Nokia IPSO-VN 命令行参考手册 - Check Point

Nokia IPSO-VN 命令行 

参考手册 

版本 4.1 

部件编号 :N450000640 Rev 001 

*N450000640 Rev 001* 

出版日期 :2008 年 2 月

版权所有 

©2008 Nokia。保留一切权利。 

保留根据美国著作权法规定的各项权利。 

有限权利说明 

美国政府在使用、复制或披露方面 , 受 DFARS 252.227 7013“ 技术数据和电脑软件使用权利 ”(Rights in Technical Data and Computer 

Software) 条款中的第 (c)(1)(ii) 分节规定的限制条件的约束。 

不论在提供本软件时是否附有任何其他属于本电脑软件的许可协议 , 美国政府在使用、复制或披露方面的权利 , 都受限于 FAR 52.227-19 

“ 商业电脑软件 - 有限权利 ”(Commercial Computer Software-Restricted Rights) 条款中的有关规定。 

重要须知 

本软件和硬件由 Nokia Inc. 以 “ 现有状态 ” 提供 , 没有任何暗示或明示担保 , 其中包括 ( 但不限于 ) 对销路和某特定目的之适用性的担 

保。对于任何因使用本软件而造成的任何直接损失、间接损失、附带损失、特别损失、惩罚性的损失赔偿、或后果性损失 ( 其中包括但不 

限于购买替代货物或服务 ; 使用上的损失、数据损失或利润损失 ; 或业务中断 ) , 不论原因如何以及基于何种责任理论 , 亦不论是否有合 

同、为严格责任或侵权行为 ( 其中包括疏忽行为或另外其它行为 ), Nokia 或其附属公司、子公司或供应商将不承担任何赔偿责任。即使 

对方已事先告戒有出现上述损失的可能性 , 亦不承担任何赔偿责任。 

Nokia 保留对此处所及任何产品的更改权利 , 恕不另行通知。 

商标 

Nokia 是 Nokia Corporation 的注册商标。本文提及的其他产品是其各自所有公司的商标或注册商标。 

080101 

2 Nokia IPSO-VN 命令行参考手册

Nokia 联络信息 

公司总部 

网站 

电话 

http://www.nokia.com 

1-888-477-4566 或 

1-650-625-2000 

传真 1-650-691-2170 

邮政地址 

Nokia Inc. 

313 Fairchild Drive 

Mountain View, CA 94043-2215 

美国 

地区联络信息 

美洲 

欧洲、中东地 

区、非洲 

亚太地区 

Nokia Inc. 

313 Fairchild Drive 

Mountain View, CA 94043-2215 

美国 

Nokia House, Summit Avenue 

Southwood, Farnborough 

Hampshire GU14 ONG 

英国 

438B Alexandra Road 

#07-00 Alexandra Technopark 

Singapore 119968 

电话 : 1-877-997-9199 

美国和加拿大境外 : +1 512-437-7089 

电子信箱 : info.ipnetworking_americas@nokia.com 

电话 : 英国 : +44 161 601 8908 

电话 : 法国 : +33 170 708 166 

电子信箱 : info.ipnetworking_emea@nokia.com 

电话 : +65 6588 3364 

电子信箱 : info.ipnetworking_apac@nokia.com 

Nokia 客户支援中心 

网站 : 

电子信箱 : 

美洲 

电话 : 

https://support.nokia.com/ 

tac.support@nokia.com 

1-888-361-5030 或 

1-613-271-6721 

欧洲 

电话 : +44 (0) 125-286-8900 

传真 : 1-613-271-8782 传真 : +44 (0) 125-286-5666 

亚太地区 

电话 : +65-67232999 

传真 : +65-67232897 

050602 

Nokia IPSO-VN 命令行参考手册 3


目录 

前言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

手册结构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

手册约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

相关文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 

1 报警命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

alert-config local-syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

alert-config mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 

alert-config snmp-trap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 

alert-config syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 

show alert-config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 

show alert-config local-syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

show alert-config mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 

show alert-config snmp-trap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 

show alert-config syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 

unset alert-config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 

unset alert-config mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 

unset alert-config snmp-trap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 

unset alert-config syslog. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 

2 ARP 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

arp timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 

show arp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 

show arp dynamic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 

show arp proxy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

show arp static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

show arp timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 

unset arp dynamic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 

unset arp dynamic vlan,ethernet,channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 

unset arp proxy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 

unset arp proxy vlan,ethernet,channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 

unset arp static. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 

unset arp static vlan,ethernet,channel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

3 攻击防御命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 


attack-defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 

attack-defense tcp-syn-cookie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 

attack-defense threshold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 

policy session-flood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 

policy session-flood enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 

policy session-flood protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 

show attack-defense. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 

show policy session-flood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 

unset policy session-flood. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 

unset policy session-flood protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 

4 AUX 接口命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 

aux com2 enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 

aux com2 poll-interval . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 

service root-net-login enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 

service telnet,ssh,web port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 

show aux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 

show root-net-login. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 

show service port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 

5 备份恢复命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 

backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 

copy backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 

copy backup internal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 

delete backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 

restore from . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 

restore from internal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 

show backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 

6 CAM 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 

cam-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 

cam-table timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 

show cam-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 

show cam-table timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 

unset cam-table dynamic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 

unset cam-table static . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 

7 配置文件命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 

copy config internal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 

copy config internal to active . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 

copy config to . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 

delete config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 

import config from tftp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 


import config from x/zmodem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 

load config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 

save config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 

show config . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 

show config default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 

show current-config. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 

8 调试命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 

debug clear . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 

debug dump byte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 

debug dump complex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 

debug dump hook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 

debug dump session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 

debug file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 

debug match . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 

debug show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 

debug start . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 

debug stop . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 

9 默认策略命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 

policy default inter-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 

policy default intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 

show policy default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 

10 DST 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 

show current timezone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 

show timezone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 

timezone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 

timezone dst off . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 

timezone dst on default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 

timezone dst on manual day-day . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 

timezone dst on manual day-week . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 

timezone dst on manual week-day . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 

timezone dst on manual week-week. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 

11 高可用性命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 

auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 

auth password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 

config check . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 

config sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 

config sync auto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 

election . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 

encrypt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 


event-track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 

event-track ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 

ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 

hotstandby switch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 

interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 

ip address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 

ip-track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 

peer ip address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 

rti session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 

rti session default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 

rti sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 

show ha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 

time. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 

time benchmark. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 

time daily . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 

time sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 

unset ip-track. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 

unset rti session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

vfid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

12 接口命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 

auto advertise on,off. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 

bind gateway tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 

channel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

description. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 

floating ip address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 

flow control on,off. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 

hold ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 

hold ethernet,channel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 

interface ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 

ip address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 

mac address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 

mtu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 

port mode access,trunk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

port trunk native vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 

port vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 

show GTB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

show interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 

show interface channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 

show interface ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 

show interface tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 

show interface vlan. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 

shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 


speed duplex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

tunnel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 

unset bind gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 

unset channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 

unset floating ip address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 

unset GTB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 

unset hold ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

unset hold ethernet,channel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

unset ip address. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

unset port trunk native . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 

unset port vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

unset shutdown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

unset tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 

unset vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 

vlan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 

working-type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 

13 IP 包过滤命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

policy ip-filter enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

policy ip-filter global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 

policy ip-filter inter-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 

policy ip-filter intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 

policy ip-filter log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 

policy ip-filter number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 

policy ip-filter permit,deny . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 

policy ip-filter protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 

policy ip-filter schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 

policy ip-filter timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 

show policy ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232 

show policy ip-filter intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 

unset policy ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 

unset policy ip-filter timeout,schedule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 

14 IP-MAC 绑定命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 

policy ip-mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 

policy ip-mac enable,disable. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 

show policy ip-mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 

unset policy ip-mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

15 语言设置命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

language . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

show language . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 


16 多播命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 

dvmrp cache-lifetime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 

dvmrp metric . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 

dvmrp on,off . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 

dvmrp pim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 

dvmrp prune-lifetime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

dvmrp route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 

dvmrp ttl. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 

igmp-snooping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 

igmp-snooping interface-flags. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 

igmp-snooping version . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 

multicast cam-table. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 

policy multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 

policy multicast allowed-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 

policy multicast enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 

policy multicast number. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 

show dvmrp interface,neighbor,timer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 

show dvmrp route,state . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 

show igmp-snooping state. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 

show policy multicast. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 

unset dvmrp route. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 

unset multicast cam-table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 

unset policy multicast . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 

unset policy multicast allowed-zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 

17 地址转换命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 

policy dnat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 

policy dnat enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 

policy dnat load-balancing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 

policy dnat matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 

policy dnat number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 

policy mip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

policy mip enable,disable. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 

policy mip matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 

policy mip number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 

policy snat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 

policy snat enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 

policy snat matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 

policy snat number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 

show policy dnat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 

show policy mip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 

show policy snat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 

unset policy dnat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 


unset policy dnat matching. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

unset policy mip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 

unset policy mip matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 

unset policy snat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 

unset policy snat matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 

18 非 IP 包过滤命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 

policy non-ip-filter enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 

policy non-ip-filter global enable,disable. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 

policy non-ip-filter inter-zone enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . 310 

policy non-ip-filter intra-zone enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . 312 

policy non-ip-filter number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 

policy non-ip-filter permit,deny. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 

policy non-ip-filter protocol. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 

policy non-ip-filter schedule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 

show policy non-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 

show policy non-ip-filter global,inter-zone,intra-zone . . . . . . . . . . . . . . . . . . . 320 

show policy non-ip-filter intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 

unset policy non-ip-filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 

unset policy non-ip-filter global,inter-zone,intra-zone . . . . . . . . . . . . . . . . . . . 324 

unset policy non-ip-filter intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 

unset policy non-ip-filter schedule. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 

19 NTP 校时命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 

ntp authentication enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 

ntp auto-syn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 

ntp auto-syn adjust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

ntp auto-syn enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 

ntp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 

ntp synchronize . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 

time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 

unset ntp server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 

20 策略路由命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 

matching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 

policy route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 

policy route enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 

show policy route. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 

unset matching. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344 

unset policy route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 

21 路由命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 

route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 


oute load-balancing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349 

show route . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 

unset route. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 

unset route load-balancing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 

22 服务配置命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 

halt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 

reboot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 

reset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 

service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 

service allow zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 

service auth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 

show service port . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 

show service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364 

unset service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365 

23 会话限制命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 

clear session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 

show session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 

show session count . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371 

24 SNMP 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 

show snmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 

show snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374 

show snmp usm user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 

snmp community read-only,read-write . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 

snmp contact. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 

snmp location . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 

snmp daemon on,off. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 

snmp usm user authNoPriv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 

snmp usm user authPriv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382 

unset snmp community . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 

unset snmp usm user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 

25 SSH 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 

import ssh authkeys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387 

show ssh hostkey . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 

show ssh server authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 

show ssh server ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 

show ssh server key-regeneration-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 

show ssh server login-grace-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 

show ssh server protocol. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395 

show ssh server server-key-bits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 


ssh hostkey. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 

ssh server authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 

ssh server ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 

ssh server key-regeneration-time. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 

ssh server login-grace-time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 

ssh server protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 

ssh server server-key-bits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 

web generate ssl-certificate request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 

web generate ssl-certificate self-signed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 

web install ssl-certificate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 

26 SYSLOG 命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 

copy log. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 

logging media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 

logging media switch to . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413 

logging policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 

show log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 

show logfile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 417 

storage media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 

storage media format. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 

storage media state . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420 

27 系统升级命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421 

delete patch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421 

delete system . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 

patch enable, disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 

package upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 

show patch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 

show system-list . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429 

system switch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 

28 技术支持命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 

copy technical-support file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 

delete technical-support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 

show technical-support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 

technical-support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 

29 超时设置命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 

show timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 

timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 

timeout reset. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 

30 用户管理命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 


anner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 

console timeout. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 

dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 

hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 

license download . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 

license import . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 

lock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 

password . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 

ping. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 

radius server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 449 

show assetinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450 

show banner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452 

show dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 

show hostname . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454 

show license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455 

show line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 456 

show radius server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 

show system info,status,time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458 

show system resource-utilization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 

show user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 

traceroute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462 

unset authserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 

unset dns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 464 

unset license . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 

unset user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 466 

unset user allowed-vsys. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467 

user. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 

user allowed-vsys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 470 

user description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 

vty timeout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472 

31 VPN 证书命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 

delete vpn certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 

generate certificate-request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475 

import vpn certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 

show certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 478 

32 VPN 策略命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481 

policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481 

policy global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482 

policy inter-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485 

policy intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488 

policy number . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 491 


policy protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492 

policy tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494 

show vpn policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495 

show vpn policy global,inter-zone,intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . 497 

unset policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498 

unset policy global,inter-zone,intra-zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 

unset policy protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500 

33 VPN 隧道命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 

bind tunnel tunnel-interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 

nat-traversal auto enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502 

nat-traversal manual enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 

show tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 

show vpn-accel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505 

show vpn-debug. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506 

show vpn-debug tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 508 

tunnel dialup certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509 

tunnel dialup preshared-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 511 

