第六章 常用网络设备知识及配置
6.1 华为路由器基本配置
路由器负责不同网络之间的数据包转发,是连接内网与外网的枢纽。本节从最基础的配置环境搭建开始,逐步深入到静态路由、 DHCP、 NAT等核心功能。
6.1.1 配置环境搭建
一、Console线连接方法
1.物理连接 :将Console线(通常为RJ45转DB9或USB接口)的一端连接到路由器的Console口,另一端连接到计算机的串口或USB口(需安装USB转串口驱动)。
2.终端软件设置 :打开终端软件(如SecureCRT、 Putty、Xshell),选择正确的串口号,设置参数:
波特率:9600
数据位:8
停止位: 1
奇偶校验:无
流量控制:无
- 连接验证 :接通路由器电源,终端窗口应显示设备启动信息,回车后出现命令行提示符<Huawei>
,表示连接成功。
二、远程登录配置
Telnet和SSH是后续远程管理的常用方式,但Telnet明文传输密码,建议优先使用SSH。
配置 Telnet (适用于内网调试 ) :
<Huawei> system-view
Huawei\] telnet server enable
\[Huawei\] user-interface vty 0 4
\[Huawei-ui-vty0-4\] authentication-mode password
\[Huawei-ui-vty0-4\] set authentication password cipher huawei@123
\[Huawei-ui-vty0-4\] user privilege level 3
\[Huawei-ui-vty0-4\] protocol inbound telnet
\[Huawei-ui-vty0-4\] quit
**配置** **SSH** **(推荐** **)** :
\[Huawei\] stelnet server enable
\[Huawei\] rsa local-key-pair create # 生成RSA密钥对
\[Huawei\] user-interface vty 0 4
\[Huawei-ui-vty0-4\] authentication-mode aaa
\[Huawei-ui-vty0-4\] protocol inbound ssh
\[Huawei-ui-vty0-4\] quit
\[Huawei\] aaa
\[Huawei-aaa\] local-user admin password cipher admin@123
\[Huawei-aaa\] local-user admin service-type ssh
\[Huawei-aaa\] local-user admin privilege level 3
\[Huawei-aaa\] quit
三、命令行界面的基本操作
**模式切换** :
 用户视图 \ :查看基本信息,不可配置。
 系统视图 \[Huawei\] :输入 system-view 进入,可配置全局参数。
 接口视图 \[Huawei-GigabitEthernet0/0/0\] :输入 interface g0/0/0 进入,配置接口。
 协议视图 \[Huawei-ospf-1\] :配置动态路由等协议。
**帮助命令** :
 ? :显示当前视图下所有命令。
 命令? :显示该命令的参数选项(如 display ? )。
 命令 参数? :查看参数详情。
 Tab键 :自动补全命令。
**配置保存** **/** **恢复** :
 保存配置: \ save ,输入文件名(默认)并确认。
 查看当前配置: display current-configuration 。
 查看已保存的配置: display saved-configuration 。
 恢复出厂设置: reset saved-configuration 后重启。
#### 6.1.2 基础配置操作
一、设备命名
\ system-view
\[Huawei\] sysname R1 # 将设备命名为R1
\[R1
二、管理员密码配置
Console 密码 :
R1\] user-interface console 0
\[R1-ui-console0\] authentication-mode password
\[R1-ui-console0\] set authentication password cipher console@123
\[R1-ui-console0\] quit
**特权密码(进入系统视图密码)** :华为设备默认无需特权密码,但
可配置用户级别密码。
三、接口IP配置
\[R1\] interface GigabitEthernet0/0/0
\[R1-GigabitEthernet0/0/0\] ip address 192.168.1.1 24 #配置内网接口IP
\[R1-GigabitEthernet0/0/0\] description Link-to-LAN #添加描述便于识别
\[R1-GigabitEthernet0/0/0\] undo shutdown #确保接口开启(默认开启)
\[R1-GigabitEthernet0/0/0\] quit
\[R1\] interface GigabitEthernet0/0/1
\[R1-GigabitEthernet0/0/1\] ip address 202.106.0.2 24 #配置外网接口IP
