豆丁微信公众号
君，已阅读到文档的结尾了呢~~
防火墙需开通和关闭的端口列表
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
防火墙需开通和关闭的端口列表
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口【惠普DeskJet 1111】惠普（HP）DeskJet 1111 彩色喷墨打印机 学生打印 作业打印【行情 报价 价格 评测】-京东
惠普DeskJet 1111
PLUS会员专享价
您购买此商品可享受专属价
选择新地址
￥暂无报价
规格与包装
商品名称：惠普DeskJet 1111
商品编号：1737757
商品毛重：2.74kg
商品产地：中国大陆
技术类型：喷墨
连接方式：USB
耗材类型：墨盒
自动双面打印：不支持
使用场景：家庭打印，照片打印
商品介绍加载中...
品牌惠普 HP
类型喷墨打印机
幅面A4 幅面
喷墨打印机
最高分辨率黑白：最高 1200 x 1200 dpi；彩色：最高 4800 x 1200 dpi 彩色（使用惠普相纸打印， 且 1200 dpi 输出）
黑白打印速度高达 20 页/分钟 (A4)；高达 7.5 页/分钟（ISO，媲美激光打印品质）；
彩色打印速度高达 16 页/分钟 (A4)；高达 5.5 页/分钟（ISO，媲美激光打印品质）
兼容系统Windows? 8.1、Windows? 8、Windows? 7；OS X v10.8 Mountain Lion、OS X v10.9 Mavericks、 OS X v10.10 Yosemite；详情见官网
耗电量最大 10 瓦，10 瓦（打印），0.1 瓦（关机）， 1.3 瓦（待机），0.7 瓦（睡眠）
噪音水平声压：55 dB(A)
接口1 个 USB 2.0
墨盒HP 803 原装三色墨盒；HP 803 原装黑色墨盒
支持纸张尺寸A4；B5；A6；DL 信封
HP DeskJet 1111 喷墨打印机×1；HP 803 黑色体验墨盒×1；HP 803 三色体验墨盒×1；软件 CD×1；设置指南×1；电源线×1；USB 连接线×1
权利声明：京东上的所有商品信息、客户评价、商品咨询、网友讨论等内容，是京东重要的经营资源，未经许可，禁止非法转载使用。
注：本站商品信息均来自于合作方，其真实性、准确性和合法性由信息拥有者（合作方）负责。本站不提供任何保证，并不承担任何法律责任。
价格说明：
京东价：京东价为商品的销售价，是您最终决定是否购买商品的依据。
划线价：商品展示的划横线价格为参考价，并非原价，该价格可能是品牌专柜标价、商品吊牌价或由品牌供应商提供的正品零售价（如厂商指导价、建议零售价等）或该商品在京东平台上曾经展示过的销售价；由于地区、时间的差异性和市场行情波动，品牌专柜标价、商品吊牌价等可能会与您购物时展示的不一致，该价格仅供您参考。
折扣：如无特殊说明，折扣指销售商在原价、或划线价（如品牌专柜标价、商品吊牌价、厂商指导价、厂商建议零售价）等某一价格基础上计算出的优惠比例或优惠金额；如有疑问，您可在购买前联系销售商进行咨询。
异常问题：商品促销信息以商品详情页“促销”栏中的信息为准；商品的具体售价以订单结算页价格为准；如您发现活动商品售价或促销信息有异常，建议购买前先联系销售商咨询。
能效标识说明：
根据国家相关能效标识法规和标准的要求，京东自营在售商品的能效标识图样，将会逐步替换为新版能源效率标识贴；受能效标识标准变化影响，部分产品的新版和旧版能效标识，在能效等级、测试值等方面会有差异，但产品实际性能完全一样，并不影响购买和使用，加贴新版或旧版能效标识的商品会随机发放，请您放心购买；如有疑问，请在购买前通过咚咚或来电咨询。
惠粉您好~此款打印机支持Windows 10操作系统，您通过数据线连接使用即可，欢迎选购。感谢您对京东的支持，祝您购物愉快~
惠粉您好~此款打印机需要通过数据线连接到电脑端使用，欢迎选购。美满幸福浴春风，新年更上一层楼。感谢您对京东的支持，祝您购物愉快~
惠粉您好~此款打印机不支持加装两个黑色墨盒使用。若您只打印黑色，建议安装一个黑色墨盒使用即可，欢迎选购。感谢您对京东的支持，祝您购物愉快~
惠粉您好~此款打印机不支持手机打印。感谢您对京东的支持，祝您购物愉快~
惠粉您好~因打印内容和覆盖率的差异，打印量根据实际打印内容是有区别的。比如打印同尺寸的图片要比打印纯文字内容消耗更大一些，因此每个人的实际打印量和感受也略有不同，望您理解。感谢您对京东的支持，祝您购物愉快~
惠粉您好~此款打印机是不支持加墨的呢，需要更换墨盒使用。若因加墨造成的产品问题，可能会影响到您的售后保障。此款打印机支持使用HP 803墨盒，http://item.jd.com/4104531.html，欢迎点击链接选购。感谢您对京东的支持，祝您购物愉快~
惠粉您好~此款打印机不支持手机打印。感谢您对京东的支持，祝您购物愉快~
惠粉您好~此款打印机支持Windows 7操作系统，欢迎选购。感谢您对京东的支持，祝您购物愉快~
惠粉您好~您只需打开墨仓门，轻轻下压取出旧墨盒，替换新墨盒后，关闭墨仓门即可。若使用中存在疑问，您可拨打官方服务热线（400-885-6616），专业的技术专员会积极的为您答疑解惑。感谢您对京东的支持，祝您购物愉快~
惠粉您好~您只需打开墨仓门，轻轻下压取出旧墨盒，替换新墨盒后，关闭墨仓门即可。若使用中存在疑问，您可拨打官方服务热线（400-885-6616），专业的技术专员会积极的为您答疑解惑。感谢您对京东的支持，祝您购物愉快~
心中疑惑就问问买过此商品的同学吧~
iframe(src='//www.googletagmanager.com/ns.html?id=GTM-T947SH', height='0', width='0', style='display: visibility:')xxxx1111com此网页怎么打不开_百度知道
xxxx1111com此网页怎么打不开
我有更好的答案
网络设置的问题，这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置。&HOSTS文件的问题，HOSTS文件被修改，也会导致浏览的不正常，解决方法当然是清空HOSTS文件里的内容。&网络协议和网卡驱动的问题，IE无法浏览，有可能是网络协议（特别是TCP/IP协议）或网卡驱动损坏导致，可尝试重新网卡驱动和网络协议。网页是构成网站的基本元素，是承载各种网站应用的平台。通俗地说，您的网站就是由网页组成的，如果您只有域名和虚拟主机而没有制作任何网页的话，您的客户仍旧无法访问您的网站。网页是一个包含HTML标签的纯文本文件，它可以存放在世界某个角落的某一台计算机中，是万维网中的一“页”，是超文本标记语言格式（标准通用标记语言的一个应用，文件扩展名为.html或.htm）。网页通常用图像档来提供图画。网页要通过网页浏览器来阅读。
一、网络设置的问题 这种原因比较多出现在需要手动指定IP、网关、DNS服务器联网方式下，及使用代理服务器上网的。仔细检查计算机的网络设置。 二、DNS服务器的问题 当IE无法浏览网页时，可先尝试用IP地址来访问，如果可以访问，那么应该是DNS的问题，造成DNS的问题可能是连网时获取DNS出错或DNS服务器本身问题，这时你可以手动指定DNS服务（地址可以是你当地ISP提供的DNS服务器地址，也可以用其它地方可正常使用DNS服务器地址。）在网络的属性里进行，（控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址）。不同的ISP有不同的DNS地址。有时候则是路由器或网卡的问题，无法与ISP的DNS服务连接，这种情况的话，可把路由器关一会再开，或者重新设置路由器。 还有一种可能，是本地DNS缓存出现了问题。为了提高网站访问速度，系统会自动将已经访问过并获取IP地址的网站存入本地的DNS缓存里，一旦再对这个网站进行访问，则不再通过DNS服务器而直接从本地DNS缓存取出该网站的IP地址进行访问。所以，如果本地DNS缓存出现了问题，会导致网站无法访问。可以在“运行”中执行ipconfig /flushdns来重建本地DNS缓存。 三、IE浏览器本身的问题 当IE浏览器本身出现故障时，自然会影响到浏览了；或者IE被恶意修改破坏也会导致无法浏览网页。这时可以尝试用“黄山IE修复专家”来修复（建议到安全模式下修复），或者重新IE（如重装IE遇到无法重新的问题，可参考：附一解决无法重装IE） 四、网络防火墙的问题 如果网络防火墙设置不当，如安全等级过高、不小心把IE放进了阻止访问列表、错误的防火墙策略等，可尝试检查策略、降低防火墙安全等级或直接关掉试试是否恢复正常。 五、网络协议和网卡驱动的问题 IE无法浏览，有可能是网络协议（特别是TCP/IP协议）或网卡驱动损坏导致，可尝试重新网卡驱动和网络协议。 六、HOSTS文件的问题 HOSTS文件被修改，也会导致浏览的不正常，解决方法当然是清空HOSTS文件里的内容。 七、系统文件的问题 当与IE有关的系统文件被更换或损坏时，会影响到IE正常的使用，这时可使用SFC命令修复一下，WIN98系统可在“运行”中执行SFC，然后执行扫描；WIN2000/XP/2003则在“运行”中执行sfc /scannow尝试修复。 其中当只有IE无法浏览网页，而可以上时，则往往由于winsock.dll、wsock32.dll或wsock.vxd（VXD只在WIN9X系统下存在）等文件损坏或丢失造成，Winsock是构成TCP/IP协议的重要组成部分，一般要重装TCP/IP协议。但xp开始集成TCP/IP协议，所以不能像98那样简单卸载后重装，可以使用 netsh 命令重置 TCP/IP协议，使其恢复到初次安装操作系统时的状态。具体操作如下： 点击“开始 运行”，在运行对话框中输入“CMD”命令，弹出命令提示符窗口，接着输入“netsh int ip reset c:\resetlog.txt”命令后会回车即可，其中“resetlog.txt”文件是用来记录命令执行结果的日志文件，该参数选项必须指定，这里指定的日志文件的完整路径是“c:\resetlog.txt”。执行此命令后的结果与删除并重新安装 TCP/IP 协议的效果相同。 小提示：netsh命令是一个基于命令行的脚本编写工具，你可以使用此命令配置和监视Windows 系统，此外它还提供了交互式网络外壳程序接口，netsh命令的使用格式请参看帮助文件（在令提示符窗口中输入“netsh/?”即可）。 第二个解决方法是修复以上文件，WIN9X使用SFC重新提取以上文件，WIN2000/XP/2003使用sfc /scannow命令修复文件,当用sfc /scannow无法修复时，可试试网上发布的专门针对这个问题的修复工具WinSockFix，可以在网上搜索下载。 八、杀毒软件的实时监控问题 这倒不是经常见，但有时的确跟实时监控有关，因为现在杀毒软件的实时监控都添加了对网页内容的监控。举一个实例：KV2005就会在个别的机子上会导致IE无法浏览网页（不少朋友遇到过），其具体表现是只要打开网页监控，一开机上网大约20来分钟后，IE就会无法浏览网页了，这时如果把KV2005的网页监控关掉，就一切恢复正常；经过彻底地重装KV2005也无法解决。虽然并不是安装KV2005的每台机子都会出现这种问题，毕竟每台机子的系统有差异，安装的程序也不一样。但如果出现IE无法浏览网页时，也要注意检查一下杀毒软件。 九、感染了病毒所致 这种情况往往表现在打开IE时，在IE界面的左下框里提示：正在打开网页，但老半天没响应。在任务管理器里查看进程，（进入方法，把鼠标放在任务栏上，按右键—任务管理器—进程）看看CPU的占用率如何，如果是100%，可以肯定，是感染了病毒，这时你想运行其他程序简直就是受罪。这就要查查是哪个进程贪婪地占用了CPU资源．找到后，最好把名称记录下来，然后点击结束，如果不能结束，则要启动到安全模式下把该东东删除，还要进入注册表里，（方法：开始—运行，输入regedit）在注册表对话框里，点编辑—查找，输入那个程序名，找到后，点鼠标右键删除，然后再进行几次的搜索，往往能彻底删除干净。 有很多的病毒，杀毒软件无能为力时，唯一的方法就是手动删除。 十一、无法打开二级链接 还有一种现象也需特别留意：就是能打开网站的首页，但不能打开二级链接，如果是这样，处理的方法是重新注册如下的DLL文件： 在开始—运行里输入： regsvr32 Shdocvw.dll regsvr32 Shell32.dll（注意这个命令，先不用输） regsvr32 Oleaut32.dll regsvr32 Actxprxy.dll regsvr32 Mshtml.dll regsvr32 Urlmon.dll regsvr32 Msjava.dll regsvr32 Browseui.dll 注意：每输入一条，按回车。第二个命令可以先不用输，输完这些命令后重新启动windows，如果发现无效，再重新输入一遍，这次输入第二个命令。
