锐捷网络防火墙配置指南

RG-WALL 160E/T/M系列防火墙快速指南(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目录一、概述 (3)二、防火墙硬件描述 (3)三、防火墙安装 (4)2.1 温度／湿度要求 (5)2.2 洁净度要求 (5)2.3 抗干扰要求 (5)四、通过CONSOLE口命令行进行管理 (6)五、通过WEB界面进行管理 (13)六、常见问题解答FAQ (19)一、概述RG-WALL防火墙缺省支持两种管理方式：CONSOLE口命令行方式通过网口的WEB（https）管理CONSOLE口命令行方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种方式接入网络：路由方式和混合方式。

在路由方式下，配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙；混合方式时，由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发，如果为透明桥方式，则不用修改已有网络配置。

二、防火墙硬件描述RG-WALL160M系列防火墙前面板示意图如下图所示：RG-WALL160T系列防火墙前面板示意图如下图所示：RG-WALL160E系列防火墙前面板示意图如下图所示：说明如下：三、防火墙安装1．安全使用注意事项本章列出安全使用注意事项，请仔细阅读并在使用RG-WALL防火墙过程中严格执行。

这将有助于您更安全地使用和维护您的防火墙。

（1）您使用的RG-WALL防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。

RG-Wall防火墙命令行手册(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究锐捷网络产品部测试中心第1页，共197页目录RG-Wall防火墙命令行手册 (1)1.导言 (8)1.1.本书适用对象 (8)1.2.手册章节组织 (8)1.3.登录命令行页面 (9)1.4.命令行概述 (10)1.5.相关参考手册 (13)2.2系统配置 (14)2.1.系统时钟systime (14)2.2.系统启动和运行时间runtime (15)2.3.超时退出时间timeout (15)2.4.时钟服务器timesrv (16)2.5.升级许可sysupdate (17)2.6.系统配置syscfg (18)2.7.报警邮箱mngmailbox (20)2.8.日志服务器logsrv (21)2.9.域名服务器dns (22)3.管理配置 (23)3.1.管理方式mngmode (23)锐捷网络产品部测试中心第2页，共197页3.2.管理主机mnghost (24)3.3.系统主机名dns (24)3.4.管理员帐号mngacct (25)3.5.管理员口令mngpass (27)3.6.管理员证书mngcert (27)3.7.集中管理mngglobal (29)3.8.初始配置向导fastsetup (32)4.网络配置 (34)4.1.网络接口sysif (34)4.2.接口IP地址sysip (37)4.3.策略路由route (38)4.4.ADSL拨号adsl (41)4.5.DHCP配置 (43)4.5.1.DHCP服务器dhcpserver (43)4.5.2.DHCP客户端dhcpclient (47)4.5.3.DHCP中继dhcprelay (47)5.VPN配置 (49)VPN 命令概述 (49)5.1.VPN基本配置 (50)5.1.1.设置基本参数 (50)5.1.2.显示基本参数 (51)5.1.3.设置DHCP over IPSec信息 (51)5.1.4.显示DHCP over IPSec信息 (52)锐捷网络产品部测试中心第3页，共197页5.1.5.VPN模块启动、停止 (52)5.2.VPN客户端分组 (53)5.2.1.