\[R1-GigabitEthernet0/0/1\] description Link-to-Internet
四、静态路由配置
静态路由适用于小型网络或指定特定路径,是企业网常用方式。
\[R1\] ip route-static 192.168.2.0 24 10.1.1.2
# 去往192.168.2.0/24的下一跳为10.1.1.2
\[R1\] ip route-static 0.0.0.0 0 202.106.0.1 # 默认路由指向外网网关
**命令详解** :ip route-static 目标网络 掩码 {下一跳IP \| 出接口}  。
#### 6.1.3 核心功能配置
一、DHCP服务配置
为单位内部终端自动分配IP地址,避免手动配置的繁琐。
\[R1\] dhcp enable #全局开启DHCP服务
\[R1\] ip pool LAN-POOL #创建地址池
\[R1-ip-pool-LAN-POOL\] network 192.168.1.0 mask 255.255.255.0 #分配网段
\[R1-ip-pool-LAN-POOL\] gateway-list 192.168.1.1 #网关
\[R1-ip-pool-LAN-POOL\] dns-list 114.114.114.114 8.8.8.8 #DNS服务器
\[R1-ip-pool-LAN-POOL\] lease day 7 #租期7天
\[R1-ip-pool-LAN-POOL\] quit
\[R1\] interface GigabitEthernet0/0/0
\[R1-GigabitEthernet0/0/0\] dhcp select global #接口应用全局地址池
二、NAT转换配置
内网访问外网时需要将私有IP转换为公网IP。
**配置** **ACL** **匹配内网段** :
\[R1\] acl number 2000
\[R1-acl-basic-2000\] rule permit source 192.168.1.0 0.0.0.255
\[R1-acl-basic-2000\] quit
**在出接口配置** **NAT** :
\[R1\] interface GigabitEthernet0/0/1
\[R1-GigabitEthernet0/0/1\] nat outbound 2000 #匹配ACL 2000的流量进行NAT
三、ACL访问控制列表配置
限制特定IP或端口的访问,增强内网安全。例如:仅允许<192.168.1.100>远程登录路由器。
\[R1\] acl number 3000 #高级ACL
\[R1-acl-adv-3000\] rule permit tcp source 192.168.1.100 0 destination 192.168.1.1 0 destination-port eq 22
\[R1-acl-adv-3000\] rule deny tcp source any destination 192.168.1.1 0 destination-port eq 22
\[R1-acl-adv-3000\] quit
\[R1\] user-interface vty 0 4
\[R1-ui-vty0-4\] acl 3000 inbound # VTY接口应用ACL
四、完整配置实例:单位分支机构接入
**场景** :某分支机构需要连接总部,内网为<192.168.10.0>/24,出口路由器连接运营商网关<100.64.0.1>。
sysname Branch-Router
#
dhcp enable
ip pool office
network 192.168.10.0 mask 255.255.255.0
gateway-list 192.168.10.1
dns-list 114.114.114.114
#
interface GigabitEthernet0/0/0
ip address 192.168.10.1 24
dhcp select global
#
interface GigabitEthernet0/0/1
ip address 100.64.0.2 24
nat outbound 2000
#
acl number 2000
rule permit source 192.168.10.0 0.0.0.255
#
ip route-static 0.0.0.0 0 100.64.0.1
#
stelnet server enable
aaa
local-user admin password cipher Admin@123
local-user admin privilege level 3
local-user admin service-type ssh
#
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
#
return
### 6.2 华为交换机基本配置
交换机负责局域网内数据帧的转发,是连接终端、服务器和路由器的核心设备。VLAN划分、端口配置是日常维护的重点。
#### 6.2.1 配置环境搭建
一、Console线连接
与路由器完全相同,使用Console线连接交换机Console口,终端软件设置相同。
二、远程登录配置