现在已经换成 xxxxx2222啦.
狸 媔 都 牁 以 琓请 芳 伈elu.baidu/······································清除剪切板2、如果当剪贴板中存放的是一幅图画或大段文本时，会占用较多内存。3、这时清除“剪贴板”中的内容，释放它占用的系统资源。4、问题就应该能得到解决。5、清除剪贴板的方法是将里面的内容随便复制到记事本里面，这样就行了。（2）还不能完全释放系统资源，对于内存本来就不够用的电脑来说，（3）这时就需要重启电脑，让资源得到充分释放。（4）打开运行对话框，输入msconfig，打开系统配置界面。（5）切换到启动选项卡，在里面禁用一些不必要的启动项，这样机器就不会占用很多内存。
其他1条回答
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。当前位置： >>
H3C防火墙配置指南(高清)
目 录第 1 章 介绍.............................................................................................................................. 1-1 第 2 章 登录防火墙 ................................................................................................................... 2-12.1 登录配置 ....................................................................................................................... 2-1 2.1.1 连接防火墙设备................................................................................................... 2-1 2.1.2 配置防火墙网络设置............................................................................................ 2-2 2.1.3 添加登录用户 ...................................................................................................... 2-4 2.2 登录防火墙.................................................................................................................... 2-4 2.3 界面简介 ....................................................................................................................... 2-5 2.3.1 标题栏................................................................................................................. 2-5 2.3.2 目录树................................................................................................................. 2-6 2.3.3 信息显示和配置区 ............................................................................................... 2-6第 3 章 系统管理 ...................................................................................................................... 3-13.1 系统浏览 ....................................................................................................................... 3-1 3.1.1 设备概览 ............................................................................................................. 3-1 3.1.2 文件系统 ............................................................................................................. 3-3 3.1.3 系统资源 ............................................................................................................. 3-3 3.1.4 配置浏览 ............................................................................................................. 3-4 3.1.5 在线用户浏览 ...................................................................................................... 3-4 3.2 系统配置 ....................................................................................................................... 3-5 3.2.1 配置文件管理 ...................................................................................................... 3-5 3.2.2 软件升级 ............................................................................................................. 3-6 3.2.3 用户配置 ............................................................................................................. 3-6 3.2.4 接口配置 ............................................................................................................. 3-8 3.2.5 静态路由 ........................................................................................................... 3-11 3.2.6 域名服务 ........................................................................................................... 3-12 3.2.7 注销用户 ........................................................................................................... 3-12 3.2.8 重新启动 ........................................................................................................... 3-13第 4 章 业务管理 ...................................................................................................................... 4-14.1 网络地址转换（NAT） .................................................................................................. 4-1 4.1.1 地址池配置.......................................................................................................... 4-1 4.1.2 地址转换配置 ...................................................................................................... 4-2 4.1.3 内部服务器映射................................................................................................... 4-3 4.1.4 超时配置 ............................................................................................................. 4-44.1.5 静态转换 ............................................................................................................. 4-5 4.1.6 NAT 配置举例 ...................................................................................................... 4-6 4.2 动态主机配置协议（DHCP）......................................................................................... 4-7 4.2.1 全局配置 ............................................................................................................. 4-7 4.2.2 接口配置 ........................................................................................................... 4-15 4.2.3 DHCP 典型配置举例 .......................................................................................... 4-19 4.3 简单网络管理协议（SNMP） ...................................................................................... 