tunnel enable,disable. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 

tunnel gateway certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514 

tunnel gateway preshared-key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516 

tunnel ike. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518 

tunnel ike dpd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 

tunnel ike dpd disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521 

tunnel ike phase1 mode. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522 

tunnel ike phase1 default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524 

tunnel ike phase2 mode. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525 

tunnel ike phase2 default . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527 

tunnel ike lifetime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528 

tunnel manual gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 529 

tunnel xauth enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532 

unset tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533 

unset tunnel auto,manual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534 

unset tunnel-interface tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535 

unset vpn-debug isakmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536 

unset vpn-debug isakmp tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 

vpn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 

vpn-accel on,off . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539 

vpn-debug ipsec. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540 

vpn-debug isakmp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541 

vpn-debug isakmp tunnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542 

34 VPN 用户命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 


copy vpn-user file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 543 

create user file. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 545 

delete user file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546 

group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547 

group external auth-server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548 

group user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549 

import vpn user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550 

ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552 

show vpn group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553 

show vpn ippool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554 

show vpn user . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555 

unset group user. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556 

unset ippool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557 

unset user,group. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558 

user enable,disable. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 559 

user ike-id fqdn,user-fqdn,asn1-dn,key-id . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560 

user ike-id ipv4-address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562 

35 虚拟系统命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 

description. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 565 

hold vlan,channel,ethernet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566 

manage-ip-address vlan,channel,ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567 

show vsys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568 

unset hold vlan,channel,ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569 

unset vsys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570 

vsys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 571 

vsys enable,disable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 

vsys resource-limit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573 

36 安全域命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575 

show zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575 

unset zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577 

unset zone based-layer2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578 

unset zone based-layer3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579 

zone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580 

zone based-layer2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 581 

zone based-layer3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582 

zone description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 583 

37 安全域绑定命令 . . . . . . . . . . . . . . . . . . . . . . . . . . . 585 

policy zone-binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585 

policy zone-binding zone-ip. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587 

policy zone-binding zone-mac. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588 


show policy zone-binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589 

unset policy zone-binding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 591 

unset policy zone-binding zone-ip . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592 

unset policy zone-binding zone-mac . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593 

术语表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595 

索引 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599 



前言 

本手册专为网络管理员而编写 , 包含了 Nokia IPSO-VN 防火墙的安装和使用信息。防火 

墙的安装和维护需要由有经验的技术人员或者 Nokia 唯一指定的服务提供商来进行。 

This preface provides the following information: 

• 手册结构 

• 手册约定 

• 相关文档 

手册结构 

本手册由以下章节和附录构成 : 

• 手册结构介绍了命令的相关信息和使用防火墙前的准备工作。 

• 第 1 章 , 报警命令到第 37 章 , 安全域绑定命令按字母顺序列出了所有的命令。 

• 术语表介绍了通过命令行配置和管理防火墙过程中所使用的一些常用术语。 

• 索引按字母顺序列出了所有命令的可用链接 , 其中命令后面的 “*” 符号表示同步 

该命令的配置信息。 

手册约定 

下面的几个小节介绍了本手册使用的约定 , 其中包括注意事项 , 以及命令行约定。 

注意事项 

提示 

注意部分描述了用户需要特别注意的信息。 


命令行约定 

本节定义了 Nokia IPSO-VN 防火墙使用中出现的命令行元素。用户会在命令行中遇到下 

面一个或多个元素。 

表 1 命令行约定 

约定 

命令元素 

斜体 

描述信息 

此必选元素通常是产品的名字或其他短语词汇。这个短词能够对 

Nokia 产品 , 或编译产品的编译器或予处理器脚本起到提示作用。 

它可以单独出现也可以出现在一个或多个选项前面。用户必须用小 

写字母正确拼写命令。 

命令行参数采用斜体表示 , 参数表示命令中必须赋予实际值的部 

分 : 

show alert-config alert_name 

例如显示名称为 test 的报警策略信息 : 

show alert-config test 

粗体粗体表示章节标题或命令关键字。 

尖括号尖括号括起来的部分表示必须赋值的参数。 

INTEGER 

例如 , 赋一个值 : 

INTEGER 60 

方括号用方括号括起来的部分表示可选参数。 

clear cam-table [vlan vlan_id] 

例如 : 

clear cam-table vlan 1 

竖线 ( | ) 竖线分隔的元素互不包含 , 只选一个。 

arp timeout {default | timeout_value} 

为下面命令中的互斥元素赋值 : 

arp timeout default 

or 

arp timeout 200 

( . , ; + * - / ) 标点符号或数学符号属文字符号 , 必须按照所表示的方式正确输 

入。 

' 单引号是一种文字标记 , 你必须按照提示的输入。 

WORD 

字符格式 “WORD”, 取值范围只能是字母、数字、下划线和英文 

逗号。 


手册约定 

表 1 命令行约定 (continued) 

约定 

描述信息 

INTEGER 数字格式 “INTEGER”, 取值范围只能是正整数。 

x.x.x.x 

IPV4LIST 

HH:HH:HH:HH:HH:HH:HH 

IPV4RANGE 地址格式 “x.x.x.x”, 每个点分隔开的数值选取范围 

是 0-255。 

IP 地址列表 , 格式为 “x.x.x.x” 或 “x.x.x.x-x.x.x.x”。 

MAC 地址 “HH:HH:HH:HH:HH:HH:HH”, 取值范围是 

00:00:00:00:00:00-FF:FF:FF:FF:FF:FF。 

YYYY-MM-DD 日期格式 “YYYY-MM-DD”, 取值范围是 1971-01-01 至 2037-12- 

31。 

HH:MM:SS 表示小时 : 分钟 : 秒 , 取值范围是 00:00:00-23:59:59。 

表 2 常用命令集 

命令原型 

命令解释 

end 退出当前配置模式 , 返回到普通配置模式。 

exit 退出当前配置模式 , 返回到上一级配置模式。 

list 列出当前配置模式下的所有命令。 

configure mode 进入全局配置模式。 

configure mode 

overwrite 

强制进入全局配置模式。 

连接方式 

管理员可以使用 Console、 Telnet、 SSH 和 AUX 方式登录到 IPSO-VN 防火墙 , 进行 

CLI 配置 : 

• Console 

Console 是 IPSO-VN 设备的控制台接口。管理主机可以通过其接口登录到命令行来管理 

IPSO-VN 防火墙。在管理主机上必须安装终端软件 , 如 :Windows 系统的超级终端程 

序 , Linux 系统的 Minicom 程序。 

终端软件的配置如下 : 

• -- 串行通信速率 9600bps 

• --8 位 

• -- 无奇偶校验 


• -- 无流量控制 

• Telnet 

Telnet 协议是 Internet 远程登录服务的标准协议。管理主机可以通过 Telnet 可用链接登录到 

命令行来管理 IPSO-VN 防火墙。 

使用 Telnet 协议远程管理 IPSO-VN 防火墙需要同时满足下列条件 : 

• -- 管理主机上需要安装 Telnet 客户端软件 

• -- 保持网络畅通 , 并且管理主机与 IPSO-VN 防火墙可以进行 TCP 互联 

• -- IPSO-VN 防火墙需要配置相应的 Telnet 服务 

• SSH 

SSH(Secure Shell) 协议是建立在应用层和传输层基础上的安全协议。管理主机可以通过 

SSH 可用链接登录到命令行来管理 IPSO-VN 防火墙。 

使用 SSH 协议远程管理 IPSO-VN 防火墙需要同时满足下列条件 : 

• -- 管理主机上需要安装 SSHv1、 SSHv2 客户端软件 

• -- 保持网络畅通 , 并且管理主机与 IPSO-VN 防火墙可以进行 TCP 互联 

• -- IPSO-VN 防火墙需要配置相应的 SSH 服务 

• AUX 

AUX 端口为异步端口 , 主要用于远程配置 , 也可以用于拨号连接。 

配置模式 

配置模式是用户与 IPSO-VN 防火墙之间进行命令行配置的交互窗口。 

• 普通配置模式 

登录到 IPSO-VN 防火墙后 , 所在的根目录即为普通配置模式。在该模式中 , 可以对某一 

规则、策略或者设备的相关配置模式进行操作。例如可以进入到 VLAN、高可用性、策 

略路由 (Policy Route)、 VPN 和 Vsys 等配置模式。 

普通配置模式的提示符为 :NokiaIPSO-VN:root> 

• 全局配置模式 

登录到 IPSO-VN 防火墙后 , 可通过 configure mode 命令进入全局配置模式。在该模 

式下 , 可以对防火墙的规则、设备的资源等相关操作进行配置。例如 : VLAN 和虚拟防 

火墙 (Vsys) 的划分、主机名 (Hostname) 的更改 , 以及对规则策略的添加或删除等 

操作。 

全局配置模式的提示符为 :NokiaIPSO-VN:root-system] 

• VLAN 配置模式 


手册约定 

在全局配置模式下 , 可以输入 vlan vlan_id 命令进入到 VLAN 配置模式。在该模式 

下 , 可以对 VLAN 等相关操作进行配置。 

VLAN 配置模式的提示符为 :NokiaIPSO-VN:root-system-vlan1] 

• 接口配置模式 

在全局配置模式下 , 可以输入 interface ethernet interface_id 命令进入到 

VLAN 配置模式。在该模式下 , 可以对 VLAN 等相关操作进行配置。 

接口配置模式的提示符为 : NokiaIPSO-VN:root-system-if-eth1] 

• HA 配置模式 

在全局配置模式下 , 可以输入 ha 命令进入到 HA 配置模式。在该模式下 , 可以对 HA 

的相关操作进行配置。 

HA 配置模式的提示符为 :NokiaIPSO-VN:root-system-ha] 

• 策略路由配置模式 

在全局配置模式下 , 可以输入 policy route policy_id 命令进入到策略路由配置模 

式。在该模式下 , 可以对策略路由的相关操作进行配置。 

策略路由配置模式的提示符为 :NokiaIPSO-VN:root-system-routepolicy-1] 

• VPN 配置模式 

在全局配置模式下 , 可以输入 vpn 命令进入到 VPN 配置模式。在该模式下 , 可以对 

VPN 的相关操作进行配置。 

VPN 配置模式的提示符为 :NokiaIPSO-VN:root-system-vpn] 

• Vsys Configuration Mode 

在全局配置模式下 , 可以输入 vsys name 命令进入到 Vsys 配置模式。在该模式下 , 可 

以对 Vsys 的相关操作进行配置。 

Vsys 配置模式的提示符为 :NokiaIPSO-VN:root-system-vsys-1] 

管理级别 

IPSO-VN 防火墙的管理用户按照操作权限范围可分为五种角色 : 

• 根管理员 (Root) 

• 根系统管理员 (Administrator) 

• 根系统审计员 (Auditor) 

• Vsys 管理员 (Vsys Administrator) 

• Vsys 审计员 (Vsys Auditor ) 

命令结构 

本手册命令构成有三种情况 : 一是由单独的关键字组成 ; 二是关键字与关键字的组合 ; 

三是关键字与参数的组合。 

范例 1: 关键字 halt 


范例 2: 关键字组合 show system info 

范例 3: 关键字与参数组合 hostname name 

特性说明 

IPSO-VN 防火墙具有缩写、提示以及 Tab 键命令补齐的特性 , 管理员可以借助相关特性 

来配置命令。 

• 缩写特性 

IPSO-VN 防火墙的所有命令都具有缩写输入的特性 , 以简化复杂命令的输入工作。 

例如 : 

命令的完整格式 :configure mode 

命令的完整格式 : con pl 

• 提示特性 

IPSO-VN 防火墙的所有命令都具有 “?” 提示的特性 , 以方便指导管理员进行命令配 

置。用户可以输入 “?” 来显示当前模式下的所有命令列表 , 或者在命令配置的过程 

中 , 输入 “?” 来显示当前命令的补齐说明。 

• Tab 键命令补齐 

IPSO-VN 防火墙的所有命令都具有 Tab 键命令补齐的特性。管理员在输入命令关键字时 

可以引用 Tab 键 , 如果只有唯一条件可以匹配 , 则补齐当前命令 ; 如果不是唯一条件匹 

配 , 则显示所有与当前关键字相似的列表 , 以备管理员补充输入。 

相关文档 

除了本手册之外 , 跟本产品相关的文档介绍如下 : 