与路由器类似,可配置Telnet或SSH。交换机通常更关注VLAN管理,远程登录配置命令基本一致。
三、命令行界面操作(与路由器的差异说明)
 交换机命令行体系与路由器同源(VRP系统),多数命令通用。
**差异点** :
 交换机更侧重二层功能(VLAN、 MAC、端口),
路由器侧重三层(路由协议、 NAT)。
 交换机有专门的VLAN视图和端口聚合视图。
四、配置文件的保存与导出
 保存: save 
 导出:可通过TFTP将配置文件备份到服务器。
\ tftp <192.168.1.100> put vrpcfg.zip switch_config_backup.zip
#### 6.2.2 基础配置操作
一、设备命名
\ system-view
\[Huawei\] sysname SW-CORE \[SW-CORE
二、管理员密码配置
参考路由器部分,配置Console和VTY密码。
三、端口配置
开启 / 关闭端口 :
SW-CORE\] interface GigabitEthernet0/0/1
\[SW-CORE-GigabitEthernet0/0/1\] shutdown #关闭端口
\[SW-CORE-GigabitEthernet0/0/1\] undo shutdown #开启端口
 配置速率和双工模式:
\[SW-CORE-GigabitEthernet0/0/1\] speed 100 # 强制100Mbps
\[SW-CORE-GigabitEthernet0/0/1\] duplex full # 全双工
通常情况下建议保持自动协商( auto ),避免协商失败。
四、端口故障的基础排查命令
 查看端口状态: display interface brief,快速查看所有端口物理状态(Up/Down)。
 查看端口详细信息: display interface GigabitEthernet0/0/1,含错包统计、流量等。
 查看MAC地址表: display mac-address,了解设备连接情况。
#### 6.2.3 核心功能配置
一、VLAN划分与配置
VLAN用于隔离广播域,不同部门划分不同VLAN,提升安全性和管理效率。
**创建** **VLAN** :
\[SW-CORE\] vlan batch 10 20 30 # 批量创建VLAN 10,20,30
**配置** **Access** **端口** (连接终端):
\[SW-CORE\] interface GigabitEthernet0/0/1
\[SW-CORE-GigabitEthernet0/0/1\] port link-type access
\[SW-CORE-GigabitEthernet0/0/1\] port default v lan 10 #该端口划分到VLAN 10
**配置** **Trunk** **端口** (连接交换机或路由器):
\[SW-CORE\] interface GigabitEthernet0/0/24
\[SW-CORE-GigabitEthernet0/0/24\] port link-type trunk
\[SW-CORE-GigabitEthernet0/0/24\] port trunk allow-pass v lan 10 20 30
# 允许哪些VLAN通过
二、VLAN间路由配置
不同VLAN之间通信需要三层接口。在核心交换机上配置VLANIF接口作为各VLAN的网关。
\[SW-CORE\] interface Vlanif 10
\[SW-CORE-Vlanif10\] ip address 192.168.10.1 24
\[SW-CORE\] interface Vlanif 20
\[SW-CORE-Vlanif20\] ip address 192.168.20.1 24
此时,各VLAN内的终端将网关指向对应VLANIF地址,即可实现VLAN间路由。
三、端口聚合配置
将多个物理端口捆绑成一条逻辑链路,增加带宽和冗余。
\[SW-CORE\] interface Eth-Trunk 1 # 创建聚合口
\[SW-CORE-Eth-Trunk1\] mode lacp-static # 静态LACP模式
\[SW-CORE-Eth-Trunk1\] trunk port GigabitEthernet0/0/1 # 添加成员端口
\[SW-CORE-Eth-Trunk1\] trunk port GigabitEthernet0/0/2
\[SW-CORE-Eth-Trunk1\] port link-type trunk
\[SW-CORE-Eth-Trunk1\] port trunk allow-pass v lan 10 20 30
四、配置实例:部门网络隔离
**场景** :财务部(VLAN 10)、技术部(VLAN 20)分别使用独立网段,通过核心交换机互访。
sysname SW-CORE
#
vlan batch 10 20
#
interface Vlanif10
ip address 192.168.10.1 24
#
interface Vlanif20
ip address 192.168.20.1 24
#
interface GigabitEthernet0/0/1
port link-type access