4-21 4.3.1 基本配置 ........................................................................................................... 4-22 4.3.2 团体名管理........................................................................................................ 4-24 4.3.3 组管理............................................................................................................... 4-25 4.3.4 用户管理 ........................................................................................................... 4-26 4.3.5 视图管理 ........................................................................................................... 4-27 4.3.6 Trap................................................................................................................... 4-28 4.3.7 SNMP 配置举例 ................................................................................................. 4-29第 5 章 防火墙配置 ................................................................................................................... 5-15.1 攻击防范 ....................................................................................................................... 5-1 5.1.1 攻击防范类型选择 ............................................................................................... 5-1 5.1.2 Flood 攻击类型选择 ............................................................................................. 5-4 5.2 访问控制列表（ACL）................................................................................................... 5-7 5.2.1 ACL 配置 ............................................................................................................. 5-7 5.2.2 接口的 ACL 配置 ............................................................................................... 5-17 5.2.3 ACL 配置举例 .................................................................................................... 5-18 5.3 黑名单......................................................................................................................... 5-20 5.3.1 启用黑名单........................................................................................................ 5-20 5.3.2 配置黑名单........................................................................................................ 5-20 5.4 安全区域 ..................................................................................................................... 5-21 5.5 IP-MAC 地址绑定 ......................................................................................................... 5-22 5.6 防火墙会话.................................................................................................................. 5-22 5.6.1 配置防火墙会话表 ............................................................................................. 5-22 5.6.2 查看防火墙会话信息.......................................................................................... 5-23 5.7 TCP 代理配置 .............................................................................................................. 5-24第 6 章 VPN 配置 ..................................................................................................................... 6-16.1 VPN 概述 ....................................................................................................................... 6-1 6.1.1 VPN 简介............................................................................................................. 6-1 6.1.2 VPN 的基本技术 .................................................................................................. 6-2 6.2 L2TP 配置...................................................................................................................... 6-4 6.2.1 L2TP 协议简介..................................................................................................... 6-4 6.2.2 配置 L2TP ......................................................................................................... 6-10 6.3 IPsec 配置 ................................................................................................................... 6-15 6.3.1 IPsec 概述 ......................................................................................................... 6-15 6.3.2 配置 IPsec ........................................................................................................ 6-19 6.4 IKE 配置 ...................................................................................................................... 6-246.4.1 IKE 协议简介 ..................................................................................................... 6-24 6.4.2 配置 IKE............................................................................................................ 6-26第 7 章 Web 过滤 ..................................................................................................................... 7-17.1 地址过滤 ....................................................................................................................... 7-1 7.2 内容过滤 ....................................................................................................................... 7-5 7.3 SQL 注入攻击过滤 ......................................................................................................... 7-7第 8 章 邮件过滤 ...................................................................................................................... 8-18.1 收件人地址过滤 ............................................................................................................. 