• Nokia IPSO-VN 用户指南 — 介绍了防火墙的有关配置和维护信息。 

• Nokia IPSO-VN 释放说明 — 为用户提供了安装和配置 IPSO-VN 防火墙之前所应掌握的 

重要信息。 


1 报警命令 

alert-config local-syslog 

使用 alert-config local-syslog 命令修改本地 SYSLOG 报警策略。系统缺省设 

置为记录所有安全等级的事件。 

命令 

alert-config local-syslog internal level {any | none | secure_level} type {type_name | any | 

none} 

语法 

internal 本地特殊策略名称 , 在本命令中表示本地 SYSLOG 策略。 

level 表示设置事件的安全等级。 

any | none 

secure_level 

type_name 

any | none 

• any— 表示设置所有安全等级 

• none— 表示不设置安全等级 

事件的安全等级列表 , 如 LOG_ALERT, LOG_ERR( 参见表 3,“ 事 

件安全等级列表 ” )。格式为 WORD。 

模块类型列表 , 如 LOG_SYSTEM,LOG_MANAGE,LOG_ACCESS, 

LOG_APPLICATION。 

• any— 表示设置所有模块的类型 

• none— 表示不设置模块的类型 

Table 3 事件安全等级列表 

标识安全等级类型描述信息 

LOG_EMERG Emergency 出现紧急情况使得该系统不可用 

LOG_ALERT Alert 需要马上采取行动 

LOG_CRIT Critical 关键情况 

LOG_ERR Error 错误情况 


报警命令 

Table 3 事件安全等级列表 

标识安全等级类型描述信息 

LOG_WARNING Warning 警告情况 

LOG_NOTICE Notification 常规但十分重要的情况 

LOG_INFO Information 信息报文 

LOG_DEBUG Debugging 调试报文 

权限 

Root Administrator Administrator Auditor Vsys Administrator Vsys Auditor 

V 

V 

模式 

该命令在全局配置模式下使用。 

范例 

范例 . 修改本地 SYSLOG 报警策略。当出现 Critical 和 Error 报警事件时 , 将事件发送给 

本地 SYSLOG 服务器。 

NokiaIPSO-VN:root-system]alert-config local-syslog internal level 

LOG_CRIT,LOG_ERR type any 

相关命令 

命令名称 

描述信息 

show alert-config local-syslog 显示本地 SYSLOG 报警策略。 


alert-config mail 

alert-config mail 

使用 alert-config mail 命令添加邮件报警策略。配置成功后 , 防火墙以邮件形式 

将防火墙事件发送给指定的接收者。 

命令 

alert-config mail alert_name server {ip_address | domain_name} port sender sender [user 

account_name password {simple | cipher} password] subscriber mail1,mail2… interval 

sent_cycle level {any | none | secure_level} type {type_name | any | none} 

语法 

alert_name 

ip_address 

domain_name 

port 

sender 

策略名称 , 格式为 WORD。 

邮件接收服务器的 IP 地址 , 格式为 x.x.x.x。 

邮件接收服务器的域名地址 , 格式为 WORD。 

邮件接收服务器的端口 , 格式为 INTEGER。 

发送者邮件地址列表 , 格式为 WORD。 

user 表示邮件将以认证形式发送 ; 反之 , 表示邮件将以匿名形式发送。 

account_name 

发送者帐号 , 格式为 WORD。 

simple 明文格式。表示参数 password 将以明文格式保存。 

cipher 

password 

mail 

密文格式 ( 只有在系统恢复时自动转换密码为密文格式。在用户配置密码 

时不建议使用密文格式 ) 。表示 password 是加密之后的字符串 , 仅用于 

系统恢复。 

发送者口令 , 格式为 WORD。 

接收者的邮件地址列表 , 格式为 WORD。 

interval 表示设置报警邮件的发送周期。 

sent_cycle 

周期值 , 以秒为单位 , 格式为 INTEGER。 


any | none 

secure_level 



事件的安全等级列表 , 如 LOG_ALERT, LOG_ERR( 参见表 3,“ 事件安 

全等级列表 ” )。格式为 WORD。 


报警命令 

type_name 

any | none 





权限 


V 

V 

模式 


范例 

范例 . 添加邮件报警策略 test, 要求对发送者的帐号 (username) 和口令 (passwd) 进 

行认证。当出现 Warning 和 Debugging 报警事件时 , 防火墙会通过 smtp.163.com 服务器 

将防火墙事件发送给 test1@163.com 和 test2@163.com。 

NokiaIPSO-VN:root-system]alert-config mail test server smtp.163.com 25 

sender test@163.com user username password simple passwd subscriber 

test1@163.com,test2@163.com interval 60 level LOG_WARNING,LOG_DEBUG 

type none 

相关命令 

命令名称 

描述信息 

show alert-config mail 显示所有的邮件报警策略。 

unset alert-config mail 删除邮件报警策略。 


alert-config snmp-trap 

alert-config snmp-trap 

使用 alert-config snmp-trap 命令添加 SNMP Trap 报警策略。配置成功后 , 防火 

墙将事件发送给指定的 SNMP 客户终端。 

命令 

alert-config snmp-trap alert_name {v1 | v2c} trap_address1,trap_address2... [{v1 | v2c} 

trap_address1,trap_address2...] level {any | none | secure_level} type {type_name | any | 

none} 

语法 

alert_name 

v1 | v2c 


• v1— 版本 1, 表示使用 v1 版本格式发送事件 

• v2c— 版本 2, 表示使用 v2c 版本格式发送事件 

trap_address v1 或 v2c 的接收地址列表 , 格式为 x.x.x.x。最多可以配置 32 个 Trap 服务器地址。 


any | none 

secure_level 

type_name 

any | none 



事件的安全等级列表 , 如 LOG_ALERT, LOG_ERR( 参见表 3,“ 事件安全等级列 

表 ” )。格式为 WORD。 





权限 


V 

V 

模式 


范例 

范例 1. 添加 SNMP Trap 报警策略 ( 要求为 v1 版本 )。当出现 Emergency 和 Alert 报警事 

件时 , 防火墙将以 V1 版本的格式发送给接收端 trap 地址 192.168.1.101。 

NokiaIPSO-VN:root-system]alert-config snmp-trap test v1 192.168.1.101 

level LOG_ALERT,LOG_ERERG type any 


报警命令 

范例 2. 添加 SNMP Trap 报警策略 ( 要求 v1 和 v2c 版本 )。当出现 Emergency 和 Alert 报 

警事件时 , 防火墙将以 v1 版本的格式发送给接收端 trap 地址 192.168.1.199, 以 v2c 版 

本的格式发送给接收端 trap 地址 192.168.1.111。 

NokiaIPSO-VN:root-system]alert-config snmp-trap test v1 192.168.1.199 

v2c 192.168.1.111 level LOG_ALERT,LOG_ERERG type none 

相关命令 

命令名称 

描述信息 

show alert-config snmp-trap 显示 SNMP Trap 报警策略。 

unset alert-config snm-ptrap 删除 SNMP Trap 报警策略。 


alert-config syslog 

alert-config syslog 

使用 alert-config syslog 命令添加 SYSLOG 报警策略。配置成功后 , 防火墙将事 

件发送给指定的 SYSLOG 服务器。 

命令 

alert-config syslog alert_name server ip_address port level {any | none | secure_level} 

{simple | full} type {type_name | any | none} 

语法 

alert_name 

ip_address 

port 


SYSLOG 服务器的 IP 地址 , 格式为 x.x.x.x。 

SYSLOG 服务器的端口 , 格式为 INTEGER。 


any | none 

secure_level 



事件的安全等级列表 , 如 LOG_ALERT, LOG_ERR( 参见表 3,“ 事件 

安全等级列表 ” )。格式为 WORD。 

simple | full 事件输出格式。 

• simple— 部分输出 , 表示部分输出头事件 

• full— 完整输出 , 表示将整条事件完整的输出 , 包括事件头和事件内容 

type_name 

any | none 





说明 

当使用 alert-config syslog 命令时 , 关键字 "full | simple" 的详细输出格式请见如 

下说明 : 

1. 完整输出 (full) 的格式 : 

time+FW+level+mod+evid+rpt+msg 

注释 : 时间 + 主机名称 @Vsys 名称 + 事件等级 + 事件 ID+ 重复次数 + 事件内容 

【举例】 Oct 22 15:28:07 Nokia@root [LOG_DEBUG] nsh[4]:1027 repeat:2 User 

executed command:"show current timezone" vsys0 

2. 部分输出 (simple) 的格式 : 

time+FW+level+mod+evid 

注释 : 时间 + 主机名称 @Vsys 名称 + 事件等级 + 事件 ID 


报警命令 

【举例】 Oct 22 15:28:07 Nokia@root [LOG_DEBUG] nsh[4]:1027 

权限 


V 

V 

模式 


范例 

范例 . 添加 SYSLOG 报警策略 ( 要求为完整输出格式 )。当出现 Critical 和 Error 报警事 

件时 , 防火墙将以完整输出的格式发送给 SYSLOG 服务器 192.168.1.102。 

NokiaIPSO-VN:root-system]alert-config syslog test server 192.168.1.102 

300 level LOG_CRIT,LOG_ERR full type none 

相关命令 

命令名称 

描述信息 

show alert-config syslog 显示 SYSLOG 报警策略。 

unset alert-config syslog 删除 SYSLOG 报警策略。 


show alert-config 

show alert-config 

使用 show alert-config 命令显示报警策略。 

命令 

show alert-config [alert_name] 

语法 

alert_name 


说明 

1. 如果指定 alert_name 参数 , 表示显示指定的报警策略信息 ; 如果不指定 alert_name 参 

数 , 表示显示所有的报警策略。 

2. 在返回结果中 , 用 “0” 代表不记录该等级事件 ,“1” 代表记录该等级事件。 

权限 


V V V V 

模式 

该命令在普通配置模式下使用。 

范例 

范例 . 显示 test 策略的报警策略信息。 

NokiaIPSO-VN:root>show alert-config test 

【返回结果】 

type 

name 

SMTP 

test 

emerg alert critc err warn noti info debug 

0 0 0 0 1 0 0 1 

ServerAddr: smtp.163.com 

Port: 25 

MailSender: test@163.com 

verify: 

true 

Receiver: 

test1@163.com 


报警命令 

Receiver: 

test2@163.com 

相关命令 

命令名称 

描述信息 

show alert-config local-config 显示本地 SYSLOG 报警策略。 

show alert-config email 显示邮件报警策略。 




show alert-config local-syslog 


使用 show alert-config local-syslog 命令显示本地 SYSLOG 报警策略。 

命令 


说明 

在返回结果中 , 用 “0” 代表不记录该等级事件 ,“1” 代表记录该等级事件。 

权限 


V V V V 

模式 


范例 

范例 . 显示本地的 SYSLOG 报警策略。 

NokiaIPSO-VN:root>show alert-config local-syslog 


Type Name emerg alert critc err warn noti 

info debu 

[Local Syslog] internal 1 1 1 1 1 1 1 

1 

相关命令 

命令名称 

描述信息 

alert-config local-syslog 修改本地 SYSLOG 报警策略。 


报警命令 

show alert-config mail 

使用 show alert-config mail 命令显示所有的邮件报警策略。 

命令 

show alert-config mail 

说明 


权限 


V V V V 

模式 


范例 

范例 . 显示所有的邮件报警策略。 

NokiaIPSO-VN:root>show alert-config mail 


Alarm configuration info: 

Type Name emerg alert critc err warn noti info debug 

[SMTP] test 0 0 0 0 1 0 0 1 

[SMTP] test4 0 0 0 0 1 0 0 1 

相关命令 

命令名称 

描述信息 

alert-config mail 添加邮件报警策略。 

unset alert-config mail 删除邮件报警策略。 


show alert-config snmp-trap 


使用 show alert-config snmp-trap 命令显示所有的 SNMP Trap 报警策略。 

命令 


说明 


权限 


V V V V 

模式 


范例 

范例 . 显示所有的 SNMP Trap 报警策略。 

NokiaIPSO-VN:root>show alert-config snmp-trap 




[SNMP Trap] test1 1 1 0 0 0 0 0 0 

[SNMP Trap] vv 0 0 0 0 0 0 0 0 

相关命令 

命令名称 

描述信息 

alert-config snmp-trap 添加 SNMP Trap 报警策略。 

unset alert-config snmp-trap 删除 SNMP Trap 报警策略。 


报警命令 

show alert-config syslog 

使用 show alert-config syslog 命令显示所有的 SYSLOG 报警策略。 

命令 

show alert-config syslog 

说明 


权限 


V V V V 

模式 


范例 

范例 . 显示所有的 SYSLOG 报警策略。 

NokiaIPSO-VN:root>show alert-config syslog 




[Syslog] test2 0 0 0 0 1 1 0 0 

[Syslog] test3 1 1 0 1 0 0 0 0 

相关命令 

命令名称 

描述信息 

alert-config syslog 添加 SYSLOG 报警策略。 



unset alert-config 

unset alert-config 

使用 unset alert-config 命令删除报警策略。 

命令 

unset alert-config [alert_name] 