port default v lan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default v lan 20
#
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass v lan 10 20
#
return
### 6.3 联想网域防火墙配置
联想网域(网御)防火墙是国内常见的安全设备,采用Web管理界面为主、串口为辅的配置方式,通过USB电子钥匙进行管理员认证是其特色。
#### 6.3.1 配置环境搭建
一、初始连接与Web登录
1.**物理连接** :用交叉线将管理主机与防火墙的eth0口连接(随机附送交叉线)。
2.**管理主机** **IP** **设置** :将主机IP设为<10.10.10.99/24>(防火墙出厂默认管理IP为
<10.10.10.250>/24)。
3.**安装** **USB** **电子钥匙驱动** :
 插入随防火墙附带的USB电子钥匙前,先运行光盘中 key  目录下的 INSTDRV 安装驱动。
 提示"退出请重新插锁"后,插入电子钥匙,系统自动安装驱动。
4.**安装管理员登录程序** :运行光盘 key  目录下的 ikeyc.exe ,输入默认PIN码 12345678 ,认证通过后程序图标显示在任务栏。
5.**登录** **Web** **界面** :打开IE浏览器(需取消代理),访问 [https://10.10.10.250:8888](https://10.10.10.250:8888 "https://10.10.10.250:8888") ,通过管理员登录程序认证后,弹出防火墙管理界面。
二、Console配置方法
当网络不通或需要紧急恢复时,可使用Console线连接防火墙的Console口,设置超级终端(波特率9600,数据位8,停止位1,无流控),默认账号 administrator ,密码与Web登录相同。
三、设备初始化设置
**修改管理员密码** :首次登录后立即修改。
**管理** **IP** **修改** :点击" 网络配置" →" 网络设备" →"物理设备",选择eth0接口,修改IP地址以适应内网规划。
**管理主机地址添加** :点击"系统配置" →"管理配置" →"管理主机",添加允许管理防火墙的IP地址。
#### 6.3.2 基础安全配置
一、区域划分
联想网域防火墙默认包含三个区域:
 **信任区(** **Trust** **)** :连接内网,默认允许访问其他区域。
 **非信任区(** **Untrust** **)** :连接外网,默认受严格限制。
 **DMZ** **区** :连接对外服务器,可被外网访问。
 可在" 网络配置" →" 区域"中自定义区域。
二、接口配置
将物理接口绑定到相应区域并设置IP:
1. 点击" 网络配置" →" 网络设备" →"物理设备"。
2. 选择接口(如eth0),点击"编辑"。
3. 设置IP地址和掩码,选择安全区域(如Trust),勾选"启用"和"允许管理"(开启ping和Web管理权限)。
三、默认安全策略配置
联想网域防火墙默认策略为"拒绝所有",需手动添加允许规则:
**允许** **Trust** **访问** **Untrust** (内网访问外网):
 源区域:Trust
 目的区域: Untrust
 服务:any
 动作:允许
**拒绝所有其他访问** :默认已存在一条全拒绝规则,确保未显式允许的流量被阻断。
#### 6.3.3 核心功能配置
一、ACL访问控制列表配置
联想网域防火墙通过"安全策略"实现ACL功能。
1. 点击"安全策略" →"策略配置"。
2. 点击"新增",配置规则:
 名称: Deny_Finance_to_Internet
 源区域:Trust
 源地址: <192.168.10.0/24>(财务部)
 目的区域: Untrust
 服务: 、
 动作:拒绝
 生效时间:工作时间(可设) 。 日志记录:开启
二、NAT转换配置
**源** **NAT** **(内网访问外网** **)** :
1. 点击"NAT配置" →"源NAT"。
2. 新增规则:
 源区域:Trust
 源地址:内网网段
 出接口:连接外网的接口
 转换方式: PAT(端口地址转换)
 目的NAT(端口映射):将内网服务器发布到公网。
1. 点击"NAT配置" →" 目的NAT"。
2. 新增规则:
 公网IP:<202.106.0.2>
 公网端口:80
 私网IP: <192.168.1.100>
 私网端口:80
 协议:TCP
三、端口映射配置实例
将内网Web服务器<192.168.1.100>的80端口发布到公网:
 外网接口IP:<202.106.0.2>
 映射规则:访问<202.106.0.2>:80 转换为 <192.168.1.100>:80
四、入侵防御配置
1.点击"安全策略" →"入侵防御"。
2.启用IPS功能,选择防护策略模板(如"服务器保护"或"客户端保护")。
3.在安全策略中引用IPS配置。
五、单位场景配置实例:分支机构防火墙
**场景** :分支机构内网<192.168.10.0>/24,通过防火墙接入互联网,需限制P2P下载。
 接口配置:eth0接内网(Trust),eth1接外网(Untrust)
 安全策略:
 允许Trust访问Untrust(、 、DNS)
 拒绝Trust访问Untrust的BT、迅雷等P2P端口(可定义服务组)