添加VPN客户端分组 (53)5.2.2.设置VPN客户端分组 (54)5.2.3.删除VPN分组 (55)5.3.远程VPN配置 (56)5.3.1.添加远程VPN (56)5.3.2.设置远程VPN (63)5.3.3.显示远程VPN网关 (68)5.3.4.删除网关 (69)5.3.5.网关生效 (69)5.3.6.网关失效 (70)5.4.隧道配置 (70)5.4.1.添加隧道 (70)5.4.2.设置隧道 (72)5.4.3.显示隧道 (73)5.4.4.删除隧道 (73)5.4.5.隧道生效 (74)5.4.6.隧道失效 (74)5.5.VPN设备 (75)5.5.1.添加虚设备 (75)5.5.2.编辑虚设备 (75)5.5.3.删除虚设备 (76)5.5.4.显示虚设备 (76)5.6.证书管理 (76)锐捷网络产品部测试中心第4页，共197页5.6.1.显示证书 (77)5.6.2.删除证书 (77)5.7.PPTP/L2TP配置 (78)5.7.1.服务器配置pptpserver (78)5.7.2.拨号用户pptpuser (79)6.对象定义 (82)6.1.地址defaddr (82)6.2.地址组defaddrgrp (83)6.3.服务器地址defsrvaddr (84)6.4.NAT地址池defaddrpool (85)6.5.服务defsvc (87)6.6.服务组defsvcgrp (90)6.7.代理defproxy (92)6.8.邮件过滤defmail (95)6.9.时间deftime (97)6.10.时间组deftimegrp (99)6.11.保护主机hostprotect (100)6.12.保护服务svcprotect (103)6.13.限制主机hostlimit (106)6.14.限制服务svclimit (108)6.15.带宽策略bandwidth (111)6.16.URL列表defurl (112)6.17.病毒过滤 (113)7.安全策略 (115)锐捷网络产品部测试中心第5页，共197页7.1.安全规则policy (115)7.2.地址绑定ipmac (128)7.3.P2P限制 (130)7.4.IDS产品联动ids (134)7.5.抗攻击anti (137)7.6.入侵防护ips (140)8.高可用性 (142)8.1.HA基本配置 (142)8.2.路由模式HA (144)8.2.1.VRRP实例vrrp (144)8.2.2.VRRP关联vrrpbunch (145)8.3.桥模式HA (148)8.3.1.桥配置 (148)9.用户认证 (151)9.1.用户认证服务器authsrv (151)9.2.用户defuser (152)9.3.用户组defusergrp (154)10.系统监控 (159)10.1.网络监控netmonitor (159)10.2.系统信息sysinfo (164)10.3.看日志log (165)10.4.ipsec隧道监控 (166)10.5.在线用户defuser (167)锐捷网络产品部测试中心第6页，共197页10.6.查看ARP表arp (167)10.7.IP探测ping (168)10.8.域名查询dnssearch (168)10.9.路由探测traceroute (168)11.其它 (170)11.1.接收文件rcvfile (170)11.2.显示分页disppage (170)11.3.设置提示符prompt (170)11.4.退出命令行界面quit (171)12.使用技巧 (172)13.命令索引 (173)锐捷网络产品部测试中心第7页，共197页1. 导言1.1. 本书适用对象本手册是RG Wall防火墙管理员手册中的一本，主要介绍如何通过终端的命令行（Command Line Interface，以下简称CLI）方式对RG Wall防火墙进行配置管理。