语法 

alert_name 


说明 

如果指定 alert_name 参数 , 表示删除指定的报警策略。如果不指定 alert_name 参数 , 表 

示删除所有的报警策略。 

权限 


V 

V 

模式 


范例 

范例 . 删除 test 策略的报警策略。 

NokiaIPSO-VN:root-system]unset alert-config test 

相关命令 

命令名称 

描述信息 

unset alert-config email 删除邮件报警策略。 

unset alert-config snmp-trap 删除 SNMP Trap 报警策略。 



报警命令 

unset alert-config mail 

使用 unset alert-config mail 命令删除所有的邮件报警策略。 

命令 

unset alert-config mail 

权限 


V 

V 

模式 


范例 

范例 . 删除所有的邮件报警策略。 

NokiaIPSO-VN:root-system]unset alert-config mail 

相关命令 

命令名称 

描述信息 

alert-config mail 添加邮件报警策略。 

show alert-config mail 显示邮件报警策略。 


unset alert-config snmp-trap 


使用 unset alert-config snmp-trap 命令删除所有的 SNMP Trap 报警信息。 

命令 


权限 


V 

V 

模式 


范例 

范例 . 删除所有的 SNMP Trap 报警策略。 

NokiaIPSO-VN:root-system]unset alert-config snmp-trap 

相关命令 

命令名称 

描述信息 

alert-config snmp-trap 添加 SNMP Trap 报警策略。 



报警命令 

unset alert-config syslog 

使用 unset alert-config syslog 命令删除所有的 SYSLOG 报警策略。 

命令 

unset alert-config syslog 

权限 


V 

V 

模式 


范例 

范例 . 删除所有的 SYSLOG 报警策略。 

NokiaIPSO-VN:root-system]unset alert-config syslog 

相关命令 

命令名称 

描述信息 

alert-config syslog 添加 SYSLOG 报警策略。 



2 ARP 命令 

arp 

使用 arp 命令在特定接口上添加静态或代理 ARP ( 地址解析协议 ) 表项。 

命令 

arp [proxy] {vlan | ethernet | channel } interface_id ip_address mac_address 

语法 

proxy 可选关键字 , 表示添加 ARP 代理类型的表项。 

vlan | ethernet | 

channel 

• vlan—VLAN 接口 

• ethernet— 以太网接口 

• channel— 以太网通道 

interface_id 接口标识。 

1. 如果设置为 vlan 类型 , interface_id 的格式为 INTEGER。 

2. 如果设置为 ethernet 类型 , interface_id 的格式为 WORD。 

3. 如果设置为 channel 类型 , interface_id 的格式为 INTEGER。 

ip_address 

mac_address 

IP 地址 , 格式为 x.x.x.x。 

MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH。 

权限 


V V V V V 

模式 


范例 


ARP 命令 

范例 . 在 VLAN1 下添加静态 ARP 表项 , 指定 IP 地址为 192.168.1.100, MAC 地址为 

00:00:00:00:22:33。 

NokiaIPSO-VN:root-system]arp vlan 1 192.168.1.100 00:00:00:00:22:33 

相关命令 

命令名称 

描述信息 

show arp proxy 显示代理 ARP 表项。 

show arp static 显示静态 ARP 表项。 

unset arp proxy 删除代理 ARP 表项。 

unset arp static 删除静态 ARP 表项。 

unset arp static vlan,ethernet,channel 删除指定接口中的静态 ARP 表项。 


arp timeout 

arp timeout 

使用 arp timeout 命令在指定接口上设置动态 ARP 表项的超时值。 

命令 

arp {vlan | ethernet | channel } interface_id timeout {timeout_value | default} 

语法 


channel 








timeout 表示动态 ARP 表条目的超时时间。 

timeout_value 

超时时间值 , 单位为秒 , 格式为 INTEGER。 

default 缺省值为 14400 秒。 

权限 


V V V V V 

模式 


范例 

范例 . 在 VLAN1 下设置 ARP 表项为默认超时值。 

NokiaIPSO-VN:root-system]arp vlan 1 timeout default 

相关命令 

命令名称 

描述信息 

show arp timeout 显示所有接口的 ARP 表项超时值。 


ARP 命令 

show arp 

使用 show arp 命令显示当前系统所有的 ARP 表项。 

命令 

show arp [{vlan | ethernet | channel } interface_id] 

语法 


channel 








说明 

如果只输入 show arp 命令 , 表示显示所有 ARP 表项 ; 否则 , 表示显示指定接口中的 

ARP 表项。 

权限 


V V V V V 

模式 


范例 

范例 . 显示 VLAN1 下的 ARP 表项。 

NokiaIPSO-VN:root>show arp vlan 1 


IP Address Hardware Address Type State Living_time (s) Interface 

40.1.1.30 00:16:35:74:16:B8 dynamic REACHABLE 16 Vlan1 


show arp 

相关命令 

命令名称 

描述信息 

arp 添加静态或代理 ARP 表项。 




ARP 命令 

show arp dynamic 

使用 show arp dynamic 命令显示动态 ARP 表项。 

命令 

show arp dynamic 

语法 

dynamic 动态 ARP 表项。 

权限 


V V V V V 

模式 


范例 

范例 . 显示当前系统下的动态 ARP 表项。 

NokiaIPSO-VN:root>show arp dynamic 


IP Address Hardware Address Type State Interface 

10.3.1.34 00:1B:78:7F:E0:70 dynamic REACHABLE Vlan10 

10.3.1.32 00:1B:78:7F:DD:02 dynamic REACHABLE Vlan10 

相关命令 

命令名称 

描述信息 

unset arp dynamic 删除动态 ARP 表项。 

unset arp dynamic vlan,ethernet,channel 删除指定接口中的动态 ARP 表项。 


show arp proxy 


使用 show arp proxy 命令显示代理 ARP 表项。 

命令 


语法 

proxy 代理 ARP 表项。 

权限 


V V V V V 

模式 


范例 

范例 . 显示当前系统下的代理 ARP 表项。 

NokiaIPSO-VN:root>show arp proxy 


IP Address Hardware Address Type State Living_time (s) Interface 

40.1.1.254 00:12:11:22:33:EE proxy - - Vlan1 

相关命令 

命令名称 

描述信息 

arp 设置 ARP 表项。 

unset arp proxy 删除所有代理 ARP 表项。 


ARP 命令 

show arp static 

使用 show arp static 命令显示静态 ARP 表项。 

命令 

show arp static 

语法 

static 静态 ARP 表项。 

权限 


V V V V V 

模式 


范例 

范例 . 显示当前系统下的静态 ARP 表项。 

NokiaIPSO-VN:root>show arp static 


IP Address Hardware Address Type State Interface 

10.3.1.34 00:1B:78:7F:E0:70 static REACHABLE Vlan10 

相关命令 

命令名称 

描述信息 





show arp timeout 


使用 show arp timeout 命令显示所有接口的 ARP 表项的超时值。 

命令 


语法 

timeout 表示动态 ARP 表项的超时值。 

权限 


V V V V V 

模式 


范例 

范例 . 显示所有接口的 ARP 表项超时值。 

NokiaIPSO-VN:root>show arp timeout 


Vlan1 14400 s 

Vlan2 14400 s 

Vlan10 14400 s 

相关命令 

命令名称 

描述信息 

arp timeout 添加 ARP 表项的超时值。 


ARP 命令 

unset arp dynamic 

使用 unset arp dynamic 命令删除所有动态 ARP 表项。 

命令 

unset arp dynamic [ip_address] 

语法 


ip_address IP 地址。格式为 x.x.x.x。表示删除指定 IP 地址的动态 ARP 表项。 

说明 

如果指定 ip_address 参数 , 表示删除指定 IP 地址的动态 ARP 表项。 

权限 


V V V V V 

模式 


范例 

范例 . 删除所有动态 ARP 表项。 

NokiaIPSO-VN:root-system]unset arp dynamic 

相关命令 

命令名称 

描述信息 


show arp dynamic 显示动态 ARP 表项。 

unset arp dynamic vlan ,ethernet,channel 删除指定接口中的动态 ARP 表项。 


unset arp dynamic vlan,ethernet,channel 

unset arp dynamic vlan,ethernet,channel 

使用 unset arp dynamic vlan,ethernet,channel 命令删除指定接口中的动态 

ARP 表项。 

命令 

unset arp dynamic {vlan| ethernet |channel} interface_id 

语法 


vlan| ethernet | 

channel 








权限 


V V V V V 

模式 


范例 

范例 . 删除 VLAN1 接口中的动态 ARP 表项。 

NokiaIPSO-VN:root-system]unset arp dynamic vlan 1 

相关命令 

命令名称 

描述信息 


show arp dynamic 显示动态 ARP 表项。 


ARP 命令 

unset arp proxy 

使用 unset arp proxy 命令删除所有代理 ARP 表项。 

命令 

unset arp proxy [ip_address] 

语法 


ip_address IP 地址。格式为 x.x.x.x。表示删除指定 IP 地址的代理 ARP 表项。 

说明 

如果选择 ip_address 参数 , 表示删除指定 IP 地址的代理 ARP 表项。 

权限 


V V V V V 

模式 


范例 

范例 . 删除所有代理 ARP 表项。 

NokiaIPSO-VN:root-system]unset arp proxy 

相关命令 

命令名称 

描述信息 




unset arp proxy vlan,ethernet,channel 

unset arp proxy vlan,ethernet,channel 

使用 unset arp dynamic vlan,ethernet,channel 命令删除指定接口中的代理 

ARP 表项。 

命令 

unset arp proxy {vlan| ethernet |channel} interface_id 

语法 


vlan| ethernet | 

channel 








权限 


V V V V V 

模式 


范例 

范例 . 删除 VLAN1 接口中的代理 ARP 表项。 

NokiaIPSO-VN:root-system]unset arp proxy vlan 1 

相关命令 

命令名称 

描述信息 




ARP 命令 

unset arp static 

使用 unset arp static 命令删除所有静态 ARP 表项。 

命令 

unset arp static [ip_address] 

语法 


ip_address IP 地址。格式为 x.x.x.x。表示删除指定 IP 地址的静态 ARP 表项。 

说明 

如果选择 ip_address 参数 , 表示删除指定 IP 地址的静态 ARP 表项。 

权限 


V V V V V 

模式 


范例 

范例 . 删除所有静态 ARP 表项。 

NokiaIPSO-VN:root-system]unset arp static 

相关命令 

命令名称 

描述信息 



unset arp static vlan,ethernet, channel 删除指定接口中的动态 ARP 表项。 


unset arp static vlan,ethernet,channel 

unset arp static vlan,ethernet,channel 

使用 unset arp static channel,ethernet,vlan 命令删除指定接口中的静态 

ARP 表项。 

命令 

unset arp static {vlan | ethernet | channel} interface_id 

语法 


vlan| ethernet 

|channel 








权限 


V V V V V 

模式 


范例 

范例 . 删除 VLAN1 接口中的静态 ARP 表项。 

NokiaIPSO-VN:root-system]unset arp static vlan 1 

相关命令 

命令名称 

描述信息 




ARP 命令 


3 攻击防御命令 

attack-defense 

使用 attack-defense 命令在指定安全域内设置特定攻击类型的防御。配置成功后 , 

当受到特定类型的攻击时 , 可以发送报警事件或者丢弃攻击数据包。 

关于攻击类型的介绍 , 请参见用户指南的《攻击防御》章节。 

命令 

attack-defense zone_name attack_type active {on {alert [drop] | drop [alert]} | off [alert 

[drop] | drop [alert]]} 

语法 

zone_name 

安全域名称 , 格式为 WORD。 

attack_type 攻击类型 , 设置个数为 1, 可以设置为 : 

icmp-flood ; tcp-syn-flood ; udp-flood ; tcp-rst-scan ; 

winnuke ; land ; smurf ; tcp-fin-scan ; tcp-xmas-scan ; 

tcp-null-scan ; tcp-syn-port-scan ; ip-address-sweep ; 

ip-record-route-option ; ip-timestamp-option ; 

ip-loose-source-option ; ip-strict-source-option ; 

ip-traceRoute-option ; ip-other-option。 

on | off 

alert | drop 

• on— 启用特定攻击类型的防御 

• off— 禁用特定攻击类型的防御 

• alert— 发送报警事件 

• drop— 丢弃攻击数据包 

说明 

1. 攻击防御是在添加安全域时自动添加的 , 特定的攻击类型有其对应的缺省动作。 

2. active 为 off 时 , 可以不指定动作 , 此时使用特定攻击类型的缺省动作。 


攻击防御命令 

权限 


V 

V 

模式 


范例 

范例 . 在安全域 zone_test 内设置 TCP SYN 端口扫描防御。当受到 TCP SYN 端口扫描 

时 , 发送报警事件并丢弃攻击数据包。 

NokiaIPSO-VN:root-system]attack-defense zone_test tcp-syn-port-scan 

active on alert drop 

相关命令 

命令名称 

描述信息 

show attack-defense 查看指定安全域内攻击防御的各项设置。 


attack-defense tcp-syn-cookie 

attack-defense tcp-syn-cookie 

使用 attack-defense tcp-syn-cookie 命令在指定安全域内启用或者禁用 SYN 

Cookie 防御。启用该功能后 , 进行 SYN 代理功能 , 屏蔽非法的 SYN 连接请求。 

关于 SYN Cookie 的介绍 , 请参见用户指南的《攻击防御》章节。 

命令 

attack-defense zone_name tcp-syn-cookie active {on | off} 

语法 

zone_name 

on | off 


• on— 启用 SYN Cookie 防御 

• off— 禁用 SYN Cookie 防御 

权限 


V 

V 

模式 


范例 

范例 . 在安全域 zone_test 内启用 SYN Cookie 防御。 

NokiaIPSO-VN:root-system]attack-defense zone_test tcp-syn-cookie active 

on 

相关命令 

命令名称 

描述信息 




attack-defense threshold 

使用 attack-defense threshold 命令在指定安全域内设置 icmp-flood、 tcp-synflood、 

udp-flood、 ip-address-sweep 或 tcp-syn-port-scan 防御的阈值。 

命令 

attack-defense zone_name {{icmp-flood | tcp-syn-flood | udp-flood} threshold 

threshold_flood | ip-address-sweep threshold threshold_sweep | tcp-syn-port-scan threshold 