 NAT:源NAT PAT转换
 日志:记录所有拒绝流量
### 6.4 天融信防火墙配置
天融信防火墙是国内市场占有率较高的安全产品,其命令行功能强大,同时提供Web管理界面。本节聚焦Web配置,并与联想网域进行对比说明。
#### 6.4.1 配置环境搭建
一、Web管理界面登录
1.**物理连接** :用网线连接防火墙的管理口(通常为MGMT或Eth0)与电脑。
2.**设置管理主机** **IP** :防火墙默认管理IP通常为<192.168.1.1/24>(具体见产品手册),将电脑IP设为同网段如<192.168.1.100>。
3.**浏览器登录** :输入 [https://192.168.1.1](https://192.168.1.1 "https://192.168.1.1") ,默认账号 admin  ,默认密码见设备标签(首次登录强制修改)。
二、设备初始化设置
**修改管理员密码** :首次登录强制修改。
**管理接口** **IP** **修改** :在" 网络" →"接口"中修改管理口IP。
**管理员权限分级** :天融信支持多级管理员权限,可在"系统" →"管理员"中创建只读用户、审计员等。
三、与联想网域防火墙的差异
**认证方式** :联想采用USB电子钥匙硬件认证,天融信为账号密码。
**界面风格** :联想侧重策略树,天融信采用菜单式布局。
**默认规则** :两者均默认拒绝,但天融信提供"快速向导"简化初始配置。
#### 6.4.2 基础安全配置
一、区域划分
天融信防火墙预定义区域:Trust、 Untrust、 DMX( DMZ)。可自定义区域。
 路径:" 网络" →" 区域",点击"新建",设置名称、优先级。
二、接口配置
将物理接口绑定到区域并配置IP:
1.路径:" 网络" →"接口",点击接口进入编辑。
2.设置:
 IP地址/掩码: <192.168.1.1/24>
 安全区域:Trust
 管理方式:勾选、PING(允许Web管理及ping测试)
三、管理员权限分级配置
 路径:"系统" →"管理员" →"新建"。
 设置用户名、密码,选择角色:
 系统管理员:完全控制
 配置管理员:可修改配置
 审计员:仅查看日志
四、默认安全策略配置
天融信策略配置在"安全策略" →"策略"中。
**允许** **Trust** **访问** **Untrust** :
 名称:Trust_to_Untrust
 源区域:Trust
 目的区域: Untrust
 源地址:any
 目的地址:any
 服务: 、 、DNS
 动作:允许
 状态:启用
**拒绝所有** :系统默认有一条全拒绝策略,优先级最低。
#### 6.4.3 核心功能配置
一、ACL规则配置
天融信的ACL通过安全策略实现,可精细化控制源/目的IP、服务、时间。
**示例:禁止** [**192.168.10.0**](192.168.10.0)**/24** **在工作时** **间访问视频网站** :
 源区域:Trust
 源地址: <192.168.10.0/24>(需先创建地址对象)
 目的区域: Untrust
 服务: 、 (视频网站域名需通过URL过滤实现)
 时间:每周一至周五 09:00-18:00
 动作:拒绝
二、NAT配置
天融信的NAT配置在"NAT策略"中。
**源** **NAT** **(** **PAT** **)** :
 规则名称:SNAT_PAT
 源区域:Trust
 目的区域: Untrust
 转换类型:源地址转换
 出接口:WAN口
 转换方式:使用出接口IP( PAT)
**目的** **NAT** **(端口映射** **)** :
 规则名称:Web_Server
 入接口:WAN口
 目的IP:<202.106.0.2>(公网IP)
 目的端口:80
 转换后IP: <192.168.1.100>
 转换后端口:80
 协议:TCP
三、VPN配置
天融信支持IPSec VPN和SSL VPN。
 **IPSec** **VPN****配置要点** :
1. 创建IKE提议(加密算法、认证算法、 DH组)。
2. 创建IPSec提议。
3. 配置对端信息(对端IP、预共享密钥)。
4. 定义感兴趣流(ACL)。
 **SSL** **VPN**:适用于移动办公,用户通过浏览器登录,访问内网资源。
四、日志审计配置
**1.** **本地日志** :在"系统" →" 日志"中查看,可配置日志级别。
**2.** **远程日志** :在"系统" →" 日志" →" 日志服务器"中配置服务器IP,将日志发送至集中日志平台。
五、配置步骤及注意事项
**步骤** :
1. 先配置接口和区域。
2. 配置地址对象、服务对象(便于复用)。
3. 配置安全策略(从上到下顺序匹配,常用策略放前面)。
4. 配置NAT。
5. 配置VPN、 IPS等高级功能。
6. 测试连通性,查看日志确认策略生效。
**注意事项** :
 修改管理接口IP后,需用新IP重新登录。
 策略修改后及时点击"保存配置",防止重启丢失。
 开启IPS可能影响转发性能,按需启用。
### 6.5 故障排查与日常维护
网络设备运行中难免出现故障,掌握标准化的排查思路和常用命令,可快速恢复业务。
#### 6.5.1 路由器/交换机常见故障排查
一、故障排查思路
1.**确认故障范围** :是个别终端、某个网段还是全网故障?