锐捷WALL 1600系列老防火墙管理证书更新指导【命令行方式】（V1.3）第一章背景说明锐捷WALL 1600系列老防火墙的原管理证书已于2016年9月3日过期。

过期后将无法通过WEB（HTTPS）方式管理防火墙，命令行（SSH/TELNET/串口）的方式仍然可以正常管理。

所以超过9月3日后，就需要采用命令行方式更新防火墙证书。

具体操作详见“命令行方式更新指导”章节。

涉及的型号：WALL120WALL 160、160A/T/M/S/EWALL 1600、1600A/T/M/S/E/P特别说明：1、涉及型号不在以上列表中无需更新（型号的数字、字母完全匹配），例如：WALL 1600-SI、WALL 1600E-V等都无需更新。

2、管理证书过期仅影响WEB（HTTPS）的管理，其它防火墙功能不影响，正常使用。

3、由于WALL 60采用不一样的软件架构，同时产品生命周期已达10年，所以此次无新证书更新。

推荐您继续采用命令行管理方式。

如需WEB方式管理，可临时将WALL 60的系统时间和管理电脑时间调至2016年9月3日之前（命令范例：systime set 2015/9/1 18:50:00）。

第二章获取最新的管理证书版本、最新管理证书和命令行方式更新指导可通过锐捷官网获取。

下载链接：/fw/rj/57193。

所需的升级文件：1、防火墙证书更新版本：RG-WALL-manage-cert-20150115.pkg，MD5：7163b0fe6ab8834dcc1852fd0294fd1b2、管理电脑新证书：admin2015.p12，MD5：BC58478E37AD781B4EBEA5C857A18D3F第三章命令行方式更新指导以下以SecureCRT工具（推荐此工具）、SSH登陆方式为例。

当然采用TELNET或串口的方式也是可以的；但需要注意采用TELNET方式，需要提前建立放通TELNET协议的安全策略才可以登陆。

RG-WALL 1600T/M/S系列防火墙快速指南(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目录一、概述 (3)二、防火墙硬件描述 (3)三、防火墙安装 (4)2.1 温度／湿度要求 (5)2.2 洁净度要求 (5)2.3 抗干扰要求 (5)四、通过CONSOLE口命令行进行管理 (6)五、通过WEB界面进行管理 (13)六、常见问题解答FAQ (19)一、概述RG-WALL防火墙缺省支持两种管理方式：CONSOLE口命令行方式通过网口的WEB（https）管理CONSOLE口命令行方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种方式接入网络：路由方式和混合方式。

在路由方式下，配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙；混合方式时，由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发，如果为透明桥方式，则不用修改已有网络配置。

二、防火墙硬件描述RG-WALL1600M系列防火墙前面板示意图如下图所示：RG-WALL1600T系列防火墙前面板示意图如下图所示：RG-WALL1600S系列防火墙前面板示意图如下图所示：说明如下：三、防火墙安装1．安全使用注意事项本章列出安全使用注意事项，请仔细阅读并在使用RG-WALL防火墙过程中严格执行。

这将有助于您更安全地使用和维护您的防火墙。

（1）您使用的RG-WALL防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。

密级：受控文档归属：技术培训中心使用对象：技术服务部工程师锐捷防火墙技术实验手册2010-05-11福建星网锐捷网络有限公司版权所有侵权必究文档维护人：徐立欢Tel：010-*******Email：xlh@修订记录目录1防火墙管理 (5)1.1实验目的 (5)1.2实验设备 (5)1.3实验拓扑图 (5)1.4实验步骤 (5)1.5实验作业 (6)1.6实验中遇到问题及解决方法 (6)1.7实验心得 (6)2防火墙基本功能配置 (7)2.1实验目的 (7)2.2实验设备 (7)2.3实验拓扑图 (7)2.4实验步骤 (7)2.5实验作业 (8)2.6实验中遇到问题及解决方法 (8)2.7实验心得 (8)3防火墙包过滤功能应用 (10)3.1实验目的 (10)3.2实验设备 (10)3.3实验拓扑图 (10)3.4实验步骤 (10)3.5实验作业 (11)3.6实验中遇到问题及解决方法 (11)3.7实验心得 (12)4防火墙NA T功能应用 (13)4.1实验目的 (13)4.2实验设备 (13)4.3实验拓扑图 (13)4.4实验步骤 (13)4.5实验作业 (14)4.6实验中遇到问题及解决方法 (14)4.7实验心得 (14)5防火墙端口映射功能应用 (16)5.1实验目的 (16)5.2实验设备 (16)5.3实验拓扑图 (16)5.4实验步骤 (17)5.5实验作业 (17)5.6实验中遇到问题及解决方法 (17)5.7实验心得 (18)6防火墙路由模式综合应用 (19)6.1实验目的 (19)6.2实验设备 (19)6.3实验拓扑图 (19)6.4实验步骤 (20)6.5实验作业 (20)6.6实验中遇到问题及解决方法 (21)6.7实验心得 (21)7防火墙密码恢复 (22)7.1实验目的 (22)7.2实验设备 (22)7.3实验拓扑图 (22)7.4实验步骤 (22)7.5实验作业 (22)7.6实验中遇到问题及解决方法 (23)7.7实验心得 (23)1 防火墙管理1.1 实验目的●掌握防火墙管理方法1.2 实验设备RG-WALL1600系列防火墙一台☺本文推荐防火墙如下：RG-WALL 160T1.3 实验拓扑图1.4 实验步骤1.配置PC机IP地址为（）2.安装防火墙WEB管理证书，证书密码为（）3.将PC机连接至防火墙的第一个接口4.在浏览器中输入地址（）5.在登陆界面中输入用户名（），密码（）登陆到防火墙WEB管理界面6.查看防火墙当前软件版本为（），防火墙序列号为（），防火墙型号为（），CPU利用率为（），内存利用率为（）。