threshold_scan} 

语法 

zone_name 


threshold 阈值 , 该值可以是数据包的个数 , 也可以是单位时间值。 

threshold_flood 

每秒允许通过的数据包个数 , 单位为个 / 秒 , 格式为 INTEGER 

, icmp-flood 阈值缺省为 1000, tcp-syn-flood 阈值 

缺省为 10000, udp-flood 阈值缺省为 1000。 

threshold_sweep IP 地址扫描检测的时间间隔 , 单位为毫秒 , 该时间间隔必须为 100 

毫秒的倍数 , 格式为 INTEGER, 缺省值为 100。 

threshold_scan 

TCP SYN 端口扫描检测的时间间隔 , 单位为秒 , 格式为 

INTEGER, 缺省值为 1。 

权限 


V 

V 

模式 


范例 

范例 . 在安全域 zone_test 内设置 udp-flood 防御 , 并指定每秒允许 2000 个数据包通过。 

NokiaIPSO-VN:root-system]attack-defense zone_test udp-flood threshold 

2000 

相关命令 

命令名称 

描述信息 



policy session-flood 

policy session-flood 

使用 policy session-flood 命令添加指定协议类型的会话表泛滥保护策略。配置成 

功后 , 如果符合此策略的会话数达到了指定的阈值 , 则不允许再建立新的会话。 

命令 

policy session-flood policy_name {src_zone | any} {dst_zone | any} {sip_list | any} {dip_list | 

any} {any | icmp {icmp_type | any} | other {protocol_num | protocol_range | any} | {tcp | 

udp} {port_num | port_range | any}} threshold_value type {srcip | dstip | policy} {enable | 

disable} {alert [drop] | drop [alert]} 

语法 

policy_name 


src_zone 源安全域名称 , 格式为 WORD。 any 代表任意安全域。 

dst_zone 目的安全域名称 , 格式为 WORD。 any 代表任意安全域。 

sip_list 

dip_list 

源 IP 地址列表 , 格式为 IPV4LIST。 

目的 IP 地址列表 , 格式为 IPV4LIST。 

icmp_type ICMP 的协议类型 , 设置个数为 1, 可以设置为 : 

ECHO_and_ECHOREPLY ; 

INFO_REQUEST_and_INFO_REPLY ; 

TIMESTAMP_and_TIMESTAMPREPLY ; 

ADDRESS_and_ADDRESSREPLY ; 

any 代表上述协议类型中任意一种。 

other 除 TCP、 UDP 和 ICMP 之外的协议。 

protocol_num 

protocol_range 

other 类型协议的协议号 , 格式为 INTEGER。 any 代表任 

意协议号。 

other 类型协议的协议号范围 , 格式为 LIMIT。 

port_num 端口号 , 格式为 INTEGER。 any 代表任意端口号。 

port_range 

threshold_value 

srcip | dstip | 

policy 

enable | disable 

端口号范围 , 格式为 LIMIT。 

阈值 , 表示并发会话的最大数目 , 格式为 INTEGER 

。 

• srcip— 限制来自相同源 IP 地址的并发会话数目 

• dstip— 限制来自相同目的 IP 地址的并发会话数目 

• policy— 同时限制来自相同源 IP 地址和目的 IP 地址的并发会话数 

目 

• enable— 启用该策略 

• disable— 禁用该策略 



alert | drop 

• alert— 发送报警事件 

• drop— 丢弃攻击数据包 

权限 


V V V V V 

模式 


范例 

范例 . 添加协议类型为 DDP ( 数据报传送协议 , 其对应的协议号为 37) 的会话表泛滥 

保护策略 test, 如果源安全域 szone 中源 IP 地址列表为 192.168.1.126-192.168.1.134 和目 

的安全域 dzone 中目的 IP 地址为 192.168.1.154-192.168.1.188 的会话数超过 50000000, 

则不允许再建立新的会话 , 并发送报警事件。 

NokiaIPSO-VN:root-system]policy session-flood test szone dzone 

192.168.1.126-192.168.1.134 192.168.1.154-192.168.1.188 other 37 

50000000 type policy enable alert 

相关命令 

命令名称 

show policy 

session-flood 

描述信息 

查看会话表泛滥保护策略。 


policy session-flood enable,disable 

policy session-flood enable,disable 

使用 policy session-flood enable,disable 命令启用或者禁用指定的会话表泛 

滥保护策略。 

命令 

policy session-flood policy_name {enable | disable} 

语法 

policy_name 



• enable— 启用指定的策略 

• disable— 禁用指定的策略 

权限 


V 

V 

模式 


范例 

范例 . 禁用会话表泛滥保护策略 test。 

NokiaIPSO-VN:root-system]policy session-flood test disable 

相关命令 

命令名称 

show policy sessionflood 

描述信息 




policy session-flood protocol 

使用 policy session-flood protocol 命令为指定的会话表泛滥保护策略追加特 

定类型的协议。 

命令 

policy session-flood policy_name protocol {icmp {icmp_type | any} | other {protocol_num | 

protocol_range} | {tcp | udp} {port_num | port_range}} 

语法 

policy_name 


icmp_type ICMP 的协议类型 , 设置个数为 1, 可以设置为 : 







protocol_num 


port_num 

port_range 

other 类型协议的协议号 , 格式为 INTEGER。 


端口号 , 格式为 INTEGER。 


权限 


V 

V 

模式 


范例 

范例 . 为会话表泛滥保护策略 test 追加 DDP 协议。 

NokiaIPSO-VN:root-system]policy session-flood test protocol other 37 


policy session-flood protocol 

相关命令 

命令名称 

show policy sessionflood 

描述信息 




show attack-defense 

使用 show attack-defense 命令查看指定安全域内攻击防御的各项设置。 

命令 

show attack-defense zone_name [dos-attack-defense | reconnaissance-defense | ip-packetfragments 

| ip-options] 

语法 

zone_name 

dos-attack-defense | 

reconnaissance-defense | 

ip-packet-fragments | ipoptions 


• dos-attack-defense— 拒绝服务攻击防御 

• reconnaissance-defense— 攻击探测防御 

• ip-packet-fragments—IP 碎片数据包攻击 

• ip-options—IP 选项数据包攻击 

说明 

如果不指定 dos-attack-defense、 reconnaissance-defense、ip-packet-fragments 或 ipoptions 

关键字 , 则查看指定安全域内所有攻击防御的各项设置。 

权限 


V V V V V 

模式 


范例 

范例 . 查看安全域 zoneA 内所有攻击防御的各项设置。 

NokiaIPSO-VN:root>show attack-defense zoneA 


Attack Defense Configuration: 

Zone: zoneA 

DoS Attack Defense 

Name Active Threshold Action 


show attack-defense 

ICMP Flood Enable 1000 Alert,Drop 

TCP SYN Flood Enable 10000 Alert,Drop 

UDP Flood Enable 1000 Alert,Drop 

TCP RST Scan 

Disable 

Winnuke Enable Alert,Drop 

Land Enable Alert,Drop 

SMURF Enable Alert,Drop 

TCP SYN Cookie 

Disable 

Ping of Death Enable Drop 

Teardrop Enable Drop 

Reconnaissance Defense 


TCP FIN Scan Enable Alert,Drop 

TCP XMAS Scan Enable Alert,Drop 

TCP NULL Scan Enable Alert,Drop 

TCP SYN Port Scan Enable 1 Alert,Drop 

IP Address Sweep Enable 100 Alert,Drop 

TCP SYN and FIN Flags Set Enable Drop 



TCP FIN Flag Without ACK Flag Enable Drop 

Non-SYN Flags Enable Drop 

IP Packet Fragments 


IP Packet Fragmentation 

Enable 

IP Packet Reassembly 

Enable 

IP Options 


IP Record Route Option Enable Drop 

IP Timestamp Option Enable Drop 

IP Loose Source Route Option Enable Drop 

IP Strict Source Route Option Enable Drop 

IP TraceRoute Option Enable Drop 

IP Other Option Enable Drop 

相关命令 

命令名称 

描述信息 

attack-defense 在指定安全域内启用或者禁用特定攻击类型的防御。 


show policy session-flood 

show policy session-flood 

使用 show policy session-flood 命令查看会话表泛滥保护策略。 

命令 

show policy session-flood [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name 参数 , 则显示所有的会话表泛滥保护策略。 

权限 


V V V V V 

模式 


范例 

范例 . 显示所有的会话表泛滥保护策略。 

NokiaIPSO-VN:root>show policy session-flood 


Session-limit policy : 

Name Szone Dzone Sip Dip Proto Port Type Threshold Action 

test Any Any Any Any Any Any Policy 100 All 

相关命令 

命令名称 

policy sessionflood 

描述信息 

添加指定协议类型的会话表泛滥保护策略。 



unset policy session-flood 

使用 unset policy session-flood 命令删除会话表泛滥保护策略。 

命令 

unset policy session-flood [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name 参数 , 则删除所有的会话表泛滥保护策略。 

