VPNManager进行VPN部署支持BIMS集中管理H3CF5000-A5产品介绍H3CF5000-A5基本功能配置H3CF5000-A5典型组网常见故障及其维护方法目录支持多种方式管理，有Web、Telnet、SSH，其中大部分配置都能通过WEB完成，同时，支持命令行，命令行主要提供简单的配置、信息查看、故障诊断等，推荐使用WEB方式进行配置。PCF5000-A5管理方式一：console方式F5000-A5自带console口，可以用串口线对F5000-A5进行管理，其串口参数设置如图所示，默认情况下console口没有密码。图1Windows超级终端图2SecureCRT管理方式二：Web方式默认管理IP地址：192.168.0.1默认用户名：h3c默认密码：h3c管理方式三：Telnet/SSH方式1.开启Telnet和SSH服务2.创建管理用户登陆防火墙WEB页面后单击“设备管理服务管理”登陆防火墙WEB页面后单击“用户管理本地用户”，然后点击新建或删除用户通过指定端口管理防火墙[H3C]iphttpport8080//修改管理端口号[H3C]iphttpacl?INTEGER2000-2999Basicacl//限制登录用户IP配置SNMP（SimpleNetworkManagementProtocol）是使用TCP/IP协议族对互联网上的设备进行管理的一个框架，它提供一组基本的操作来监视和维护互联网。[H3C]snmp-agent//启用SNMP功能[H3C]snmp-agentlocal-engineid800063A203000000000202[H3C]snmp-agentcommunityreadpublic//设置SNMPCommunity及其操作限；[H3C]snmp-agentcommunitywriteprivate[H3C]snmp-agentsys-infoversionall//设置SNMP版本；[H3C]snmp-agenttrapsourceGigabitEthernet2/0//设置SNMPtrap源地址；[H3C]snmp-agenttarget-hosttrapaddressudp-domain192.168.0.2paramssecuritynameh3c//设置SNMPtarget-hosttrapaddress；网络管理防火墙的网络管理包括端口参数设置、VLAN配置、路由协议配置及路由表的维护、DHCP、DNS以及流量统计等内容。以太网接口管理常用端口参数设置命令：[H3C]intGigabitEthernet2/8[H3C-GigabitEthernet2/8]speed100/1000//设置端口速率[H3C-GigabitEthernet2/8]duplexfull/half/auto//设置双工模式[H3C-GigabitEthernet2/8]comboenablecopper/fiber//设置combo口类型[H3C-GigabitEthernet2/8]portlink-modebridge/route//设置端口工作模式[H3C-GigabitEthernet2/8]shutdown//关闭端口[H3C-GigabitEthernet2/8]noshutdown//开启端口[H3C-GigabitEthernet2/8]tcpmss？//修改端口MSS值INTEGER128-2048TCP-MSSvalue[H3C-GigabitEthernet2/8]mtu？//修改端口MTU值INTEGER46-1500MTUvalue链路聚合功能链路聚合是将多个物理以太网接口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。链路聚合可以实现数据流量在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。H3C防火墙支持三层、二层以及静态、动态链路聚合功能。三层链路聚合组网需求：F5000A的GE1/6和GE1/7采用三层链路聚合到group1，与交换机进行对接，基于源地址实现链路负载分担和动态备份。配置方法：创建聚合组，并将接口加入聚合组配置负载分担方式将实际接口和聚合口加入安全区域F5000-A5SwitchGE1/6GE1/7GE4/1/1GE4/1/2三层链路聚合（续）配置方法：#interfaceRoute-Aggregation1//创建链路聚合口，并设置其IP地址ipaddress10.1.1.1255.255.255.0#interfaceGigabitEthernet1/6portlink-moderouteportlink-aggregationgroup1//将接口加入聚合组#interfaceGigabitEthernet1/7portlink-moderouteportlink-aggregationgroup1#link-aggregationload-sharingmodesource-ip//设置聚合口负载分担方式二层链路聚合配置要点：先将接口工作模式设置成桥接模式创建聚合口并加入VLAN添加接口到聚合组将实际接口和聚合口加入相应安全区域配置方