锐捷网络防火墙配置指南（更新日期）锐捷网络800技术支持中心技术热线：800-858-1360目录一、RG-Wall防火墙注册指南 (2)二、RG-Wall防火墙PA T设置指南 (16)三、RG-Wall防火墙DNS分离功能设置 (19)四、RG-Wall防火墙LSNA T设置指南 (25)五、RG-Wall防火墙反向PAT设置指南 (27)六、RG-Wall防火墙配置VPN指南 (30)七、RG-Wall防火墙日志服务器部署指南 (36)一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console口；使用windwos自带的通讯工具”超级终端”登录防火墙（→开始→程序→附件→通讯→超级终端）：设置好超级终端参数之后，接通防火墙电源，RG-WALL系统开始启动。

系统登入的默认ID和口令值如下（注意区分大小写）：ID : root PW : rg-wall123登录系统，在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面，要求输入用户名密码。

用户名为admin ，口令为admin123。

登录后，即出现如下所示的登陆界面：输入reinstall注册防火墙，系统提示”Do you want to proceed anyway? “输入Y继续，防火墙重启。

系统重启完后，重新登陆后，会进入以下状态：按“任意键”正式进入注册步骤：输入防火墙的软件序列号、授权代码（在防火墙随机带的“产品授权使用证书”上）输入”O”（下同）进入防火墙工作模式的设置（默认情况下为“路由模式”）：进入超级管理员的帐号、密码、管理权限设置：进入设定防火墙的机器名，语言版本等信息，注意防火墙机器名为了便于以后管理，请一定采用xxx.xxx.xxx （）的域名表示方式。

这里使用中文版本：进入防火墙的时间设定，在此采用系统默认时间：进入防火墙管理员IP地址设置（最多可以设置10个管理员IP地址）：进入防火墙网卡的IP地址设置如下图（LAN 1口IP地址为192.168.1.1）：进入防火墙VLAN设置，在此处跳过:进入防火墙静态路由设置，添加Default gateway（缺省网关，在此为192.168.26.10）进入防火墙动态路由设置，以下都跳过：进入配置域名服务的有关信息。

Juniper SSG—5(NS—5GT)防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)初始化设置1。

将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡.2.电脑本地连接设置静态IP地址，IP地址192。

168。

1。

2（在192.168。

1。

0/24都可以）,子网掩码255。

255.255。

0，默认网关192.168.1.1，如下图:3。

设置好IP地址后，测试连通，在命令行ping 192。

168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192。

168。

1.1，如下图向导选择最下面No，skip--，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6。

登陆到web管理页面,选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7。

选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP,IP Address输入规划好的本地内网IP地址，如192。

168.22。

1/24，Manage IP 192。

168。

22。

1。

之后勾选Web UI,Telnet,SSH，SNMP，SSL，Ping。

如下图:Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3。

选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4。

此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting,在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图:PPPoE拨号设置完毕之后，点击Connect，如下图:回到Interface –List，可以看到此拨号连接的连接状态，如下图:ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。

RGNOS™用户配置指导手册终端服务配置第十一部分终端服务配置指南目录目录RGNOS™用户配置指导手册 (1)第一章基于应用的终端服务 (1)1.1 终端服务器概述 (1)1.2 终端服务器的功能 (2)1.3 终端服务器的配置 (3)1.3.1 在设备端的配置 (3)1.3.2 终端服务器典型配置示例 (10)1.4 终端服务器的维护与监控 (14)第一章基于应用的终端服务RGNOS提供基于应用的终端服务，提供终端(接入)服务器的功能，一般称之为终端服务器。