权限 


V V V V V 

模式 


范例 

范例 . 删除会话表泛滥保护策略 test。 

NokiaIPSO-VN:root-system]unset policy session-flood test 

相关命令 

命令名称 

show policy 

session-flood 

描述信息 



unset policy session-flood protocol 

unset policy session-flood protocol 

使用 unset policy session-flood protocol 命令将指定会话表泛滥保护策略的 

协议类型设置为任意类型。 

命令 

unset policy session-flood policy_name protocol 

语法 

policy_name 


权限 


V V V V V 

模式 


范例 

范例 . 将会话表泛滥保护策略 test 的协议类型设置为任意类型。 

NokiaIPSO-VN:root-system]unset policy session-flood test protocol 

相关命令 

命令名称 

show policy 

session-flood 

描述信息 





4 AUX 接口命令 

aux com2 enable,disable 

使用 aux com2 enable,disable 命令启用或禁用 AUX。在启用状态下 , 可以通过 

电话拨号访问防火墙。 

命令 

aux com2 {enable | disable} 

语法 

aux AUX (Auxiliary) 表示辅助设备。 


• enable— 启用 AUX 

• disable— 禁用 AUX 

缺省设置为 disable 

权限 


V 

模式 


范例 

范例 . 启用 AUX, 通过电话拨号访问防火墙。 

NokiaIPSO-VN:root-system]aux enable 


AUX 接口命令 

相关命令 

命令名称 

描述信息 

show aux 显示 AUX 的相关信息。 

aux com2 poll-interval 修改 AUX 状态检测周期。 


aux com2 poll-interval 

aux com2 poll-interval 

使用 aux com2 poll-interval 修改 AUX 状态检测周期。 

命令 

aux com2 poll-interval time_scope 

语法 


poll-interval 设置 AUX 状态检测周期。 

time_scope AUX 状态检测周期。格式为 INTEGER, 默认值为 “0”。 

权限 


V 

模式 


范例 

范例 . 修改 AUX 状态检测周期为 100 秒。 

NokiaIPSO-VN:root-system]aux com2 poll-interval 100 

相关命令 

命令名称 

描述信息 

show aux 显示 AUX 的相关信息。 


启用或禁用 AUX。 



service root-net-login enable,disable 

使用 service root-net-login enable,disable 修改 Root 用户远程访问控制状 

态。 

命令 

service root-net-login {enable | disable} 

语法 

root-net-login 设置 Root 用户远程访问控制状态。 


• enable— 允许 Root 用户远程访问防火墙 

• disable— 禁止 Root 用户远程访问防火墙 

缺省设置为 enable 

权限 


V 

模式 


范例 

范例 . 允许 Root 用户远程访问防火墙。 

NokiaIPSO-VN:root-system]service root-net-login enable 

相关命令 

命令名称 

描述信息 

show root-net-login 显示 Root 用户远程访问控制状态信息。 


service telnet,ssh,web port 

service telnet,ssh,web port 

使用 service telnet,ssh,web port 修改服务器的端口号。 

命令 

service {telnet | ssh | web} port num 

语法 

telnet | ssh | web 

num 

• telnet— Telnet 服务 

缺省设置为 23 

• ssh— SSH 服务 


• web— Web 服务 


服务器端口号 , 格式为 INTEGER。 

权限 


V 

模式 


范例 

范例 . 修改 Web 服务器端口号为 500。 

NokiaIPSO-VN:root-system]service web port 500 

相关命令 

命令名称 

描述信息 

show service port 显示服务配置。 



show aux 

使用 show aux 命令显示 AUX 的相关信息。 

命令 

show aux 

语法 


权限 


V V V 

模式 


范例 

范例 . 显示 AUX 的相关信息。 

NokiaIPSO-VN:root>show aux 


AUX service: disable 

Modem: Not detected 

Status poll: disabled 

相关命令 

命令名称 


描述信息 

启用或禁用 AUX。 

aux com2 poll-interval 修改 AUX 状态检测周期。 


show root-net-login 


使用 show root-net-login 显示 Root 用户远程访问控制状态信息。 

命令 


语法 

root-net-login 设置 Root 用户远程访问控制状态。 

权限 


V V V 

模式 


范例 

范例 . 显示 Root 用户远程访问控制状态信息。 

NokiaIPSO-VN:root>show root-net-login 


root net login: enable 

相关命令 

命令名称 

描述信息 

service root-net-login enable,disable 修改 Root 用户远程访问控制状态。 



show service port 

使用 show service port 命令显示服务配置。 

命令 


权限 


V V V V V 

模式 


范例 

范例 . 显示服务配置。 

NokiaIPSO-VN:root>show service port 


Telnet port: 23 

SSH port: 22 

Web port: 443 

相关命令 

命令名称 

描述信息 

service telnet, ssh,web port 修改服务器端口号。 


5 备份恢复命令 

backup 

使用 backup 命令备份防火墙系统的配置文件。 

命令 

backup [entire-unit] file_name 

语法 

file_name 

备份文件名称 , 格式为 WORD。 

说明 

1. 指定 entire-unit 关键字 , 表示备份整个防火墙的配置文件 , 此时只有根系统管理员拥 

有该命令的操作权限 ; 不指定 entire-unit 关键字 , 表示备份管理员登录的防火墙的 

配置文件 , 此时根系统和 Vsys 管理员都拥有该命令的操作权限。 

2. 备份文件首先保存在防火墙本地存储介质上 , 然后可以通过 CLI、WebUI 传送到远端 

设备上存储。 

3. 每个虚拟系统最多可以保存 5 个备份文件。 

权限 


V 

V 

模式 


范例 

范例 . 备份整个防火墙的配置文件 , 备份文件名为 file。 

NokiaIPSO-VN:root-system]backup entire-unit file 


备份恢复命令 

相关命令 

命令名称 

描述信息 

copy backup 下载防火墙的备份文件。 

delete backup 删除防火墙的备份文件。 

restore from 通过远端设备上的备份文件恢复防火墙。 

show backup 显示防火墙的备份文件。 


copy backup 

copy backup 

使用 copy backup 命令下载防火墙的备份文件。 

命令 

copy backup [entire-unit] file_name to {x/zmodem | tftp ip_address file_name} 

语法 

file_name 

x/zmodem 

tftp 

ip_address 

文件名称 , 格式为 WORD。 

异步文件传输协议 , xmodem 或 zmodem 由系统自动选择。表示 

使用 x/zmodem 协议下载防火墙的备份文件。 

简单文件传输协议。表示使用 TFTP 服务器下载防火墙的备份文 

件。 

tftp 服务器的 IP 地址 , 格式为 IPV4LIST。 

说明 

指定 entire-unit 关键字 , 表示下载整个防火墙的备份文件 ; 不指定 entire-unit 关键字 , 

表示下载管理员登录的防火墙的备份文件。 

权限 


V 

V 

模式 


范例 

范例 . 使用 TFTP 服务器下载管理员登录的防火墙的备份文件 file1, TFTP 服务器的 IP 

地址为 192.168.1.150, 保存文件名为 file2。 

NokiaIPSO-VN:root-system]copy backup file1 to tftp 192.168.1.150 file2 

相关命令 

命令名称 

描述信息 

backup 备份防火墙的配置文件。 

restore from 通过远端设备上的备份文件恢复防火墙。 



copy backup internal 

使用 copy backup internal 命令将防火墙本地的备份文件复制到指定的存储介质 

上。 

命令 

copy backup [entire-unit] internal file_name to {internal | pc-card} file_name 

语法 

internal | pc-card 

file_name 

• internal— 本地存储介质 

• pc-card—PC 卡 


说明 

指定 entire-unit 关键字 , 表示复制整个防火墙的配置文件 ; 不指定 entire-unit 关键字 , 

表示复制管理员登录的防火墙的配置文件。 

权限 


V 

V 

模式 


范例 

范例 . 复制管理员登录的防火墙的备份文件 file1 到 PC 卡上 , 保存文件名为 file2。 

NokiaIPSO-VN:root-system]copy backup internal file1 to pc file2 

相关命令 

命令名称 

描述信息 

restore from internal 通过本地备份文件恢复防火墙。 


delete backup 

delete backup 

使用 delete backup 命令删除防火墙的备份文件。 

命令 

delete backup [entire-unit] {internal | pc-card} file_name 

语法 


file_name 




说明 

指定 entire-unit 关键字 , 表示删除整个防火墙的备份文件 , 此时只有根系统管理员拥有 

该命令的操作权限 ; 不指定 entire-unit 关键字 , 表示删除管理员登录的防火墙的备份文 

件 , 此时根系统和 Vsys 管理员都拥有该命令的操作权限。 

权限 


V 

V 

模式 


范例 

范例 . 删除本地存储介质上的整个防火墙的备份文件 file1。 

NokiaIPSO-VN:root-system]delete backup entire-unit internal file1 

相关命令 

命令名称 

描述信息 


show backup 显示防火墙的备份文件。 



restore from 

使用 restore from 命令通过远端设备上的备份文件来恢复防火墙。 

命令 

restore from {x/zmodem | tftp ip_address file_name} 

语法 

x/zmodem 

tftp 

ip_address 

file_name 

异步文件传输协议 , xmodem 或 zmodem 由系统自动选择。表示使用 

x/zmodem 协议 , 通过用户工作站上的备份文件远程恢复防火墙。 

简单文件传输协议。表示使用 TFTP 服务器上的备份文件恢复防火 

墙。 

tftp 服务器的 IP 地址 , 格式为 IPV4LIST。 


说明 

1. 恢复 Root 系统的配置时 , 需要重启防火墙。 

2. 恢复其它 Vsys 系统的配置时 , 不需要重启防火墙。 

权限 


V 

V 

模式 


范例 

范例 . 通过 IP 地址为 192.168.1.220 的 TFTP 服务器上的备份文件 file1 恢复防火墙。 

NokiaIPSO-VN:root-system]restore from tftp 192.168.1.220 file1 

相关命令 

命令名称 

描述信息 

copy backup 下载防火墙的备份文件。 


estore from internal 

restore from internal 

使用 restore from internal 命令通过防火墙本地的备份文件来恢复防火墙。 

命令 

restore from internal [entire-unit] file_name 

语法 

file_name 


说明 

1. 指定 entire-unit 关键字 , 表示通过整个防火墙的备份文件来恢复防火墙 ; 不指定 

entire-unit 关键字 , 表示通过 Vsys 备份文件来恢复防火墙。 

2. 恢复 Root 系统的配置时 , 需要重启防火墙。 

3. 恢复其它 Vsys 系统的配置时 , 不需要重启防火墙。 

权限 


V 

V 

模式 


范例 

范例 . 通过本地文件 file1 恢复防火墙 , 该文件是整个防火墙的备份文件。 

NokiaIPSO-VN:root-system]restore from internal entire-unit file1 

相关命令 

命令名称 

描述信息 


copy backup internal 复制防火墙的备份文件。 



show backup 

使用 show backup 命令显示防火墙的备份文件。 

命令 

show backup [entire-unit] 

说明 

指定 entire-unit 关键字 , 表示显示整个防火墙的备份文件 , 此时只有根系统管理员和根 

系统审计员拥有该命令的操作权限 ; 不指定 entire-unit 关键字 , 表示显示管理员登录的 

防火墙的备份文件 , 此时根系统和 Vsys 的管理员和审计员都拥有该命令的操作权限。 

权限 


V V V V 

模式 


范例 

范例 . 显示整个防火墙的备份文件。 

NokiaIPSO-VN:root>show backup entire-unit 


global_bak.tgz 

相关命令 

命令名称 

描述信息 


delete backup 删除防火墙的备份文件。 


6 CAM 命令 

cam-table 

使用 cam-table 命令给指定 VLAN 下的 CAM ( 连接表 ) 表添加静态条目。配置成功 

后 , 防火墙通过匹配数据包的目的 MAC 地址和 CAM 表的 MAC 地址 , 找到对应的二层 

接口发送数据包。 

命令 

cam-table vlan vlan_id {channel | ethernet} interface_id mac_address 

语法 

vlan-id 

channel | ethernet 

interface_id 

mac_address 

VLAN ID, 格式为 INTEGER。 



接口必须配置为二层 Access 模式。 

接口标识。格式为 WORD。 


权限 


V 

V 

模式 


范例 

范例 . 这 VLAN1 添加 CAM 表静态条目 , 指定目的 MAC 地址为 00:00:00:00:22:33, 对 

应转发接口为 ethernet 1。 

NokiaIPSO-VN:root-system]cam-table vlan 1 ethernet 1 00:00:00:00:22:33 


CAM 命令 

相关命令 

命令名称 

描述信息 

show cam-table 显示所有 CAM 表。 

unset cam-table static 删除静态 CAM 表条目。 


cam-table timeout 

cam-table timeout 

使用 cam-table timeout 命令 , 设置 CAM 表中动态 CAM 表条目的超时时间。系统 

缺省默认值为 4860 秒。 

命令 

cam-table timeout [{vlan | ethernet | channel} interface_id ] {timeout_value | default} 

语法 

timeout 表示动态 CAM 表条目的超时时间。 


channel 

interface_id 

timeout_value 




接口标识 , 格式为 WORD。 

超时时间值 , 以秒为单位。格式为 INTEGER。 

default 缺省值为 4860 秒。 

说明 

1. 动态 CAM 表条目超时后会被自动删除 ; 静态 CAM 表条目不会因为超时而被删除 , 但 

可以手动删除。 

权限 


V 

V 

模式 


范例 

范例 . 设置 VLAN1 下的动态 CAM 表条目的超时时间为 5000 秒。 

NokiaIPSO-VN:root-system]cam-table timeout vlan 1 5000 

相关命令 

命令名称 

描述信息 

show cam-table timeout 显示动态 CAM 表条目的超时时间。 


CAM 命令 

show cam-table 

使用 show cam-table 命令显示所有接口的 CAM 表条目信息。 

命令 

show cam-table [{vlan | ethernet | channel} interface_id ] 

语法 


channel 

interface_id 





权限 


V V V V V 

模式 


范例 

范例 . 显示所有 CAM 表的条目。 

NokiaIPSO-VN:root>show cam-table 


Dynamic Address Count: 36 

Static Address (User-defined) Count: 0 

System Self Address Count: 1 

Multicast Address Count: 0 

Total MAC addresses: 37 

Maximum MAC addresses: 16384 

Non-static Address Table: 

Destination Address Address Type Layer3 inf Destination Port Timeout (s) 

---------------------------------------------------------------------------------------------- 

0019.bb60.005f dynamic vlan1 eth1 4860 

001b.78b6.1f9a dynamic vlan1 eth1 4250 


show cam-table 

相关命令 

命令名称 

描述信息 

cam-table 添加静态 CAM 表条目。 


CAM 命令 

show cam-table timeout 

使用 show cam-table timeout 命令显示动态 CAM 表条目在所有接口下的超时时 

间。 

命令 

show cam-table timeout 

语法 

timeout 表示动态 CAM 表条目的超时时间。 

权限 


V V V V V 

模式 


范例 

范例 . 显示动态 CAM 表条目的超时时间。 

NokiaIPSO-VN:root>show cam-table timeout 


Vlan10 4860 s 

相关命令 

命令名称 

描述信息 

cam-table timeout 设置动态 CAM 表条目的超时时间。 


unset cam-table dynamic 

unset cam-table dynamic 

使用 unset cam-table dynamic 命令删除动态 CAM 表条目。 

命令 

unset cam-table dynamic [{vlan | ethernet | channel} interface_id] 

语法 

dynamic 表示动态 CAM 表。 


channel 

interface_id 





说明 

如果只选择 unset cam-table dynamic 命令 , 表示删除所有动态 CAM 表条目。 

权限 


V 

V 

模式 


范例 

范例 . 删除所有动态 CAM 表条目。 

NokiaIPSO-VN:root-system]unset cam-table dynamic 

相关命令 

命令名称 

描述信息 


show cam-table 显示 CAM 表。 


CAM 命令 

unset cam-table static 

使用 unset cam-table static 命令删除静态 CAM 表条目。 

命令 

unset cam-table static vlan interface_id [mac_address] 