2.**物理层检查** :接口指示灯、线缆连接。
3.**链路层检查** : MAC地址表、VLAN配置。
4.**网络层检查** : IP配置、路由表、连通性测试。
5.**策略检查** :ACL、防火墙规则是否阻断。
二、核心命令及解决方法
| 故障类型 | 排查命令 | 解决方法 |
|----------------------|--------------------------------------------------------|----------------------------------|
| **端口** **down** | display interface brief | 检查物理连接、强制速率/双工匹配、更换端口 |
| **路由不通** | display ip routing-table | 确认路由表存在且正确;检查下一跳连通性 |
| **VLAN** **通信异常** | display vlan、display mac-address | 确认端口在正确VLAN、Trunk允许VLAN、VLANIF配置 |
| **远程登录** **失败** | display telnet server status、display ssh server status | 确认服务开启、VTY接口认证配置、ACL限制 |
| **IP** **地址** **冲突** | display arp | include 冲突IP\` |
| **环路导致** **网络卡顿** | display trapbuffer查看环路告警,display interface查看端口流量异常激增 | 启用STP,物理上排查环路链路 |
三、故障案例:VLAN间无法通信
**现象** :VLAN 10的PC( <192.168.10.2>)无法ping通VLAN 20的PC( <192.168.20.2>)。
**排查步骤** :
1.确认PC网关配置正确:VLAN10网关应为<192.168.10.1>。
2.在核心交换机上执行 display interface Vlanif10 ,确认VLANIF接口状态Up。
3.执行 display ip routing-table ,确认有直连路由。
4.在两台PC上分别ping网关,确认到网关连通。
5.执行 display arp ,确认学到PC的MAC地址。
6.若以上均正常,检查交换机端口配置,确认两台PC所在端口均在各自VLAN内。
#### 6.5.2 防火墙故障排查与日常维护
一、常见故障排查
| 故障类型 | 排查思路 | 核心命令/操作 |
|-----------------|--------------------------------------|-----------------------------------------------------------|
| **策略** **不生效** | 检查策略顺序、源/目的区域、地址对象、服务对象是否匹配;查看策略命中计数 | 天融信:display security-policy session-statistics; 联想:查看策略日志 |
| **网络不通** | 分段测试:ping防火墙接口、ping下一跳、ping远端 | ping、tracert,逐段定位 |
| **NAT** **不生效** | 确认NAT规则顺序、出接口选择、转换模式 | 查看会话表:display session table,观察转换前后地址 |
| **日志异常** | 检查日志级别、磁盘空间、日志服务器连通性 | display logbuffer、查看日志存储配置 |
二、调试命令使用
天融信防火墙支持调试命令,可开启策略调试观察流量匹配过程(慎用,可能影响性能):
\ debugging policy packet
\ terminal debugging # 输出调试信息
# 触发测试流量,观察输出,完成后及时关闭
\ undo debugging all
三、日常维护要点
**1.** **策略备份与恢复**
 定期备份配置文件(每月或配置变更后)。
 天融信:通过Web"系统" →"配置管理" →"备份/恢复",或CLI使用TFTP备份。
 联想网域:通过"系统配置" →"配置管理"导入导出。
 备份文件应命名包含日期,如 fw_config_20251210.dat 。
**2.** **固件升级**
 关注厂商安全公告,修复已知漏洞。
 升级前必须备份配置,下载固件后在校验和。
 选择业务低谷期升级,保留回退方案。
**3.** **日志查看与分析**
 定期审查日志(每周至少一次),关注大量拒绝日志,可能预示扫描攻击。
 配置远程日志服务器,集中存储长期日志。
**4.** **性能监控**
 CPU、内存、会话数。
 天融信: display cpu-usage,display memory-usage。
 当资源长期高位时,考虑优化策略或升级硬件。
**5.** **配置变更管理**
 每次配置修改记录变更内容、时间、操作人。
 修改后测试验证,及时保存配置。