8-1 8.2 主题过滤 ....................................................................................................................... 8-3 8.3 内容过滤 ....................................................................................................................... 8-5 8.4 附件过滤 ....................................................................................................................... 8-6第 9 章 流量统计 ...................................................................................................................... 9-19.1 配置流量统计 ................................................................................................................ 9-1 9.1.1 配置系统流量统计 ............................................................................................... 9-1 9.1.2 配置安全区域流量统计 ........................................................................................ 9-2 9.2 查看流量统计 ................................................................................................................ 9-3第 10 章 日志管理 .................................................................................................................. 10-110.1 日志简介 ................................................................................................................... 10-1 10.2 配置日志功能 ............................................................................................................ 10-2第 11 章 常用工具 .................................................................................................................. 11-1第1章 介绍H3C SecPath 系列防火墙设备（以下简称防火墙）是面向企业用户的新一代专业防 火墙设备，可以作为中小企业的出口防火墙设备，也可以作为中型企业的内部防火 墙设备。 H3C SecPath 系列防火墙支持外部攻击防范、内网安全、流量监控、网页过滤、邮 件过滤等功能，能够有效的保证网络的安全。 H3C SecPath 系列防火墙采用 ASPF 状态检测技术， 可对连接过程和有害命令进行 监测，并协同 ACL 完成动态包过滤。 H3C SecPath 系列防火墙提供多种智能分析和管理功能， 支持邮件告警， 多种日志， 提供网络管理监控，协助网络管理员完成网络的安全管理。 H3C SecPath 系列防火墙支持 AAA、NAT 等技术，可以确保在开放的 Internet 上 实现满足可靠质量要求的、安全的网络。 H3C SecPath 系列防火墙支持多种 VPN 业务，如 L2TP VPN、IPsec VPN、GRE VPN、动态 VPN（暂不支持 Web 配置）等，可以针对客户需求通过拨号、租用线、 VLAN 或隧道等方式接入远端用户，构建 Internet、Intranet、Remote Access 等多 种形式的 VPN。 H3C SecPath 系列防火墙为用户提供基本的路由能力，支持 RIP/OSPF/BGP 路由 策略及策略路由。 H3C SecPath 系列防火墙支持丰富的 QoS 特性，提供流分类、流量监管、流量整 形及多种队列调度策略。第2章 登录防火墙2.1 登录配置在登录防火墙之前首先要对其进行一些简单的配置， 使用户可以通过 Web 界面管理 防火墙。2.1.1 连接防火墙设备1. 配置口介绍 H3C SecPath 系列防火墙提供了一个 RS232 异步串行配置口（CONSOLE），通 过这个接口用户可完成对防火墙的配置操作。 2. 配置口电缆 配置口电缆是一根 8 芯屏蔽电缆，一端压接 RJ45 插头，插入防火墙的 CONSOLE 口；另一端则带有一个 DB9 （母） 连接器，可插入配置终端的串口，如图 2-1 所示。A X3 A图2-1 配置口电缆示意图3. 连接配置口电缆 通过终端配置防火墙时，配置口电缆的连接步骤如下： 第一步：选定配置终端。配置终端可以是标准的具有 RS232 串口的字符终端，也可 以是一台普通的 PC 机，更常用的是后者。 第二步：连接电缆。关闭防火墙、配置终端的电源，通过配置电缆将配置终端的 RS232 串口与防火墙上的配置口相连。2.1.2 配置防火墙网络设置注意： H3C SecPath 系列防火墙使用安全区域的概念来表示与其相连接的网络。若要实现 防火墙和其它设备的互通，必须先将相应的接口添加到某一安全区域中。 缺省情况下，H3C SecPath 系列防火墙使能防火墙的包过滤功能，且缺省的过滤行 为为拒绝所有报文通过。若要实现防火墙和其它设备的互通，需先关闭防火墙的 包过滤功能，或将缺省的过滤行为改为允许报文通过，或在接口应用访问控制列 表 ACL 以允许相应的报文通过。 关于以上内容的具体描述请参见《H3C SecPath 系列安全产品 操作手册》中的“安全”部分。1. 路由模式下的防火墙配置 (1) 为使防火墙可以与其它网络设备互通， 必须先将相应接口加入到某一安全区域 中， 且将缺省的过滤行为设置为允许， 并为接口 （以 GigabitEthernet0/0 为例） 配置 IP 地址。[H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C-zone-trust] quit [H3C] firewall packet-filter default permit [H3C] interface GigabitEthernet0/0 [H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0(2)为 PC 配置 IP 地址。假设 PC 的 IP 地址为 192.168.0.2。 (3) 使用 Ping 命令验证网络连接性。press CTRL_C to break Sequence=1 ttl=128 time=30 Sequence=2 ttl=128 time=10 Sequence=3 ttl=128 time=10 Sequence=4 ttl=128 time=10 Sequence=5 ttl=128 time=10 ms ms ms ms ms &H3C& ping 192.168.0.2 PING 192.168.0.2: 56 data bytes, Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56--- 192.168.0.2 ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 10/14/30 msPing 命令成功！ 2. 透明模式下的防火墙配置 当防火墙工作在透明模式下时，其所有接口都将工作在第二层，即不能为接口配置 IP 地址。这样，用户若要对防火墙进行 Web 管理，需在透明模式下为防火墙配置 一个系统 IP 地址（System IP）。用户可以通过此地址对防火墙进行 Web 管理。缺 省情况下，防火墙工作在路由模式。 (1) 配置防火墙工作在透明模式。[H3C] firewall mode ? route Route modetransparent Transparent mode [H3C] firewall mode transparent Set system ip address successfully. All the Interfaces's ip addresses have been deleted. The mode is set successfully.从以上显示的系统提示信息可以看出，防火墙已经工作在透明模式下，且所有接口 上的 IP 地址已经被删除。 (2) 为防火墙配置系统 IP 地址。[H3C] firewall system-ip 192.168.0.1 255.255.255.0 Set system ip address successfully.? 说明： 当防火墙切换到透明模式时， 系统为防火墙分配了一个缺省系统 IP 地址 169.0.0.1/8，可以使用 上述命令更改系统 IP 地址。(3)将连接 PC 的接口加入到安全区域中，且将缺省的过滤行为设置为允许。假设 防火墙连接 PC 的接口为 GigabitEthernet0/0。[H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C-zone-trust] quit [H3C] firewall packet-filter default permit(4)为 PC 配置 IP 地址。假设 PC 的 IP 地址为 192.168.0.2。 (5) 使用 Ping 命令验证网络连接性。press CTRL_C to break Sequence=1 ttl=128 time=30 Sequence=2 ttl=128 time=10 Sequence=3 ttl=128 time=10 Sequence=4 ttl=128 time=10 Sequence=5 ttl=128 time=10 ms ms ms ms ms &H3C& ping 192.168.0.2 PING 192.168.0.2: 56 data bytes, Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56 Reply from 192.168.0.2: bytes=56--- 192.168.0.2 ping statistics --5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 10/14/30 msPing 命令成功！2.1.3 添加登录用户为使用户可以通过 Web 登录，并且有权限对防火墙进行管理，必须为管理员添加登 录帐户并且赋予其权限。 例如： 建立一个用户名和密码都为 admin， 帐户类型为 telnet， 权限等级为 3 的管理员用户。[H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 32.2 登录防火墙在 PC 上启动浏览器（至少使用 IE6.0 或更高版本），在地址栏中输入 IP 地址 “192.168.0.1”，回车后，即可进入防火墙 Web 登录页面，使用 admin 帐户登录 防火墙，单击&Login&按钮即可登录。用户也可以通过“Language”下拉框选择界 面语言，如图 2-2 所示。图2-2 Web 登录界面注意： 任何在 Web 文本编辑框中的输入都为有效输入，包括空格。例如，在创建 IPsec 安全提议时 （为了描述方便， _代表空格） ， 输入的 IPsec 安全提议名为 “aaa_” ， 则 Web 页面不省略后面的空格对此名称进行检查。类似_aaa、aaa_、aa_a 等 包含空格的名称在 Web 中都被视为非法名称。但唯一的特例是，在登录页面中 输入登录名时，则忽略右边的空格对登录名进行检查。 