在这种情况下设备实际上是一个终端(接入)服务器。

终端服务器主要应用于主机-终端的系统模式，譬如银行业务系统等。

说明：下文提到的UNIX如无特殊说明，泛指我司终端服务器主机端软件（又称固定Tty软件，包括Rginetd、Rgtelnetd、Rgadmin，以下统称为Rginetd）支持的SCOUNIX 、AIX、Linux平台。

1.1 终端服务器概述RGNOS提供的终端服务器针对“中心服务器主机-中心设备-网点设备-终端” 的应用模式，也就是终端接到设备的异步串口上，再通过IP网络连接到网络中心服务器进行业务作业，实现了“中心服务器主机-中心设备-网点设备-网点前置机＋多用户卡-终端”或“中心服务器主机-中心设备-终端服务器-终端”到“中心服务器主机-中心设备-网点设备-终端”改造的平滑过渡，适用于银行、证券以及电信等行业。

RGNOS作为终端服务器来实现固定终端号的时候，是通过在中心服务器上Rginted软件的配合，实现网点设备异步口上终端号的固定功能，每个连接在异步口上终端与唯一的终端设备号对应。

如果只是利用RGNOS作为终端服务器来实现普通的Telnet服务功能，就无需Rginted软件的配合，也就无需在UNIX服务器端进行相应的配置操作。

当终端通过设备连接到UNIX主机时，Rginted程序会根据设备网络连接请求数据包的IP地址和连接端口号以及连接终端的设备异步口号，查找在UNIX主机上的/etc/ rgtelnetd.conf配置文件中对应条目，给该终端分配一个固定的Tty设备号，从而实现固定终端号。

RG-Wall防火墙快速指南(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目 录一、概述 (3)二、防火墙硬件描述 (3)三、防火墙安装 (5)2.1 温度／湿度要求 (6)2.2 洁净度要求 (6)2.3 抗干扰要求 (6)四、通过CONSOLE口命令行进行管理 (7)五、通过WEB界面进行管理 (14)六、常见问题解答FAQ (20)一、概述RG-Wall 防火墙缺省支持两种管理方式： CONSOLE 口命令行方式 通过网口的WEB （https ）管理CONSOLE 口命令行方式适用于对防火墙操作命令比较熟悉的用户。

WEB 方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB 方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种方式接入网络：路由方式和混合方式。

在路由方式下，配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙；混合方式时，由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发，如果为透明桥方式，则不用修改已有网络配置。

二、防火墙硬件描述RG-Wall 系列防火墙前面板示意图如下图所示，RG-Wall 120/160从左到右依次排列有公司标识、电源指示灯和状态指示灯、AUX 口、CONSOLE 口、4个百兆网口、扩展接口插槽。

说明如下： 文字项说 明百兆网络接口RG-Wall 120的4个百兆网络接口从左至右依次为：FE1，FE2，FE3，FE4。

RG-Wall 160的4个百兆网络接口从左至右依次为：FE1，FE2，FE3，FE4。

两个扩展模块上具有2 个百兆网络接口，从左至右依次为：S1F1，S1F2，S2F1，S2F2。

硬件安装手册RG-WALL1600-M5800E 文档版本号：V1.2技术支持 4008-111-000 版权声明锐捷网络©2013锐捷网络版权所有，并保留对本手册及本声明的一切权利。

