29 防火墙基础和配置issue1.1.pptVIP

* 通过配置data参数来标识指定路径为数据通道，并且该通道状态将影响VRRP管理组的状态变化。当配置transfer-only参数则表明该数据通道的状态将不会影响VRRP管理组的状态。 配置为transfer-only的通道会作为第一个通道，在display curr时可以看到，用来传送主备防火墙备份信息使用，它的状态变化不会影响组的状态变化。 * 防火墙维护命令 display firewall session table此命令用于查看防火墙连接信息表 tcp,72:45000[41:45000]--43:38893 tcp,72:45000[41:45000]--43:38899 tcp,72:45000[41:45000]--43:38906 tcp,72:45000[41:45000]--43:38913 tcp,72:45000[41:45000]--43:38921 tcp,72:45000[41:45000]--43:38927 防火墙维护命令 Debug 命令 把debug的输出显示到当前telnet或console窗口方式： 同时使用terminal debuging和terminal monitor这两个命令 注意：打开debug命令会消耗CPU资源，对于在线业务需要小心使用 防火墙维护命令 Debug nat packet (IP forwarding) Inbound : Pro : ICMP, ID : 58198, ( 54:44078 - 00:44078) ------ ( 54:44078 - 89:44078) *0.1078433310 Eudemon100-1 SEC/8/NAT: (IP forwarding) Outbound : Pro : ICMP, ID : 8503, ( 89:44078 - 54:44078) ------ ( 00:44078 - 54:44078) 防火墙维护命令 firewall packet-filter all interzone untrust trust *0.1078931125 Eudemon100-1 FILTER/8/FLTDBG:interzone-trust-untrust InBound List 3000 permit icmp 54-89 (8 0) 84 bytes *0.1079008084 Eudemon100-1 FILTER/8/FLTDBG:interzone-trust-untrust InBound List 3000 permit tcp (54 1031)-(89 23) 60 bytes 防火墙维护命令 debugging ip icmp 调试通过的ping包 Debugging ip packet 调试所有的IP数据包 内容 防火墙概念 Eudemon防火墙介绍 Eudemon防火墙配置步骤 Eudemon防火墙的维护 防火墙的常见组网方式 WAP组网结构 AAA/ Internet NetScreen 500 A GGSN SMSC 网管中心 Quidway 6506 A Quidway 6506 B BIG-IP 2400 A BIG-IP 2400 B SUN Fire V440 * 5 WAP网关服务器 新增设备 SUN Fire V480 * 2 平台支撑服务器 备机连接SUN L25 磁带库 NetScreen 500 B OAM Server HP DL380 报表服务 器 HP DL380 预统计服 务器 HP DL580 新增设备 管理终端 （维护室） KVM切换器 显示器 键盘 鼠标 PSTN Quidway 2511E 接入路由器 该类设备通过RS232串口线和接入路由器 2511E连接，通过接入路由器统一进行管理 所有PC服务器通过专有输入输出串连线和KVM切 换器连接由唯一的输入输出设备统一进行管理 1 2 图例 光纤1000M SCSI电缆 10/100M网线 E1电缆 电话线 RS232串口线 Modem 话单处理机 HP DL580 新增设备 SUN Fire V480 * 6 WAP网关服务器 1 1 1 1 2 2 2 2 2 HA心跳线 MMS组网图 2×Netscreen 500 报表服务器 IBM X235 管理台 DELL便携 MMS Portal SUN V440 OMC Server IBM X235 2×QuidwayS6506交换机 2×F5 BIG IP 2400 负载均衡器 光纤交换机 ST5600磁盘阵列 CMNET 数据库和计费服务器 SUN V440双