在对防火墙进行版本升级时，也必须升级相对应的 http.zip 文件。升级完成后，建 议在使用 Web 页面登录防火墙之前清空 Internet Explorer 的缓存。 登录的最大尝试次数为 3 次，若 3 次登录没有成功， 发起登录连接的源 IP 地址将被 添加到黑名单中，持续时间为 10 分钟。若此时黑名单功能已启用，该登录客户 端的访问将被阻止，直到该黑名单条目失效。 当使用已登录的用户再次进行登录时， 系统将提示是否强迫已在线的同名用户下线。2.3 界面简介使用 Web 界面可以使管理员更直观、更方便的对防火墙进行管理。 Web 配置页面由三个部分组成：最上部的标题栏、左边的目录树和右边的信息显示 和配置区，如图 2-3 所示。图2-3 Web 配置页面2.3.1 标题栏标题栏中显示当前网管操作员及登陆时间，如图 2-4 所示。图2-4 标题栏2.3.2 目录树Web 配置界面的目录树如图 2-5 所示：图2-5 目录树点击文件夹图标可以显示其子目录，也可以点击右上角的“＋”以展开全部目录， 点击“－”折叠起全部目录。2.3.3 信息显示和配置区管理员可以在信息显示和配置区中查看系统信息，并且通过点击复选框、下拉框、 配置按钮等可以对防火墙进行配置，如图 2-6 所示。图2-6 信息显示和配置区第3章 系统管理管理员可以通过“系统管理”目录中提供的选项查看防火墙的状态，并进行系统管 理，如图 3-1 所示。图3-1 系统管理目录结构3.1 系统浏览3.1.1 设备概览点击“系统管理”目录中的“设备概览”可以查看当前设备的概要信息，如设备类 型、系统名称、产品概述、联系信息、设备位置、软件版本、硬件版本、逻辑版本、 Boot ROM 版本、设备运行时间和设备各端口的状态，如图 3-2 所示。图3-2 设备概览单击&立即刷新&按钮可以刷新当前显示的信息；单击&端口图例&按钮可以看到系统 用来显示各接口状态的图例，其中白色代表接口未连接，黄色代表接口被设置为非 激活状态，绿色代表端口已激活并检测到连接，如图 3-3 所示。将鼠标指针放到接 口处还可以查看接口的类型、连接速度、双工模式和状态。图3-3 接口状态? 说明： 由于 H3C SecPath F100-C 防火墙中的 4 个 LAN 以太网口是未被隔离的交换端口，所以当有一 个接口 UP 时，其它的 LAN 以太网口的状态也为 UP，即在使用 Web 页面查看接口状态时，所 有 LAN 以太网口的图例都为绿色。单击&刷新间隔&按钮设置系统刷新频率，如图 3-4 所示。图3-4 设置刷新频率? 说明： 将鼠标指针放到配置栏右边的“？”图标上可以得到系统提示信息的帮助，方便了用户的配置， 如图 3-4 中黄色区域所示。3.1.2 文件系统点击“系统管理”目录中的“文件系统”可以查看系统当前的工作路径、设备中所 存储的文件和文件所占用的存储空间与剩余空间的大小，如图 3-5 所示。单击&下一 级&按钮可以显示所选定的子目录中的文件。图3-5 文件系统概览3.1.3 系统资源点击“系统管理”目录中的“系统资源”可以查看系统当前资源的使用状态：CPU 占用率和内存占用率，如图 3-6 所示。单击&详细信息&按钮可以进一步查看更详细 的信息，更有助于管理员了解系统资源的使用状况。图3-6 系统资源状态3.1.4 配置浏览点击“系统管理”目录中的“配置浏览”来查看防火墙当前的配置信息，如图 3-7 所示。图3-7 当前系统配置3.1.5 在线用户浏览点击目录树底部的“在线用户”可以查看所有在线用户的信息，如用户名、访问权 限、使用的界面语言、登录类型等，如图 3-8 所示。图3-8 在线用户信息3.2 系统配置3.2.1 配置文件管理1. 配置保存 点击“系统管理”目录中的“配置保存”可以对防火墙当前的配置进行存储，如已 建立的用户，接口地址的配置等等。在保存配置之前将会弹出保存系统配置文件的 提示信息，单击&确定&按钮进行保存，如图 3-9 所示。图3-9 保存配置文件2. 配置下载 当配置文件丢失或系统无法加载配置文件时，可以从远程服务器上下载配置文件以 恢复配置。点击“系统管理”目录中的“配置下载”，进入下载参数配置页面，此 配置将使用 TFTP 协议。在参数配置中的“IP 地址”栏中输入远程 TFTP 服务器的 IP 地址，在“远程文件名”栏中输入 TFTP 服务器上的配置文件的名称，文件名不 支持中文，如图 3-10 所示。图3-10 配置文件下载页面单击&确定&按钮下载配置文件。3. 配置上传 防火墙配置文件保存完毕后，可以将其备份到远程服务器上，以免配置文件丢失时 不可恢复。点击“系统管理”目录中的“配置上传”进入上传参数配置页面，此配 置同样使用 TFTP 协议。 在参数配置中的 “IP 地址” 栏中输入远程 TFTP 服务器的 IP 地址， 在 “配置文件名” 栏中输入配置文件上传到 TFTP 服务器后的名称，文件名不支持中文。单击&确定& 按钮上传配置文件。 配置文件备份成功后页面会显示“配置文件备份成功”。3.2.2 软件升级点击“系统管理”目录中的“软件升级”可以进入防火墙软件升级页面，如图 3-11 所示。图3-11 软件升级在参数配置中的“IP 地址”栏中输入远程 TFTP 的 IP 地址，在“远程文件名”栏中 输入 TFTP 服务器上的文件的名称，在“本地文件名”栏中输入保存到防火墙中的 文件的名称，其中远程文件名和本地文件名都不支持中文。单击&确定&按钮升级软 件。3.2.3 用户配置点击 “系统管理” 目录中的 “用户配置” 可以对系统中的所有用户进行集中的管理。 如图 3-12 所示：图3-12 用户信息页面若要对指定用户操作，请钩选用户名左边的复选框。 1. 创建用户 单击&创建&按钮进入新用户配置页面。在“用户名”、“密码”、“确认密码”栏 中输入新用户的信息，用户名和口令均不支持中文。从“访问权限”下拉框中选择 用户的操作级别：Visitor、Monitor、Configure 和 Management。在“密码显示模 式”下拉框中选择用户密码的显示模式：Simple 为纯文本显示，Cipher 为加密文本 显示，如图 3-13 所示。图3-13 创建新用户? 说明： 当改变当前登录用户的访问权限时，有可能会导致 Web 页面操作异常，这时需注销用户，重新 登录。2. 修改用户 选中一个用户，单击&修改&按钮以修改用户参数，如图 3-14 所示。图3-14 修改用户3. 删除用户 单击&删除&按钮可以删除一个被选中的用户，也可以单击&全选&按钮选中所有用户， 删除所有用户信息。 4. 设置用户超时时间 单击&超时时间&按钮可以设置所有用户的连接超时时间，如图 3-15 所示。 如果在设置的时间内用户没有做任何操作， 则该用户的连接将被断开， 需重新登录。 超时时间的范围为 60～600 秒，缺省为 600 秒。图3-15 设置用户超时时间3.2.4 接口配置点击“系统管理”目录中的“接口管理”可以浏览并配置接口设置，如地址分配方 式、IP 地址、掩码、MTU、工作方式和流控方式等，如图 3-16 所示。图3-16 接口配置浏览选中要配置的接口，单击&配置&按钮对接口的属性进行配置，如图 3-17 所示。图3-17 接口配置1. 配置接口 IP 地址 在“地址分配方式”下拉框中选择为接口分配地址的方式： Borrowed：配置接口可以借用其他接口的 IP 地址，在“借用的接口”栏中选择被 借用的接口。 ? 说明： 借用 IP 地址功能最主要的目的就是节省宝贵的 IP 地址资源。一个接口如果没有 IP 地址就无法 生成路由，也就无法转发报文。所谓“借用 IP 地址”，其实质就是：一个接口上没有配置 IP 地 址，但是还需要使用该接口。这时就可以向其它有 IP 地址的接口借一个 IP 地址，以使该接口能 够正常使用。如果被借用接口有多个 IP 地址，则只能借用主 IP 地址。如果被借用接口没有 IP 地址，则借用接口的 IP 地址为 0.0.0.0。注意： 借用方不能为以太网接口。 被借用方接口的地址本身不能为借用地址和协商地址。 被借用方的地址可以借给多个接口。 Loopback 的地址可被其它接口借用，但本身不能借用其它接口的地址。Manual：手工为接口配置地址。在“IP 地址”和“掩码”栏中分别输入 IP 地址和 子网掩码。通过选中“IP 地址”栏右侧的“sub”选项，可以为接口添加辅助 IP 地址。 Dhcp：使用 DHCP 协议自动获取 IP 地址。 Bootp：使用 BOOTP 协议自动获取 IP 地址。 Negotiation：使用 PPP 的 IP 地址协商获取地址。 None：不为接口配置地址。单击&应用&按钮启用当前配置， 并且接口的 IP 地址将显示在下方的列表中。 通过单 击&删除&按钮可以删除 IP 选中的 IP 地址。 2. 配置接口属性 (1) Vlan ID此选项仅当配置以太网子接口时才可用。 在输入栏中输入使用 802.1q 封装后接口所 关联的 VLAN ID。 (2) 工作方式 选择工作在全双工方式下。 Half：指定以太网接口工作在半双工模式下。当接口与集线器（Hub）相连时，应选 择工作在半双工方式下。 Negotiation： 指定以太网接口将自动协商工作模式。 SecPath F100-C 防火墙的 WAN 接口不支持自动协商。 No Change：指定以太网接口工作在缺省模式下，即自动协商模式。 (3) 流控方式 有在对端也支持流控时才有效。当启用流控时，如果协商失败，接口不能正常 进入 UP 状态。 Disable：禁用接口的流控制。 No Change：系统缺省值，不启用流控制。 (4) 以太网速率 10：指定以太网接口的速率为 10Mb/s。 100：指定以太网接口的速率为 100Mb/s。 1000：指定以太网接口的速率为 1000Mb/s。 Negotiation：自动协商以太网接口的速率。 No Change：指定以太网接口的速率为缺省配置，即自动协商速率。 (5) MTU 最大传输单元 Enable：启用接口的流控制。缺省情况下，不启用流控。如本端启用流控，那么只Full：指定以太网接口工作在全双工模式下。当接口与交换机（Switch）相连时，应接口最大传输单元（MTU）决定了在该接口上的报文是否需要分片。在“MTU”栏 中输入 MTU 值进行设置。 以太网接口的 MTU 取值范围为 46～1500；Dialer 接口的 MTU 取值范围为 128～ 1500； Virtual-Template 的 MTU 取值范围为 128～1500； Tunnel 接口的 MTU 取值 范围为 100～64000。 注意： 在配置接口的物理属性时，可能会引起接口的关闭（shutdown）和启用（undo shutdown） 操作。此时如果操作的是 Web 网管接口，可能会导致网页显示问题，需重新进入该页面。3.2.5 静态路由静态路由条目不是由路由选择协议动态获悉的，而是由管理员手工添加到路由选择 表中的。 点击“系统管理”目录中的“静态路由”可以进入静态路由信息概览页面，单击& 创建&按钮进行配置，如图 3-18 所示。图3-18 创建静态路由目的 IP 地址：将被路由到的目的网络段。 子网掩码：表示目的网络段的掩码。 优先级：用以表示此路由条目的优先级，范围为 1～255。优先级值越小，说明此路 由条目将被优先选择为去往目的地的路径。 下一跳地址：可用来到达目标网络的下一个路由器的 IP 地址。 接口：可用来到达目标网络的本地路由器的出站接口。 其他参数：“Reject”表示目的地不可达的路由，任何去往该目的地的 IP 报文都将 被丢弃，并且通知源主机目的地不可达。“ Blackhole”表示目的地为黑洞的 路由，任何去往该目的地的 IP 报文都将被丢弃，并且不通知源主机。 单击&应用&按钮创建静态路由。3.2.6 域名服务点击“系统管理”目录中的“域名服务”可以进入静态域名服务器配置信息概览页 面，单击&创建&按钮配置静态的域名映射，如图 3-19 所示。图3-19 域名配置在“主机名”栏中输入主机的名称，且主机名不能为中文。在“IP 地址栏”中输入 主机的 IP 地址。单击&应用&按钮创建映射。3.2.7 注销用户点击目录树底端的“注销用户”可以注销当前登录的用户，系统将询问您是否确认 退出登录，如图 3-20 所示：图3-20 注销用户3.2.8 重新启动点击“系统管理”目录中的“设备重启”来重新启动防火墙。在重新启动之前系统 将会提示您保存当前的配置，如图 3-21 所示。图3-21 重新启动第4章 业务管理4.1 网络地址转换（NAT）网络地址转换 NAT（Network Address Translation）实现了私有网络访问外部网络 的功能。 地址转换的机制就是将私有网络内主机的 IP 地址和端口替换为防火墙的外 部网络地址和端口，以及从防火墙的端口转换为私有网络主机的 IP 地址和端口，即 &私有地址+端口&与&公有地址+端口&之间的转换。 