未得到锐捷网络的书面许可，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。

、、、、、、、、、、、都是锐捷网络的注册商标，不得仿冒。

免责声明本手册内容依据现有信息制作，由于产品版本升级或其他原因，其内容有可能变更。

锐捷网络保留在没有任何通知或者提示的情况下对手册内容进行修改的权利。

本手册仅作为使用指导，锐捷网络在编写本手册时已尽力保证其内容准确可靠，但并不确保手册内容完全没有错误或遗漏，本手册中的所有信息也不构成任何明示或暗示的担保。

前言感谢您使用锐捷网络产品，本手册为您提供了详细的硬件安装指南。

使用范围本手册主要介绍了产品在功能上和物理上的一些特性，提供了安装步骤、故障排除、技术规格，以及电缆和连接器的规格和使用准则。

适用于想对上述内容进行了解且在安装和维护网络硬件方面具有一定经验的用户。

同时假定该款产品的用户熟知相关术语和概念。

技术支持◼锐捷网络官方网站：/。

◼锐捷网络在线客服：。

◼锐捷网络远程技术支持中心：/service.aspx。

◼7×24小时技术服务热线：4008-111-000◼锐捷网络技术论坛：◼锐捷网络技术支持与反馈信箱：******************.cn相关资料文档格式约定本书采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：注意、警告、提醒操作中应注意的事项。

说明、提示、窍门、对操作内容的描述进行必要的补充☑对于产品的支持情况进行必要的补充。

1 产品介绍RG-WALL1600-M5800E是锐捷网络自主研发的一个紧凑型的网络安全设备，能够为您的企业网络提供全面的威胁防护。

RG-WALL 1600T/M/S防火墙产品功能使用手册(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目录第一章VPN功能使用 (4)1.1概述 (4)1.2 IPSec VPN技术原理简介 (4)1.3 IPSec VPN对数据包的处理 (5)1.4 IPSEC NAT 穿透： (7)1.5 密钥管理（IKE密钥协商） (8)1.6 Diffie-Hellman交换： (9)1.7 基于策略和基于路由的VPN (10)1.8 网关－网关VPN隧道的建立 (11)1.9 远程访问VPN隧道的建立 (14)1.10 RG-WALL VPN CA中心软件的使用 (15)1.11 PPTP/L2TP远程访问VPN配置方法 (15)1.12 动态域名 (19)1.13 常见问题 (20)第二章高可用性 (21)2.1.VRRP简介 (21)2.2RG-WALL防火墙路由HA (23)2.3PVST+简介 (52)2.4RG-WALL防火墙多Vlan交换环境冗余备份 (53)第三章用户认证 (64)3.1概述 (64)3.2服务器 (64)3.3用户组 (68)3.4用户列表 (74)3.5在线用户 (77)3.6客户端 (78)3.7实例及网络拓扑 (85)第四章典型应用案例 (92)4.1纯路由-私有子网 (92)4.2纯路由-公网 (93)4.3纯透明-内部网 (94)4.4纯透明 (96)4.5混合 (98)4.6多内网 (99)4.7多VLAN内网 (101)4.8VLAN旁路 (102)4.9多外网口 (103)4.10DHCP-客户端 (105)4.11DHCP-服务器 (106)4.12DHCP-中继 (107)4.13 普通ADSL线路＋混合模式 (108)4.14 专线＋内网提供WEB服务 (109)4.15 多ADSL线路＋负载均衡 (111)第一章VPN功能使用1.1概述虚拟专用网（VPN）提供了通过公用广域网(W AN) ( 例如，互联网) 在远程计算机间安全通信的方法。