语法 

static 表示静态 CAM 表。 

interface_id 

mac_address 

表示以太网通道或接口标识。格式为 INTEGER。 


说明 

1. 如果不选择 mac_address 参数 , 表示删除所有静态 CAM 表条目。 

2. 使用此命令时 , 防火墙必须至少指定一个三层接口。 

权限 


V 

V 

模式 


范例 

范例 . 删除 VLAN1 下的静态 CAM 表条目。 

NokiaIPSO-VN:root-system]unset cam-table static vlan 1 

相关命令 

命令名称 

描述信息 


show cam-table 显示 CAM 表。 


7 配置文件命令 

copy config internal 

使用 copy config internal 命令导出防火墙系统的配置文件。 

命令 

copy config internal file_name to {tftp ip_address | x/zmodem} 

语法 

file_name 


tftp 简单文件传输协议。表示导出防火墙的备份文件到 TFTP 服务器。 

ip_address 

x/zmodem 

TFTP 服务器的 IP 地址 , 格式为 IPV4LIST。 


x/zmodem 协议导出防火墙的备份文件。 

权限 


V 

V 

模式 


范例 

范例 . 使用 x/zmodem 协议导出防火墙的配置文件 file1。 

NokiaIPSO-VN:root-system]copy config internal file1 to x/zmodem 


配置文件命令 

相关命令 

命令名称 

描述信息 

improt config from tftp 使用 TFTP 服务器导入配置文件。 

improt config from 

x/zmodem 

使用 x/zmodem 协议导入配置文件。 

save config 保存配置。 


copy config internal to active 

copy config internal to active 

使用 copy config internal to active 命令将指定的配置文件设置为防火墙系统 

的启动文件。配置成功后 , 当启动防火墙时 , 自动运行该文件。 

命令 

copy config internal file_name to active 

语法 

file_name 


权限 


V 

V 

模式 


范例 

范例 . 设置配置文件 file1 为防火墙系统的启动文件。 

NokiaIPSO-VN:root-system]copy config internal file1 to active 

相关命令 

命令名称 

描述信息 




copy config to 

使用 copy config to 命令将指定的配置文件的内容复制到指定的文件中。 

命令 

copy config {internal | pc-card} file_name to {internal | pc-card} file_name 

语法 


file_name 




权限 


V 

V 

模式 


范例 

范例 . 复制配置文件 file1 的内容到文件 file2 中 , file1 存储在本地存储介质上 , file2 存 

储在 PC 卡上。 

NokiaIPSO-VN:root-system]copy config internal file1 to pc-card file2 

相关命令 

命令名称 

描述信息 



delete config 

delete config 

使用 delete config 命令删除指定的配置文件。 

命令 

delete config {internal | pc-card} file_name 

语法 


file_name 



要删除的文件名称 , 格式为 WORD。 

权限 


V 

V 

模式 


范例 

范例 . 删除 PC 卡上的配置文件 file1。 

NokiaIPSO-VN:root-system]delete config pc-card file1 

相关命令 

命令名称 

描述信息 


show config 显示防火墙系统的配置信息。 

show config default 显示默认的防火墙配置信息。 



import config from tftp 

使用 import config from tftp 命令通过 TFTP 服务器导入防火墙的配置文件。 

命令 

import config file_name from tftp ip_address 

语法 

file_name 


tftp 简单文件传输协议。表示从 TFTP 服务器导入防火墙的配置文件。 

ip_address 

TFTP 服务器的 IP 地址 , 格式为 IPV4LIST。 

权限 


V 

V 

模式 


范例 

范例 . 使用 TFTP 服务器导入防火墙的配置文件 file1,TFTP 服务器的 IP 地址为 

192.168.1.123。 

NokiaIPSO-VN:root-system]import config file1 from tftp 192.168.1.123 

相关命令 

命令名称 

描述信息 

copy config internal 导出防火墙的配置文件。 


import config from x/zmodem 


使用 import config from x/zmodem 命令通过 x/zmodem 协议导入防火墙的配置文 

件。 

命令 


语法 

x/zmodem 


x/zmodem 协议导入防火墙的备份文件。 

权限 


V 

V 

模式 


范例 

范例 . 使用 x/zmodem 协议导入防火墙的配置文件。 

NokiaIPSO-VN:root-system]import config from x/zmodem 

相关命令 

命令名称 

描述信息 




load config 

使用 load config 命令加载指定的配置文件。 

命令 

load config {internal | pc-card} file_name 

语法 


file_name 




权限 


V 

V 

模式 


范例 

范例 . 加载本地存储介质上的配置文件 file1。 

NokiaIPSO-VN:root-system]load config internal file1 

相关命令 

命令名称 

描述信息 



save config 

save config 

使用 save config 命令保存防火墙系统的当前配置信息。 

命令 

save config [file_name] 

语法 

file_name 


说明 

指定 file_name 参数 , 表示将系统当前的配置保存到指定的文件中 ; 不指定 file_name 参 

数 , 表示将系统当前的配置保存到默认的文件中。 

权限 


V 

V 

模式 


范例 

范例 . 保存系统当前的配置信息到默认的文件中。 

NokiaIPSO-VN:root>save config 

相关命令 

命令名称 

描述信息 


copy config internal to 

active 

设置防火墙的启动文件。 

copy config to 复制指定的配置文件。 

delete config 删除配置文件。 

load config 加载配置文件。 



show config 

使用 show config 命令显示防火墙系统的配置信息。 

命令 

show config [ file_name] 

语法 

file_name 


说明 

不指定 file_name 参数 , 表示显示所以的配置文件列表。 

权限 


V V V V 

模式 


范例 

范例 . 显示防火墙所有的配置文件列表。 

NokiaIPSO-VN:root>show config 


ne_def.cfg * 

相关命令 

命令名称 

描述信息 



show config default 


使用 show config default 命令显示默认的防火墙配置信息。 

命令 


权限 


V V V V 

模式 


范例 

范例 . 显示默认的防火墙配置信息。 

NokiaIPSO-VN:root>show config default 


# 

user test administrator password cipher 

098f6bcd4621d37356cade4e832627b4f65e5b 

user a administrator password cipher 

0cc175b9c0f1b6a85131c399e2697726610955 

password cipher 0c23a8bf29a191f10b8aee814737e2a6ec510c 

# 

hostname IP391 

banner vty Nokia IPSO 

banner console Nokia IPSO 

console timeout 100 

telnet timeout 100 

# 

language Chinese 

# 

timezone Hong_Kong 

# 

channel 1 

# 



interface ethernet s2p1 

# 


port access vlan 10 

# 

--More-- 

相关命令 

命令名称 

描述信息 



show current-config 


使用 show current-config 命令显示当前正在运行的防火墙系统的配置文件。 

命令 


权限 


V V V V 

模式 


范例 

范例 . 显示防火墙系统当前正在运行的配置文件。 

NokiaIPSO-VN:root>show current-config 


# 

user test administrator password cipher 

098f6bcd4621d37356cade4e832627b4f65e5b 

user a administrator password cipher 

0cc175b9c0f1b6a85131c399e2697726610955 

password cipher 0c23a8bf29a191f10b8aee814737e2a6ec510c 

# 

hostname IP391 

banner vty Nokia IPSO 

banner console Nokia IPSO 

console timeout 100 

telnet timeout 100 

# 

language Chinese 

# 

timezone Hong_Kong 

# 

channel 1 



# 


# 



# 


# 


# 

interface ethernet 1 

# 



description eth2 

# 



# 



# 

vlan 1 

mac address 00:A0:8E:B2:2A:DD 

description atob 

igmp-snooping interface-flags ethernet 0 negotiate 

igmp-snooping version ethernet 0 v2 

igmp-snooping interface-flags ethernet 0 negotiate 

igmp-snooping version ethernet 0 v2 

--More-- 


8 调试命令 

debug clear 

使用 debug clear 命令来关闭监听并且恢复所有条件为默认值。 

命令 

debug clear 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 

debug match 设置监听条件。 

debug stop 停止监听。 


调试命令 

debug dump byte 

使用 debug dump byte 命令来设置输出包字节标记。 

命令 

debug dump byte {all | off | num} 

语法 

all | off | num 

• all— 输出包的全部字节 

• off— 不输出字节 

• num— 输出包的最大字节数 , 格式为 INTEGER 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 

debug dump hook 设置监听数据包的位置。 

debug dump session 设置输出会话标记。 


debug dump complex 

debug dump complex 

使用 debug dump complex 命令来设置输出详细包头信息的标识。 

命令 

debug dump complex {on | off} 

语法 

on | off 

• on— 详细解析包头 , 包括接口 , 数据链路层 , 网络层 , 传输层 

• off— 简单包头信息 , 只用一行打印概要信息 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 


debug dump session 设置输出会话标记。 


调试命令 

debug dump hook 

使用 debug dump hook 命令来设置监听数据包的位置。 

命令 

debug dump hook {input | output | error | input_output | input_error | output_error | all} 

语法 

input | output | error | 

input_output | input_error 

| output_error | all 

• input— 防火墙接受的原始数据包 

• output— 防火墙成功发送的数据包 

• error— 处理过程中出错的数据包 

• input_output — 防火墙接受的原始数据包和成功发送的数据包 

• input_error— 防火墙接受的原始数据包和处理过程中出错的数据 

包 

• output_error— 防火墙成功发送的数据包和处理过程中出错的数 

据包 

• all— 所有的数据包 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 

debug dump byte 设置输出包的字节标记。 

debug dump 

session 

设置输出会话标记。 


debug dump session 

debug dump session 

使用 debug dump session 命令来设置输出会话标记。 

命令 

debug dump session {on | off} 

语法 

on | off 

• on— 开启输出会话 

• off— 禁用输出会话 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 




调试命令 

debug file 

使用 debug file 命令来删除或者下载 Debug 文件。 

命令 

debug file {remove | download file_name} 

语法 

remove 删除 Debug 文件。 

download 下载 Debug 文件。 

file_name 

输出文件 , 格式为 WORD。 

权限 


V V V 

模式 



debug match 

debug match 

使用 debug match 命令设置监听条件。缺省设置为监听全部数据包。 

命令 

debug match {ip {source_ipaddress | any} {destination_ipaddress | any} | protocol {num | tcp 

| udp | icmp | arp | any} | port {source_port | any} {destination_port | any} | input {any | 

ethernet interface_name [vlan vlan_num] | channel channel_id [vlan vlan_num] | vlan 

vlan_num | local} | output {any | ethernet interface_name [vlan vlan_num] | channel 

channel_id [vlan vlan_num] | vlan vlan_num | local} | mac {source_macaddress | any} 

{destination_macaddress | any} | bidir {on | off}} 

语法 

source_ipaddress 源 IP 地址 , 格式为 x.x.x.x。 any 代表任何 IP 地址。 

destination_ipaddress 目的 IP 地址 , 格式为 x.x.x.x。 any 代表任何 IP 地址。 

num 

协议号 , 格式为 INTEGER。协议号小于 256 的为 IP 头 

协议 ; 大于 255 的为 ether 头协议。 

source_port 源端口号 , 格式为 INTEGER。 any 代表任何端口。 

destination_port 目的端口号 , 格式为 INTEGER。 any 代表任何端口。 

input 设置接收接口条件。 any 代表任意接收接口。 

interface_name 

vlan_num 

channel_id 

接口名称 , 格式为 WORD。 

VLAN 号 , 格式为 INTEGER。 

通道号 , 格式为 INTEGER。 

local 设置为本地接受接口。 

output 设置发送接口条件。 

source_macaddress 

destination_macaddress 

源 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH。 any 代表任意 

MAC 地址。 

目的 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH。 any 代表任意 

MAC 地址。 

bidir 设置双向查询标记。 

on | off 

• on— 启用反向监听功能 

• off— 禁用反向监听功能 

缺省设置为 off 


调试命令 

权限 


V V V 

模式 


范例 

范例 . 监听从源 IP 地址为 192.168.1.100 目的 IP 地址为 10.1.2.100 的数据包。 

NokiaIPSO-VN:root>debug match ip 192.168.1.100 10.1.2.100 

相关命令 

命令名称 

描述信息 

debug clear 关闭 debug 并恢复所有条件为默认值。 

debug start 开始监听数据包。 



debug show 

debug show 

使用 debug show 命令来显示当前监听条件和 Debug 文件。 

命令 

debug show 

权限 


V V V 

模式 


范例 

范例 . 显示当前监听条件和 Debug 文件。 

NokiaIPSO-VN:root>debug show 


Debug Vsys : 0 

Interface : any ---> any 

IP : any ---> any 

Protocol : any 

Port : any ---> any 

Mac : any ---> any 

Bidir : off 

Dump : packet 

Hook : none 

Watch : OFF 

相关命令 

命令名称 

描述信息 




调试命令 

命令名称 

debug dump 

session 

描述信息 

设置输出会话标记。 

debug match 设置监听条件。 



debug start 

debug start 

使用 debug start 命令来开始监听数据包。 

命令 

debug start time [file_name] 

语法 

time 

file_name 

监听数据包的时间 , 单位为秒 , 格式为 INTEGER。 

输出文件 , 格式为 WORD。 

说明 

如果不指定 file_name, 监听到的信息则输出到屏幕。 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 