私有地址是指内部网络或主机地 址，公有地址是指在因特网上全球唯一的 IP 地址。Internet 地址分配组织规定将下 列的 IP 地址保留用作私有地址： 10.0.0.0～10.255.255.255 172.16.0.0～172.31.255.255 192.168.0.0～192.168.255.255 这三个范围内的地址不会在因特网上被路由，可在一个单位或公司内部使用。各企 业根据在预见未来内部主机和网络的数量后，选择合适的内部网络地址，不同企业 的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内 部网络地址，则有可能会引起混乱。地址转换在允许内部网络的主机访问外部资源 的同时，为内部主机提供“隐私”（Privacy）保护。4.1.1 地址池配置地址池是一些连续的 IP 地址集合，当内部数据包通过 NAT 到达外部网络时，将会 从地址池中选择某个地址作为转换后的源地址。 在“业务管理”目录下的“NAT”子目录中点击“地址池管理”进入 NAT 地址池配 置概览页面，单击&创建&按钮进入地址池配置页面，如图 4-1 所示。图4-1 创建 NAT 地址池地址池索引号：用来表示地址池的号码，范围为 0～31。 起始地址：此地址池中的第一个地址。 结束地址：此地址池中的最后一个地址。 注意： 此地址池中的地址范围是 172.30.1.1～172.30.1.10，共有 10 个地址。每个地址池中的地址数目 不能超过 255 个，否则系统将提示地址池超出范围。4.1.2 地址转换配置在“NAT”子目录下点击“地址转换管理”进入 NAT 地址转换配置概览页面，单击 &创建&按钮进入地址转换配置页面。如图 4-2 所示：图4-2 配置 NAT 转换(1)接口名称从下拉框中选定用来转换内部地址的外部接口。 (2) 静态地址转换指定在此接口上使用静态地址转换。静态转换条目的创建将在 4.1.5 静态转换中介 绍。 注意： 选择静态地址转换后，“转换类型”、“地址池”和“ACL 编号”选项将不可用。(3)地址池指定 NAT 转换所使用的地址池的索引号，内部地址将被转换为此地址池中的地址。 地址池须预先创建。 (4) ACL（访问控制列表）编号指定 NAT 转换中使用的基本访问列表和高级访问列表的编号， 范围为 。将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。当内部网络 有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根 据转换关联找到与之对应的地址池 （或接口地址） 进行转换。 创建访问控制列表 （ACL） 的方法将在 5.2.1 ACL 配置中介绍。 (5) 转换类型 作为转换后的地址而不使用所配置的地址池中的地址。 NO-PAT： 指定 NAT 使用多对多地址转换。 将访问控制列表和 NAT 地址池关联时， 如果选择 NO-PAT 转换类型，则表示只转换数据包的 IP 地址而不转换端口信 息，即不使用 NAPT 功能。 NAPT：指定转换类型为 NAPT。使用 NAPT 转换时，NAT 将转换数据包的 IP 地址 和端口号，这样即启用了 NAT 的负载，即多对一地址转换。EASY-IP：指定转换类型为 EASY-IP。在地址转换时，直接使用所选接口的 IP 地址4.1.3 内部服务器映射NAT 的一项功能就是可以将内部的服务器发布到外部网络上以供外部客户访问。通 过配置内部服务器映射，可将相应的外部地址、端口等映射到内部的服务器上，这 样可使外部网络可访问内部服务器资源，同时也提高了内部服务器的安全性。 在“NAT”子目录下点击“内部服务器”进入 NAT 内部服务器配置概览页面，单击 &创建&按钮进入配置页面，如图 4-3 所示。图4-3 内部服务器映射配置接口名称：选择用来侦听外部请求的接口。协议类型：选择侦听的协议类型。可从下拉框中选择常用的协议类型：TCP、UDP 和 ICMP；选择“Other”可以自定义协议号。 外部地址：输入在此接口上用来侦听外部请求的 IP 地址。 外部起始端口：“Any”指定所有外部端口号。若要定义一个端口范围，在“外部 起始端口”栏中输入起始端口号。 外部结束端口：指定端口范围的结束端口号。 内部起始地址：NAT 将外部请求映射到的内部服务器 IP 地址范围的起始地址，可 以指定一个单一内部地址。 内部结束地址：指定内部地址范围的结束地址。 内部端口：“Any”指定内部服务器侦听的所有端口号。也可以自己指定所需要的 端口号。 注意： 外部端口范围中端口号的数目必须与内部 IP 地址范围中地址的数目相等， 否则系统 会提示错误！ 当使用端口范围配置 FTP 服务器的 NAT Server 时，内部端口号不能配置为 20 和 21；当不使用端口范围配置 FTP 服务器的 NAT Server 时，内部端口号不能配置 为 20。4.1.4 超时配置地址转换表中的转换条目不能永久存在，若在指定的时间内未使用该转换，则此转 换将失效。可以分别为各个协议设置超时时间。 在“NAT”子目录下点击“超时时间”进入地址转换超时配置页面，如图 4-4 所示。图4-4 地址转换超时设置在“协议类型”下拉框中选择要设置的协议，在“超时时间”栏中设置地址转换连 接的有效时间，范围为 10～86400，单位为“秒”。 单击&应用&按钮以应用当前设置，单击&重置&按钮以恢复系统缺省值。4.1.5 静态转换NAT 可以对内部地址进行一对一的静态转换，这些静态转换条目是预先被手工配置 好的。 ? 说明： 此配置用于将地址转换方式设置为静态地址转换时的情况。 请参见 4.1.2 地址转换配置中的静态 地址转换。点击“NAT”子目录下的“静态表项”进入 NAT 静态表项配置概览页面，单击&创 建&按钮进入配置页面，如图 4-5 所示。图4-5 配置 NAT 静态转换分别在“内部地址”栏和“外部地址”栏中输入内部被转换的地址和用以将其转换 的外部地址。4.1.6 NAT 配置举例(1) 组网需求一个公司通过 SecPath 防火墙连接到 Internet。公司内部网段为 192.168.20.0/24。 由 ISP 分配给防火墙外部接口的地址范围为 202.169.10.1～202.169.10.5。其中防 火 墙 的 接 口 GigabitEthernet0/0 连 接 内 部 网 络 ， 地 址 为 192.168.20.1 ； 接 口 GigabitEthernet0/1 连接到 Internet，地址为 202.169.10.1。WWW Server 和 FTP Server 位于公司网络内部， 地址分别为 192.168.20.2 和 192.168.20.3。 要求公司内 部网络可以通过防火墙的 NAT 功能访问 Internet，并且外部的用户可以访问内部的 WWW Server 和 Telnet Server。 (2) 组网图图4-6 NAT 配置组网图(3)配置步骤第一步：创建允许内部网段访问所有外部资源的基本 ACL，以供 NAT 使用。创建 ACL 的方法可参见 5.2.1 ACL 配置。 点击“防火墙”目录中的“ACL”，在右边的 ACL 配置区域中单击&ACL 配置信息& 按钮。 在 “ACL 编号” 中输入基本 ACL 的编号 2001 （基本 ACL 的编号范围为 ） ， 单击&创建&按钮。在下面的列表中选择此 ACL，单击&配置&按钮。 在 ACL 配置参数区域中，从“操作”下拉框中选择“Permit”，在“源 IP 地址” 栏中输入 192.168.20.0，“源地址通配符”中输入 0.0.0.255，单击&应用&按 钮。 第二步：创建 NAT 地址池。 在“业务管理”目录下的“NAT”子目录中点击“地址池管理”，在右边的配置区 域中单击&创建&按钮。 在“地址池索引号”栏中输入 1，“起始地址”栏中输入 202.169.10.1，“结束地 址”栏中输入 202.169.10.5，单击&应用&按钮。 第三步：配置 NAT 转换类型。 点击“地址转换管理”，在右边的配置区域中单击&创建&按钮。在“接口名称”下 拉框中选择“GigabitEthernet0/1”，选中“ACL 编号”复选框并输入已创建 好的基本 ACL 编号 2001。在“地址池”下拉框中选择地址池索引号“1”。 由于地址池的地址数量有限且内部主机较多， 所以在 “转换类型” 中选择 “NAPT” 以启用 NAT 地址复用，单击&应用&按钮。 第四步：配置 NAT 内部服务器映射。 点击“内部服务器”，在右边的配置区域中单击&创建&按钮。 在“接口名称”中选择“GigabitEthernet0/1”，“协议类型”选择“TCP”，“外 部地址”栏中输入 202.169.10.1。 选中“外部起始端口”输入栏选项，输入 WWW 服务器使用的端口号，这里假设为 80 端口。 在“内部起始地址”栏中输入内部 WWW 服务器的 IP 地址 192.168.20.2。选中“内部端口”输入栏选项，输入内部 WWW 服务器使用的端口号，这里也假设 为 80 端口，单击&应用&按钮。 内部 Telnet 服务器映射的配置方法与此相同。4.2 动态主机配置协议（DHCP）动态主机配置协议 DHCP （Dynamic Host Configuration Protocol） 可以为设备快速、 动态地分配 IP 地址，这不仅为网络的配置提供了更高的灵活性，还减少了手工配置 网络的繁琐性。 DHCP 采用客户/服务器通信模式，由客户端向服务器提出配置申请，服务器根据策 略返回相应配置信息。DHCP 不仅可以为设备分配 IP 地址，还可以为其分配缺省网 关、DNS 服务器等多种网络参数。4.2.1 全局配置1. 基本配置 点击“DHCP” 子目录下的“全局 DHCP 基本配置” 进入配置页面，如图 4-7 所示。图4-7 DHCP 全局基本配置在此配置页面中可以启用防火墙上的 DHCP 服务和伪 DHCP 服务器检测功能。 ? 说明： 在网络中，如果有私自架设的 DHCP 服务器，当其他用户申请 IP 地址时，这台 DHCP 服务器 就会与 DHCP 客户端进行交互，导致用户获得错误的 IP 地址，无法正常访问网络资源，这种私 设的 DHCP 服务器称为伪 DHCP 服务器。单击&高级&按钮将进入高级配置页面，如图 4-8 所示。图4-8 高级配置为防止 IP 地址重复分配导致地址冲突，DHCP 服务器为客户端分配地址前，需要先 对该地址进行探测。 地址探测是通过 ping 命令实现的，检测是否能在指定时间内得到 ping 应答。如果 没有得到应答，则继续发送 ping 报文，直到发送 ping 包数量达到最大值。如果仍 然超时， 则可以认为本网段内没有设备使用该 IP 地址， 从而确保客户端被分得的 IP 地址是唯一的。 在此配置页面可以设置 DHCP 的 Ping 报文的最大数量 （范围为 0～10， 缺省值为 2） 和 Ping 报文的超时时间（范围为 0～10000，单位为“毫秒”，缺省值为 500）。 2. 地址池 DHCP 服务器通过地址池给用户分配 IP 地址。当客户端向服务器发出 DHCP 请求 时，DHCP 服务器选择合适的地址池，并从中挑选一个空闲的 IP 地址，与其他相关 参数（如 DNS 服务器地址、地址租用期限等）一起传送给客户端。 点击“DHCP”子目录下的“全局 DHCP 地址池”进入全局 DHCP 地址池配置信息 概览页面，如图 4-9 所示。图4-9 全局 DHCP 地址池(1)创建地址池单击&创建&按钮建立新的地址池， 在 “地址池名称” 中输入地址池的名字， 如图 4-10 所示。图4-10 创建全局 DHCP 地址池(2)修改地址池属性创建地址池后单击&应用&按钮回到地址池配置信息概览页面，单击&修改&按钮以对 当前所存在的地址池属性进行设置，如图 4-11 所示。图4-11 修改地址池属性地址池名称：从下拉框中选择要修改的地址池。 租约期限：对于不同的地址池，DHCP 服务器可以指定不同的地址租用期限，但同 一 DHCP 地址池中的地址都具有相同的期限。 可以指定租约期限为 “无限制” 和自定义期限长度。 客户端域名：在 DHCP 服务器上，可以为每个地址池分别指定客户端使用的域名， 也可以不指定域名。 (3) 设置地址范围对于动态分配给客户端的地址（包括永久的和租用期有限的动态地址），都需要配 置地址池范围。目前，同一地址池中只能配置一个地址段，通过掩码设定地址范围 的大小。 在地址池配置信息概览页面单击&IP 地址范围&按钮对每个地址池所包含的地址范 围进行设置，如图 4-12 所示。图4-12 设定地址池范围地址池名称：从下拉框中选择要设置的地址池。 IP 地址范围：设定 IP 地址的网络段。 