RGNOS™命令参考手册安全配置目录第一章AAA命令 (1)1.1 身份认证相关命令 (1)1.1.1 aaa authentication ppp (1)1.1.2 aaa authentication login (2)1.1.3 aaa new-model (3)1.1.4 login local (5)1.1.5 ppp authentication (6)1.1.6 ppp chap hostname (7)1.1.7 ppp chap password (8)1.1.8 ppp pap sent-username (9)1.1.9 debug aaa (10)1.2 授权相关命令 (10)1.2.1 aaa authorization network (10)1.2.2 ppp authorization (11)1.2.3 show privilege (12)1.3 记帐相关命令 (13)1.3.1 aaa accounting network (13)1.3.2 aaa accounting update periodic (14)1.3.3 ppp accounting (15)1.3.4 show accounting (16)1.3.5 debug a (16)第二章RADIUS命令 (18)2.1 RADIUS相关命令 (18)2.1.1 ip radius source-interface (18)2.1.2 radius-server host (19)2.1.3 radius-server key (20)2.1.4 radius-server retransmit (21)2.1.5 radius-server timeout (22)2.1.6 debug radius (22)第三章访问控制列表（防火墙）命令 (24)3.1 访问控制列表相关命令 (24)3.1.1 access-list (24)3.1.2 access-class (31)3.1.3 clear access-list (31)3.1.4 ip access-group (32)3.1.5 show access-lists (33)3.1.6 show ip access-lists (34)3.1.7 absolute (35)3.1.8 clock set (36)3.1.9 clock update-calendar (37)3.1.10 periodic (37)3.1.11 time-range (38)3.1.12 show time-range (39)第四章口令设置命令 (41)4.1 enable password (41)4.2 password (42)4.3 username (42)第五章端口镜像配置 (45)5.1 mirror (45)第六章抗攻击配置 (47)6.1 security anti-wan-attack level (47)6.2 security anti-wan-attack parameter (48)6.3 show security (49)6.4 ARP抗攻击配置命令 (49)6.5 arp request-update enable (50)6.6 arp reply-update enable (51)6.7 arp gratuitous-learning enable (51)6.8 arp trust-monitor enable (52)6.9 arp trust-monitor timeout (53)6.10 arp attacker-detect enable (54)6.11 arp scan-detected enable (55)6.12 arp virus-host detect interface (56)6.13 show arp arp-attacker (56)6.14 clear arp-cache (57)6.15 security deny (58)6.16 security anti-igm-dog (59)6.17 show security anti-igm-dog suspicion (59)6.18 clear security anti-igm-dog (60)6.19 preserve-ip (61)6.20 show preserve-ip (61)6.21 clear dynamic-preserve-ip (62)第一章 AAA命令1.1 身份认证相关命令身份认证包括以下命令：z aaa authentication pppz aaa authentication loginz aaa debugz aaa new-modelz loginz login authenticationz login localz ppp authenticationz ppp chap hostnamez ppp chap passwordz ppp pap sent-username1.1.1 aaa authentication ppp要使用AAA进行PPP认证，请执行全局配置命令aaa authentication ppp 配置PPP认证的方法列表。

目录Juniper 550M 防火墙配置指导 (2)双机HA配置 (2)1.登陆防火墙 (2)2。

配置接口IP (4)3。

配置默认路由 (5)4。

配置NSRP (6)5.设置同步选项 (8)6.同步配置 (8)配置MIP (9)1。

配置映射IP (9)2.配置策略 (10)配置VIP (11)1.配置映射端口服务 (12)2.配置映射IP关系 (13)3。

配置策略 (14)附件1 (14)Juniper 550M 防火墙配置指导通过串口登陆，帐号：netscreen 密码：netscreenSSG520—> get config -—-等同于cisco的show run新机器上来默认是无任何配置的,如拿到的机器是有配置的,请清除。

注:清除防火墙配置方法（见附件1)双机HA配置配置HA之前，请将HA心跳线拔掉。

注：HA配置当中,如无特别说明,以下操作均要在主备两台防火墙上操作。

1.登陆防火墙用普通网线连上防火墙0/0口，将本机IP设为192.168.1.100/24 gw192.168.1.1（现场环境需要做一条到防火墙的默认路由），打开IE浏览器：配置主界面:2.配置接口IP注：只需在主防火墙上配置即可，后续接口IP会同步到备机.但Manage IP不会同步，需要在配完HA后,自己根据需要进行更改，也可以不设。

Network-〉Interfaces—>ehternet0/2—>Edit-〉Basic注：此处0/2口为untrust口，实际应用中，应当为公网IP或网管网、营帐网所对应接口.3.配置默认路由Network > Routing 〉 Routing Entries4.配置NSRPNetwork 〉NSRP > ClusterNetwork 〉NSRP 〉VSD Group点击Edit进入Network 〉NSRP 〉VSD Group > ConfigurationNetwork 〉NSRP 〉Monitor 〉Interface 将需要监控的端口勾选并保存5.设置同步选项6.同步配置上述操作在主备防火墙上完成后,连接好心跳线,用串口线连接备防火墙，并登陆,输入如下命令，并重启防火墙。

2.5G产品快速配置手册目录一、WEB登录 (2)二、SFP28端口速率设置 (3)三、网页修改SFP28端口速率 (4)四、网页设置40G拆分 (6)五、设置vlan1接口地址 (7)六、设置管理口地址 (8)七、升级系统镜像 (9)九、升级web镜像 (11)十、密码恢复 (12)十一、命令行恢复出厂设置 (13)十二、类似hybrid配置 (14)一、WEB登录端口介绍串口下方为管理口。

其他网口默认为vlan1。

管理网口默认地址192.168.1.1，Vlan1默认地址为：192.168.100.100。

登录用户名：admin，密码：admin。

二、SFP28端口速率设置交换机右边4个SFP28端口，支持25G/10G两种速率，4个端口同一时刻只能处于相同速率（10G或25G)，出厂默认为10G速率，速率切换指令为：使用串口命令行进行设置：25G速率设置命令：Switch(config)#interface eth-0-51Switch(config-if)#group-speed25G10G速率设置命令：Switch(config)#interface eth-0-51Switch(config-if)#group-speed10G1G速率设置命令：Switch(config)#interface eth-0-51Switch(config-if)#group-speed1000三、网页修改SFP28端口速率交换机SFP28端口默认为10G速率，当我们需要设置为25G或者1G速率时，可以加载我们预先设置的配置文件。

加载预配置的文件后需要保存。

我们预配置了3个速率分别为：25G配置文件：startup-config.conf_SFP28_25G10G配置文件：startup-config.conf_SFP28_10G1G配置文件：startup-config.conf_SFP28_1G在“系统管理”下，点击“加载配置”，选中需要使用的预配置文件，点击“加载”，在弹出对话框点击“加载”确认加载该配置文件。

资料范本本资料为word版本，可以直接编辑和打印，感谢您的下载锐捷网络防火墙配置指南地点：__________________时间：__________________说明：本资料适用于约定双方经过谈判，协商而共同承认，共同遵守的责任与义务，仅供参考，文档可直接下载或修改，不需要的部分可直接删除，使用时请详细阅读内容锐捷网络防火墙配置指南（更新日期）锐捷网络800技术支持中心技术热线：800-858-1360目录TOC \o "1-3" \h \z \u HYPERLINK \l "_Toc141515482" 一、RG-Wall防火墙注册指南 PAGEREF _Toc141515482 \h 2 HYPERLINK \l "_Toc141515483" 二、RG-Wall防火墙PAT设置指南PAGEREF _Toc141515483 \h 16HYPERLINK \l "_Toc141515484" 三、RG-Wall防火墙DNS分离功能设置 PAGEREF _Toc141515484 \h 19HYPERLINK \l "_Toc141515485" 四、RG-Wall防火墙LSNAT设置指南 PAGEREF _Toc141515485 \h 25HYPERLINK \l "_Toc141515486" 五、RG-Wall防火墙反向PAT设置指南 PAGEREF _Toc141515486 \h 28HYPERLINK \l "_Toc141515487" 六、RG-Wall防火墙配置VPN指南PAGEREF _Toc141515487 \h 32HYPERLINK \l "_Toc141515488" 七、RG-Wall防火墙日志服务器部署指南 PAGEREF _Toc141515488 \h 38一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console 口；使用windwos自带的通讯工具”超级终端”登录防火墙（→ 开始→ 程序→ 附件→ 通讯→超级终端）：设置好超级终端参数之后，接通防火墙电源，RG-WALL系统开始启动。