网络掩码：指定网络段的掩码。 (4) 绑定 IP 地址根据客户端的实际需要，可以选择采用静态地址绑定方式或动态地址分配方式，但 不能对同一个 DHCP 地址池同时配置这两种方式。 动态地址分配需要指定用于分配的地址范围，而静态地址绑定则可以看做是只包含 一个地址的特殊的 DHCP 地址池。 某些客户端可能需要固定的 IP 地址，即将客户端的 MAC 地址与某个 IP 地址绑定。 当此 MAC 地址的客户端申请 DHCP 地址时，服务器根据客户端 MAC 地址寻找到 对应的固定 IP 地址分配给客户端。 在地址池配置信息概览页面单击&IP 地址绑定&按钮可将地址池中的某个 IP 地址与 客户端的 MAC 地址进行绑定，如图 4-13 所示。图4-13 绑定 IP 地址地址池名称：选择被绑定地址所在的地址池名称。IP 地址：指定被绑定的 IP 地址。 地址掩码：指定被绑定的 IP 地址的掩码。 MAC 地址：指定被绑定的客户端的 MAC 地址，格式为 xxxx-xxxx-xxxx。 用户 ID 号：客户端的 identifier。 ? 说明： 当防火墙作为 DHCP 客户端动态获取 IP 地址时，由于防火墙发送的 DHCP Client 报文中带有 identifier 字段，所以在 DHCP 服务器端设置静态绑定时应该使用 identifier 与 IP 地址绑定，并 非使用接口的 MAC 地址与 IP 地址绑定。3. DNS 当客户端通过域名访问 Internet 时，需要将域名解析为 IP 地址，这是通过域名系统 DNS （Domain Name System ） 实现的。 因此， 为了使 DHCP 客户端成功接入 Internet， DHCP 服务器可以在为客户端分配 IP 地址的同时指定 DNS 服务器的地址。 DNS 服务器可以是内部的也可以是外部的，当使用内部的 DNS 服务器时，应确保 内部 DNS 服务器可以将请求转发到外部的 DNS 服务器上。 在“DHCP”子目录下点击“全局 DHCP 的 DNS”进入全局 DHCP 地址池 DNS 服 务器配置概览页面，单击&配置&按钮进入 DNS 服务器配置页面，如图 4-14 所示。图4-14 地址池 DNS 服务器配置在“地址池”栏中选择要配置的地址池名称；在“DNS 服务器地址”栏中输入 DNS 服务器的 IP 地址。 ? 说明： 目前每个 DHCP 地址池中最多可以设置 8 个 DNS 服务器地址， 地址中间用空格分隔， 如图 4-14 所示。4. 排除地址 DHCP 服务器在分配地址时， 需要保留一些地址或排除已经被占用的某些 IP 地址 （如 网关、FTP 服务器等），否则，同一地址分配给两台主机会造成 IP 地址冲突。在“DHCP”子目录下点击“全局 DHCP 不参与分配的 IP”进入不参与分配的 IP 配置概览页面，单击&创建&按钮进行配置，如图 4-15 所示。图4-15 不参与分配的地址的配置IP 地址类型：“单个”IP 表示只有一个 IP 不参与分配，当选择这个选项时，“高 端 IP 地址”将不可用。“IP 地址段”表示一个地址范围。 低端/单个 IP 地址：表示单一 IP 地址或一个地址范围的起始地址。 高端 IP 地址：表示一个地址范围的结束地址。 5. 网关 当 DHCP 客户端需要访问其他网络段的资源时，必须使用网关或路由器将数据路由 到其他网段。DHCP 提供对客户端自动分配网关或路由器地址的功能。 在 “DHCP” 子目录下点击 “全局 DHCP 网关” 进入全局 DHCP 网关配置概览页面， 单击&配置&按钮进入配置页面，可以分别对每个地址池设置网关地址，如图 4-16 所示。图4-16 设置 DHCP 网关? 说明： 目前每个 DHCP 地址池中最多可以设置 8 个网关地址，地址中间用空格分隔。6. NetBIOS 当 DHCP 客户端在网络中使用 NetBIOS 名称与其他设备进行通讯时需要在 NetBIOS 名称与 IP 地址之间建立映射关系。映射关系可以是客户端使用 NetBIOS 广播数据包动态建立的也可以是客户端通过端对端的对 NetBIOS 服务器进行查询 得到的。通过获取映射的方式不同，节点类型可分为四种： b 类节点（b-node）：“b”代表广播（broadcast），即此类节点采用广播的方式 获取映射关系。 p 类节点 （p-node） ： “p ” 代表端到端 （peer-to-peer） ， 即此类节点采用与 NetBIOS 服务器通信的方式获取映射关系。 m 类节点（m-node）：“m”代表混合（mixed），是具有部分广播特性的 p 类节 点。 h 类节点（h-node）：“h”代表混合（hybrid），是具备“端对端”通信机制的 b 类节点。 在 “DHCP” 子目录下点击 “全局 DHCP 的 NetBIOS” 进入全局 DHCP 地址池 NetBIOS 配置概览页面，单击&配置&按钮进入配置页面，如图 4-17 所示。可以分别对每个地 址池进行设置。 在 “NetBIOS 节点类型” 下拉框中选择合适的节点类型， 将 NetBIOS 服务器的 IP 地址输入到地址栏中，单击&应用&按钮以应用当前配置。图4-17 全局 DHCP 地址池 NetBIOS 设置注意： 目前每个 DHCP 地址池中最多可以设置 8 个 NetBIOS 服务器地址，地址中间用空格分隔。7. 自定义选项 随着 DHCP 的不断发展，新的可选配置项会陆续出现，为了支持这些新的选项，可 以通过手工定义的方式将新选项添加到 DHCP 服务器的属性列表中。 在“DHCP”子目录下点击“全局 DHCP 自定义选项”进入全局 DHCP 地址池自定 义选项配置概览页面，单击&创建&按钮进入自定义选项配置页面，如图 4-18 所示。图4-18 DHCP 自定义选项地址池：选择要配置的地址池。 Opiton 类型：选择 Option 类型，如 ASCII、Hex 和 IP Address。 Option 号：指定合法的 Option 号。范围为 2～254 之间，其中 3、6、15、44、46、 50～55、57～61、184 和 217 被系统保留使用。 Option 值：指定 Option 值。合法的 Option 值由 Option 类型决定，当 Option 类型 为 ASCII 时，最多可输入长度为 63 个字符的字符串。4.2.2 接口配置1. 基本配置 当 DHCP 服务器收到客户端发出的目的地址是本地的 DHCP 报文时， 可以通过配置 决定如何处理这些报文。 在“DHCP”子目录下点击“接口 DHCP 基本配置”进入接口 DHCP 基本配置概览 页面，单击&配置&按钮对报文处理模式进行配置，如图 4-19 所示。图4-19 接口 DHCP 基本配置在配置页面中选择配置的接口，从下拉框中选择接口的报文处理模式： Global：将 DHCP 报文发送到本地 DHCP 服务器，从全局地址池中分配地址属性。 Interface： 将 DHCP 报文发送到本地 DHCP 服务器， 从接口地址池中分配地址属性。 Relay：将 DHCP 报文通过中继发送给 DHCP 服务器，由 DHCP 服务器分配地址。2. 地址池 DHCP 支持在特定接口上配置地址池。在“DHCP”子目录下点击“接口 DHCP 地 址池”进入接口地址池配置信息概览页面，如图 4-20 所示。图4-20 接口地址池配置浏览注意： 只有在接口 DHCP 基本配置中，报文处理模式被配置为“Interface”的接口才会出现在接口地 址池配置信息概览页面中，有关配置接口报文处理模式参见 4.2.2 接口配置中的基本配置部分。(1)配置接口地址池属性要对 DHCP 接口地址池属性进行配置，单击&配置&按钮进入配置页面，如图 4-21 所示。图4-21 接口地址池属性配置接口名称：选择要配置的接口。 IP 地址租约期限：选择“User Defined”定义租约期限；选择“Unlimited”将期限 配置为无限期。 客户端域名：选择“User Defined”自定义域名；选择“None”不设置域名。注意： 只有在接口 DHCP 基本配置中报文处理模式被配置为“Interface”的接口才会出现在“接口名 称”下拉框中，有关配置接口报文处理模式参见 4.2.2 接口配置中的基本配置部分。(2)创建 IP 地址绑定在接口地址池配置信息概览页面单击&创建 IP 绑定&按钮进入 IP 地址绑定配置页面， 如图 4-22 所示。图4-22 接口 IP 地址绑定选择要配置的接口名称，在 “绑定的 IP 地址”栏中输入被绑定的 IP 地址，在 “MAC 地址”栏中输入绑定的 MAC 地址。 注意： 只有在接口 DHCP 基本配置中报文处理模式被配置为“Interface”的接口才会出现在“接口名 称”下拉框中，有关配置接口报文处理模式参见 4.2.2 接口配置中的基本配置部分。此外，被绑 定的 IP 地址必须在所选接口的地址池范围内，否则系统将会提示错误信息。3. DNS 在“DHCP”子目录下点击“接口 DHCP 的 DNS”进入接口地址池 DNS 配置信息 概览页面，单击&配置&按钮进入接口地址池 DNS 配置页面，如图 4-23 所示。图4-23 接口地址池 DNS 配置在“接口名称”下拉框中选择要配置的接口名称；在“DNS 服务器地址”栏中输入 DNS 服务器的 IP 地址。 ? 说明： 只有在接口 DHCP 基本配置中报文处理模式被配置为“Interface”的接口才会出现 在“接口名称”下拉框中，有关配置接口报文处理模式参见 4.2.2 接口配置中的 基本配置部分。 目前最多可以设置 8 个 DNS 服务器地址，地址中间用空格分隔，如图 4-23 所示。4. NetBIOS 在 “DHCP” 子目录下点击 “接口 DHCP 的 NetBIOS” 进入接口 DHCP 地址池 NetBIOS 配置概览页面，单击&配置&按钮进入配置页面，如图 4-24 所示。图4-24 接口 DHCP 地 址池 NetBIOS 配置在“接口名称”下拉框中选择要配置的接口，从“NetBIOS 节点类型”下拉框中选 择合适的节点类型，将 NetBIOS 服务器的 IP 地址输入到地址栏中。 注意： 只有在接口 DHCP 基本配置中报文处理模式被配置为“Interface”的接口才会出现 在“接口名称”下拉框中，有关配置接口报文处理模式参见 4.2.2 接口配置中的 基本配置部分。 目前最多可以设置 8 个 NetBIOS 服务器地址，地址中间用空格分隔。5. 自定义选项 在“DHCP”子目录下点击“接口 DHCP 自定义选项”进入接口 DHCP 自定义选项 配置概览页面，单击&创建&按钮进入配置页面，如图 4-25 所示。图4-25 接口 DHCP 自定义选项配置方法参见 4.2.1 中的“自定义选项”。 注意： 只有在接口 DHCP 基本配置中报文处理模式被配置为“Interface”的接口才会出现在“接口名 称”下拉框中，有关配置接口报文处理模式参见 4.2.2 中的“基本配置”。4.2.3 DHCP 典型配置举例(1) 组网需求防火墙作为 DHCP 服务器，为同一网段中的客户端动态分配 IP 地址，地址池网段 为 10.1.1.0/24。DHCP 服务器 GigabitEthernet0/1 接口地址为 10.1.1.1/24。 地址租用期限为 3 天 12 小时，域名为 h3c.com ，DNS 地址为 10.1.1.2，NetBIOS 地址为 10.1.1.3，出口网关地址即为防火墙的内部地址 10.1.1.1。并且其中一个客 户端要求使用固定的 IP 地址 10.1.1.100，其 MAC 地址为 000f-1f7e-fec5。 (2) 组网图图4-26 DHCP 服务器典型配置(3)配置步骤第一步：将防火墙的 GigabitEthernet0/1 接口地址配置为 10.1.1.1/24。 在“系统管理”目录中的“接口管理”，单击&配置&按钮。 选择“GigabitEthernet0/1”接口。在“IP 地址”栏中输入 10.1.1.1，掩码中输入 “255.255.255.0” 第二步：启用防火墙的 DHCP 服务器功能。 在“业务管理”下的“DHCP”子目录中点击“全局 DHCP 基本配置”，在右侧配 置区域中的“使能或禁止 DHCP 服务”下拉框中选择 “Enable”，单击&应用& 按钮。 第三步：配置全局 DHCP 地址池。 点击“全局 DHCP 地址池”，在右边的配置区域中单击&创建&按钮，在“地址池名 称”栏中 dhcppool，单击&应用&按钮。 回到配置区域页面后单击&修改&按钮，从下拉框中选择“dhcppool”，将租约期限 设置为 3 天 12 小时， 在 “客户端域名” 栏中输入 h3c.com， 单击&应用&按钮。 回到配置区域页面后单击&IP 地址范围&按钮， 从下拉框中选择 “dhcppool” ， 在 “IP 地址范围”栏中输入 10.1.1.0，“网络掩码”中输入 255.255.255.0，单击& 应用&按钮。 第四步：配置地址池的 DNS。 点击“全局 DHCP 的 DNS”，在右侧的配置区域中单击“配置”按钮，从下拉框 中选择“dhcppool”，在“DNS 服务器地址”栏中输入 10.1.1.2，单击“应 用”按钮。 第五步：配置地址池的网关。 点击“全局 DHCP 网关”，在右侧的配置区域中单击&配置&按钮，从下拉框中选择 “dhcppool”，在“网关地址”栏中输入 10.1.1.1，单击&应用&按钮。 第六步：配置地址池的 NetBIOS。 点击“全局 DHCP 的 NetBIOS”，在右侧的配置区域中单击&配置&按钮，从下拉 框中选择“dhcppool”，在“NetBIOS”节点类型中选择“h-node”，然后输 入 NetBIOS 服务器的地址 10.1.1.3，单击&应用&按钮。4.3 简单网络管理协议（SNMP）简单网络管理协议（Simple Network Management Protocol，简称 SNMP）是被广 泛接受并投入使用的一项工业标准，是目前用得最广泛的计算机网络管理协议。它 的目标是保证管理信息在任意两点间传送，便于网络管理员在网络上的任何节点检 索信息，对信息进行修改，寻找故障，完成故障诊断、容量规划和报告的生成。它 采用轮询机制，提供最基本的功能集，适合于小型、快速和低价格的环境使用。它 只要求无连接的传输层协议 UDP，受到了广泛的支持。SNMP 的结构分为 NMS（Network Management Station）和 Agent 两部分，NMS 是运行客户端程序的工作站， 常用的网管平台有 Sun NetManager 和 IBM NetView ； Agent 是运行在网络设备上的服务器端软件。 NMS 和 Agent 之间通过如下方式进行 消息交互。一方面，NMS 可以向 AGENT 发出 GetRequest、GetNextRequest、 GetBulkRequest 和 SetRequest 请求报文，Agent 接收到 NMS 的请求报文后，根 据报文类型对管理变量进行 Read 或 Write 操作，并生成 Response 报文，返回给 NMS。另一方面，Agent 在设备发生冷/热启动等异常情况时，也会主动向 NMS 发 送 Trap 报文，报告所发生的事件。 设备中的管理对象在 SNMP 报文中用管理变量来描述， 为了唯一标识设备中的管理 对象，SNMP 用层次结构命名方案来识别管理对象。整个层次结构就象一棵树，树 的节点表示管理对象，如图 4-27 所示。每一个节点，都可以用从根开始的一条路径 别无二义地标识。1 1 1 1 5 A图4-27 MIB 树结构2 2 2 6B在上图中，管理对象 B 可以用一串数字{1.2.1.1}唯一确定，这串数字是管理对象的 Object Identifier（客体标识符）。而 MIB（Management Information Base）的作 用就是用来描述树的层次结构，它是所监控网络设备的标准变量定义的集合。 防火墙中的 SNMP Agent 支持标准网管 SNMP v3，兼容 SNMP v1、SNMP v2c， 支持的 MIB 如表 4-1 所示：表4-1 系统支持的 MIB MIB 属性 MIB 内容 基于 TCP/IP 网络设备的 MIB II RIP-2 MIB 以太网 MIB 公有 MIB PPP MIB OSPF MIB BGP MIB IF MIB 所遵循的标准或规格说明 RFC1213 RFC1724 RFC 2665，RFC2668 RFC 1471，RFC1473 RFC1253 RFC1657 RFC1573MIB 属性MIB 内容 SNMPV2 MIB Framework MIB Usm MIB Mpd MIB Vacm MIB Target MIB Notification MIB RADIUS MIB 性能告警 MIB 设备面板 MIB所遵循的标准或规格说明 RFC1907 RFC2571 RFC2573 RFC2572 RFC2275 RFC2273 RFC2273 RFC2618，RFC2620 -私有 MIB设备资源 MIB VLAN QoS4.3.1 基本配置在“SNMP”子目录中点击“一般配置”进入 SNMP 属性配置页面。在配置 SNMP 之前首先要在防火墙上启动 SNMP 代理服务， 在 “SNMP” 下拉框中选择 “Enable” 以启动 SNMP 代理，如图 4-28 所示。图4-28 启动 SNMP 代理单击&应用&按钮启动服务后，将跳转到 SNMP 一般配置信息概览页面，可以查看 SNMP 的配置信息， 如本地引擎 ID、 最大包长度、 联系信息、 物理位置信息和 SNMP 版本，这些都为系统的缺省值。此页面还提供了 SNMP 的各项统计信息，如输入的 SNMP 报文、版本错误的 SNMP 数据、非法的团体名的数据报文等，如图 4-29 所 示。图4-29 SNMP 一般配置信息概览单击页面底部的&配置&按钮对 SNMP 的属性进行配置，如图 4-30 所示。图4-30 SNMP 属性配置SNMP：通过选择“Disable”可以停止 SNMP 代理服务。 本地引擎 ID： 设置本地设备的引擎 ID。 本地引擎必须是 16 进制字符形式的字符串， 至少 5 个字符，可以是 IP 地址、MAC 地址或者自己定义的文本，缺省为公司 的企业号＋设备信息。 最大包长度：设置 SNMP 代理能接收/发送的 SNMP 消息包的最大值。取值范围为 484～17940，单位为“字节”。 联系信息： 设置管理员的标识及联系方法。 设置管理员的联系方法是 MIB II 中 system 组的一个管理变量，内容为被管理设备相关人员的标识及联系方法。您可以通 过设置此参数，将重要信息存储在防火墙中，以便出现紧急问题时查询使用。 物理位置信息：设置防火墙的物理位置。防火墙的位置信息是 MIB 中 system 组的 一个管理变量，用于表示被管理设备的位置。SNMP 版本：启用 SNMP 协议的相应版本，缺省情况为使用 SNMP v3 版本。可以 同时选择多个版本。4.3.2 团体名管理SNMPV1、 SNMPV2C 采用团体名认证， 与设备认可的团体名不符的 SNMP 报文将 被丢弃。 SNMP 团体 （Community） 由一个字符串来命名， 称为团体名 （Community Name）。不同的团体可具有只读（read）或读写（write）访问模式。具有只读权 限的团体只能对设备信息进行查询， 而具有读写权限的团体还可以对设备进行配置。 在“SNMP”子目录中点击“团体名管理”进入 SNMP 团体信息配置概览页面，点 击&创建&进行配置，如图 4-31 所示。图4-31 创建 SNMP 团体团体名：设置团体的名称。 访问权限：设置访问权限，Read-Write 或 Read-Only。 MIB 试图：选择 MIB 视图。 访问控制列表：设置团体名所对应的访问控制列表。在此指定基本访问控制列表的 编号，范围为 。创建访问控制列表（ACL）的方法将在 5.2.1 小 节中介绍。 点击 SNMP 团体信息配置概览页面中的&修改&按钮可以对团体属性进行修改。4.3.3 组管理在“SNMP”子目录中点击“组管理”进入 SNMP 组管理配置信息概览页面，单击 &创建&按钮来建立新的 SNMP 组，如图 4-32 所示。图4-32 创建 SNMP 组组名：指定 SNMP 组的名称。 安全模型：指定 SNMP 的版本，SNMPv1 和 SNMPv2c 不提供安全级别。 安全级别：指定安全级别，仅当安全模型为 SNMPv3 是此选项才可用。提供三个选 项：noauth/nopriv 、auth/nopriv 和 auth/priv。其中 auth/nopriv 代表对报文认 证但不加密；auth/priv 代表对报文进行认证和加密；noauth/nopriv 为无安全 级别。 只读视图：指定 SNMP 只读视图。 读写视图：指定 SNMP 读写视图。 通知视图：指定 SNMP 通知视图。 访问控制列表：设置组名所对应的访问控制列表。在此指定基本访问控制列表的编 号，。创建访问控制列表（ACL）的方法将在 5.2.1 ACL 配置中 介绍。4.3.4 用户管理若要为 SNMP 组添加用户，在“SNMP”子目录中点击“用户管理”进入 SNMP 用户信息概览页面，单击&创建&按钮建立新用户，如图 4-33 所示。图4-33 创建 SNMP 用户用户名：指定新用户的名称。 组名：指定用户所属的 SNMP 组。如果输入的组名不存在，系统会提示稍后请创建 该组。 安全模式：选择 SNMP 的版本。 认证模式：选择认证模式，此选项仅当安全模式为 SNMPv3 时才可用。提供 MD5 和 SHA 两种认证模式，选择“None”不启用认证。 密码：指定认证密码。 访问控制列表： 可以使用 ACL 控制用户的访问。 在此指定基本访问控制列表的编号， 范围为 。创建访问控制列表（ACL）的方法将在 5.2.1 ACL 配置 中介绍。 加密模式：指定是否采用 DES56 的加密模式，选择“None”为不启用加密。此选 项仅当安全模式为 SNMPv3 时才可用。 加密模式密码：指定加密模式密码。此选项仅当安全模式为 SNMPv3 时才可用。 若要修改用户的属性，在用户信息概览页面单击&修改&按钮。4.3.5 视图管理在“SNMP”子目录中点击“视图管理”进入 SNMP 视图信息概览页面，可以看到 系统中已经缺省存才的四个视图，如图 4-34 所示。图4-34 SNMP 视图信息概览单击&创建&按钮建立新视图。如图 4-35 所示：图4-35 创建 SNMP 视图视图名称：指定新视图的名称。 MIB 子树 OID： MIB 子树 OID 可以是变量 OID 的字符串， 也可以是变量名的字符串， 取值范围为 1～255 个字符。 规则：可以选择包含或者排除，“Included”和“Excluded”。“Included”表示该 视图包括所填入的子树，“Excluded”表示该视图不包括所填入的子树。 如图 4-35 中所示，将建立一个视图包含 internet（1.3.6.1）的所有对象。新视图将 出现在信息视图概览页面，如图 4-36 所示。图4-36 新视图浏览4.3.6 Trap在“SNMP”子目录中点击“Trap”进入 SNMP Trap 概要信息页面。在此页面可以 看到 Trap 的老化时间和消息列队长度，如图 4-37 所示。图4-37 SNMP Trap 概要信息在 Trap 概要信息的下面，可以查看当前 Trap 目的主机的配置信息，单击&创建&按 钮建立 Trap 目的主机，如图 4-38 所示。图4-38 创建 Trap 目的主机目的 IP 地址：指定要将 Trap 报文发送到的主机地址。 UDP 端口号：若不使用缺省的 UDP 端口号，可以选择此复选框以自定义端口号。 安全名：指定使用的安全名。 安全模型：指定 SNMP 版本。 安全级别：选择安全级别，仅当安全模型为 SNMPv3 时此选项才可用，可选择 Authentication 和 Privacy 安全级别。 Authentication 代表对报文进行认证但不 加密，Privacy 代表对报文既认证又加密，选择“None”为无安全级别。 在 Trap 概要信息页面单击&配置&按钮进入 SNMP Trap 配置页面，选择“Enable” 将发送所有模块的所有类型的 Trap 报文，如图 4-39 所示。图4-39 SNMP Trap 配置4.3.7 SNMP 配置举例(1) 组网需求以下图为例，网管工作站（NMS）与防火墙通过以太网相连，网管工作站 IP 地址为 129.102.149.23，防火墙以太网口 IP 地址为 129.102.0.1。 (2) 组网图图4-40 SNMP 配置举例组网图(3)配置步骤第一步：启用 SNMP 代理。 在“业务管理”目录下打开“SNMP”子目录，点击“一般配置”，如果页面出现 “SNMP Agent 未使能！ 请先使能。 ” 信息， 单击&确定&按钮后， 在 “SNMP” 下拉框中选择“Enable”，单击&应用&按钮。 第二步：配置团体名和访问权限。 点击“团体名管理”，在右边的配置区域中单击&创建&按钮，在“团体名”栏中输 入 public，在“访问权限”中选择“Read-Only”，在“MIB 视图”中选择缺 省的“ViewDefault”， “访问控制列表”中选择“None”，单击&应用&按钮。 使用同样方法再创建一个名为 private，访问权限为 Read-Write 的团体。 第三步：设置管理员标识、联系方法以及