调试命令 

debug stop 

使用 debug stop 命令来停止监听。 

命令 

debug stop 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 




9 默认策略命令 

policy default inter-zone 

使用 policy default inter-zone 命令修改防火墙域间的默认 IP 或非 IP 包过滤策 

略。配置成功后 , 将允许或拒绝两个安全域之间的所有 IP 或非 IP 数据包的转发。 

命令 

policy default inter-zone {ip-filter | non-ip-filter} {permit | deny} 

语法 

inter-zone 表示域间 , 即两个安全域之间。 

ip-filter | non-ip-filter 

permit | deny 

• ip-filter—IP 包过滤 

• non-ip-filter— 非 IP 包过滤 

• permit— 允许符合该策略的数据包通过防火墙 

• deny— 拒绝符合该策略的数据包通过防火墙 

缺省设置为 deny 

权限 


V 

V 

模式 


范例 

范例 . 修改防火墙域间的默认 IP 包过滤策略为允许。 

NokiaIPSO-VN:root-system]policy default inter-zone ip-filter permit 


默认策略命令 

相关命令 

命令名称 

描述信息 

policy default intra-zone 修改防火墙域内的默认包过滤策略。 

show policy default 显示默认包过滤策略。 


policy default intra-zone 

policy default intra-zone 

使用 policy default intra-zone 命令修改防火墙域内的默认包过滤策略。配置成 

功后 , 将允许或拒绝同一安全域内的所有 IP 和非 IP 数据包的转发。 

命令 

policy default intra-zone zone_name {permit | deny} 

语法 

intra-zone 表示域内 , 即在一个安全域中。 

zone_name 

permit | deny 


• permit— 允许符合该策略的数据包通过防火墙 

• deny— 拒绝符合该策略的数据包通过防火墙 

缺省设置为 permit 

权限 


V 

V 

模式 


范例 

范例 . 修改防火墙域内的默认包过滤策略为拒绝。 

NokiaIPSO-VN:root-system]policy default intra-zone zone1 deny 

相关命令 

命令名称 

描述信息 

policy default inter-zone 修该防火墙域间的默认 IP 或非 IP 包过滤策略。 

show policy default 显示默认包过滤策略。 


默认策略命令 

show policy default 

使用 show policy default 命令显示默认包过滤策略信息。 

命令 

show policy default 

权限 


V V V V V 

模式 


范例 

范例 . 显示默认包过滤策略信息。 

NokiaIPSO-VN:root>show policy default 


IP-filter inter-zone default policy: permit 

Non-IP-filter inter-zone default policy: permit 

Intra-zone default policy: 

test_zone 

permit 

trust 

permit 

untrust 

permit 

相关命令 

命令名称 

描述信息 

policy default inter-zone 修改防火墙域间的默认 IP 或非 IP 包过滤策略。 

policy default intra-zone 修改防火墙域内的默认包过滤策略。 


10 DST 命令 

show current timezone 

使用 show current timezone 命令显示防火墙的当前时区以及夏令时的状态。 

命令 

show current timezone 

权限 


V 

V 

模式 


范例 

范例 . 显示防火墙的当前时区以及夏令时的状态。 

NokiaIPSO-VN:root>show current timezone 


current timezone is:226 -> (GMT-00:00) UTC 


DST 命令 

show timezone 

使用 show timezone 命令显示防火墙当前可以设置的所有时区以及该时区的 ID 号。 

命令 

show timezone 

权限 


V 

V 

模式 


范例 

范例 . 显示防火墙当前可以设置的所有时区以及该时区的 ID 号。 

NokiaIPSO-VN:root>show timezone 


TimeZoneInfo List 

TimeZoneID -> Description 

0 -> (GMT-11:00 Westen Samoa/Apia) 

1 -> (GMT-11:00 U.S.A/Midway) 

2 -> (GMT-11:00 New Caledonia/Noumea) 

3 -> (GMT-11:00 Independent State of Samoa/Samoa) 

4 -> (GMT-11:00 East Samoa/Pago_pago) 

5 -> (GMT-11:00 Niue) 

6 -> (GMT-11:00 US/Samoa) 

7 -> (GMT-10:00 US/Adak) 

8 -> (GMT-10:00 US/Honolulu) 

9 -> (GMT-10:00 Tahiti/Tahiti) 

10 -> (GMT-10:00 Tokelau/Fakaofo) 

11 -> (GMT-10:00 Johnston) 

12 -> (GMT-10:00 Rarotonga) 

13 -> (GMT-10:00 US/Aleutian) 

14 -> (GMT-10:00 US/Hawaii) 


show timezone 

15 -> (GMT-9:00 US/Anchorage) 

16 -> (GMT-9:00 US/Juneau) 

17 -> (GMT-9:00 US/Yakutat) 

18 -> (GMT-9:00 US/Nome) 

19 -> (GMT-9:00 Canada/Yukon) 

20 -> (GMT-9:00 Polynesia/Gambier) 

...... 

430 -> (GMT+11:00 Kosrae) 

431 -> (GMT+11:00 Ponape) 

432 -> (GMT+11:00 Guadalcanal) 

433 -> (GMT+12:00 McMurdo) 

434 -> (GMT+12:00 South_Pole) 

435 -> (GMT+12:00 Russia/Kamchatka) 

436 -> (GMT+12:00 Russia(Siberian)Anadyr) 

437 -> (GMT+12:00 TUVALU/Funafuti) 

438 -> (GMT+12:00 New Zealand/Auckland) 

439 -> (GMT+12:00 Kwajalein) 

440 -> (GMT+12:00 Nauru) 

441 -> (GMT+12:00 Wake) 

442 -> (GMT+12:00 Majuro) 

443 -> (GMT+12:00 Tarawa) 

444 -> (GMT+12:00 Wallis) 

445 -> (GMT+12:00 Fiji) 

446 -> (GMT+13:00 Enderbury) 

447 -> (GMT+13:00 Tongatapu) 

448 -> (GMT+14:00 Kiribati/Kiritimati) 


DST 命令 

timezone 

使用 timezone 命令设置防火墙系统时区。默认设置为香港。 

命令 

timezone id_timezone 

语法 

id_timezone 

时区的 ID 号 , 格式为 INTEGER。 

权限 


V 

V 

模式 


范例 

范例 . 设置防火墙系统的时区为 Singapore, 其时区号为 390。 

NokiaIPSO-VN:root-system]timezone 390 

相关命令 

命令名称 

描述信息 

timezone dst on default 自动设置防火墙的系统时间为夏令时模式。 


timezone dst off 


使用 timezone dst off 命令关闭防火墙系统的夏令时模式。 

命令 


权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

timezone dst on default 自动设置防火墙的系统时间为夏令时模式。 


DST 命令 

timezone dst on default 

使用 timezone dst on default 命令自动设置防火墙系统的时间为夏令时模式。 

命令 

timezone dst on default 

说明 

防火墙系统所在的地区必须有规定好的夏令时法 , 该命令才能生效。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

timezone 设置防火墙的时区。 

timezone dst off 关闭夏令时模式。 


timezone dst on manual day-day 

timezone dst on manual day-day 

使用 timezone dst on manual day-day 命令手动设置防火墙系统的时间为夏令时 

模式。开始和结束时间均为日期模式。 

命令 

timezone dst on manual day-day start_mon_day start_time end_mon_day end_time 

dstoff_time [start_year] 

语法 

start_mon_day 

start_time 

end_mon_day 

dstoff_time 

end_time 

start_year 

开始日期 , 格式为 MM-DD。 

开始时间 , 格式为 HH:MM。 

结束日期 , 格式为 MM-DD。 

时间偏移量 , 格式为 HH:MM。例如 :10:00, 表示时间偏移量为 

10 小时。 

结束时间 , 格式为 HH:MM。 

生效起始年份 , 格式为 YYYY。 

说明 

不指定 start_year 参数 , 表示每年都生效。 

权限 


V 

V 

模式 


范例 

范例 . 手动设置防火墙系统的时间为夏令时模式 , 有效期为从 2010 年开始 , 每年的 8 月 

1 日 8:00 至 10 月 31 日 17:30, 时间偏移量为 1 小时。 

NokiaIPSO-VN:root-system]timezone dst on manual day-day 08-01 08:00 10- 

31 17:30 01:00 2010 


DST 命令 

timezone dst on manual day-week 

使用 timezone dst on manual day-week 命令手动设置防火墙系统的时间为夏令 

时模式。开始时间为日期模式 , 结束时间为星期模式。 

命令 

timezone dst on manual day-week start_mon_day start_time end_month end_week end_date 

end_time dstoff_time [start_year] 

语法 

start_mon_day 

start_time 

end_month 

end_week 

end_date 

dstoff_time 

end_time 

start_year 

开始日期 , 格式为 MM-DD。 


结束月份 , 格式为 INTEGER。 

结束周号 , 格式为 INTEGER。 

结束日期 , 格式为。 


10 小时。 



说明 


权限 


V 

V 

模式 


范例 

范例 . 手动设置防火墙系统的时间为夏令时模式 , 有效期为每年 3 月 1 日的 12:00 至每 

年 8 月第一个星期日的 12:00, 时间偏移量为 1 小时。 

NokiaIPSO-VN:root-system]timezone dst on manual day-week 03-01 12:00 8 

1 Sun 12:00 01:00 


timezone dst on manual week-day 

timezone dst on manual week-day 

使用 timezone dst on manual week-day 命令手动设置防火墙系统的时间为夏令 

时模式。开始时间为星期模式 , 结束时间为日期模式。 

命令 

timezone dst on manual week-day start_month start_week start_date start_time end_mon_day 

end_time dstoff_time [start_year] 

语法 

start_month 

start_week 

start_date 

start_time 

end_mon_day 

end_time 

dstoff_time 

start_year 

开始月份 , 格式为 INTEGER。 

开始周号 , 格式为 INTEGER。 

开始日期 , 格式为。 


结束日期 , 格式为 MM-DD。 



10 小时。 


说明 


权限 


V 

V 

模式 


范例 

范例 . 手动设置防火墙系统的时间为夏令时模式 , 有效期为从 2009 年开始 , 每年 1 月第 

2 个星期三的 8:00 至每年 6 月 30 日的 17:30, 时间偏移量为 1 小时。 

NokiaIPSO-VN:root-system]timezone dst on manual week-day 1 2 Wed 08:00 

06-30 17:30 01:00 2009 


DST 命令 

timezone dst on manual week-week 

使用 timezone dst on manual week-week 命令手动设置防火墙系统的时间为夏令 

时模式。开始和结束的时间均为星期模式。 

命令 

timezone dst on manual week-week start_month start_week start_date start_time end_month 

end_week end_date end_time dstoff_time [start_year] 

语法 

start_month 

start_week 

start_date 

start_time 

end_month 

end_week 

end_date 

end_time 

开始月份 , 格式为 INTEGER。 

开始周号 , 格式为 INTEGER。 

开始日期 , 格式为。 


结束月份 , 格式为 INTEGER。 

结束周号 , 格式为 INTEGER。 

结束日期 , 格式为。 


dstoff_time 时间偏移量 , 格式为 HH:MM。例如 :10:00, 表示时间偏移量为 10 

小时。 

start_year 


说明 


权限 


V 

V 

模式 


范例 

范例 . 手动设置防火墙系统的时间为夏令时模式 , 有效期为每年 7 月第 1 个星期一的 

00:00 至每年 10 月第 4 个星期日的 22:00, 时间偏移量为 1 小时。 


timezone dst on manual week-week 

NokiaIPSO-VN:root-system]timezone dst on manual week-week 7 1 Mon 00:00 

10 4 Sun 22:00 01:00 


DST 命令 


11 高可用性命令 

auth 

使用 auth 命令启用或者禁用成员认证 ( 同一台虚拟防火墙中的成员认证 )。启用该功 

能后 , 防火墙会对每一个收到的数据包进行成员认证 , 并丢弃未通过认证的数据包。 

命令 

auth {enable | disable} 

语法 


• enable— 启用成员认证 

• disable— 禁用成员认证 

缺省值为 disable 

权限 


V 

模式 

该命令在 HA 配置模式下使用。 

范例 

范例 . 启用同步认证。 

NokiaIPSO-VN:root-system-ha]auth enable 

相关命令 

命令名称 

描述信息 

auth password 设置成员认证密码。 


高可用性命令 

auth password 

使用 auth password 命令设置成员认证密码。 

命令 

auth password {simple pwd_s| cipher pwd_c} 

语法 

simple 表示设置的口令为明文 , 即输入的口令未经过加密处理。 

pwd_s 

明文认证密码 , 格式为 WORD。 

cipher 表示设置的口令为密文 , 即输入的口令已经过加密算法处理。 

pwd_c 

密文认证密码 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 设置成员认证密码 ( 明文 )。 

NokiaIPSO-VN:root-system-ha]auth password simple abcdef 

相关命令 

命令名称 

描述信息 

auth 启用或者禁用成员认证。 


config check 

config check 

使用 config check 命令检测主备防火墙之间配置是否相同。 

命令 

config check 

权限 


V 

模式 


范例 

范例 . 检测主备防火墙之间的配置是否相同。 

NokiaIPSO-VN:root-system-ha]config check 



config sync 

使用 config sync 命令手动配置同步 ( 主备防火墙之间的同步 )。配置成功后 , 可同 

步配置文件将立即同步到对端并覆盖对端的配置文件。 

命令 

config sync 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

config sync auto 启用或者禁用自动配置同步。 


config sync auto 

config sync auto 

使用 config sync auto 命令启用或者禁用自动配置同步。配置成功后 , 每当防火墙 

执行新命令 , 就会触发一次同步过程。 

命令 

config sync auto {enable | disable} 

语法 


• enable— 启用自动配置同步 

• disable— 禁用自动配置同步 


说明 

启用自动配置同步之前 , 需要保证两台防火墙的配置一致。 

权限 


V 

模式 


范例 

范例 . 启用自动配置同步。 

NokiaIPSO-VN:root-system-ha]config sync auto enable 

相关命令 

命令名称 

描述信息 

config sync 手动配置同步。 



election 

使用 election 命令启用或者禁用选举协议。 

命令 

election {enable | disable} 

语法 


• enable— 启用选举协议 

• disable— 禁用选举协议 


权限 


V 

模式 


范例 

范例 . 启用选举协议。 

NokiaIPSO-VN:root-system-ha]election enable 

相关命令 

命令名称 

描述信息 

hotstandby switch 将当前 Active 防火墙手动切换到 Passive 状态。 


encrypt 

encrypt 

使用 encrypt 命令启用或者禁用同步加密。 

命令 

encrypt {enable | disable} 

语法 


• enable— 启用同步加密 

• disable— 禁用同步加密 


说明 

两台 VFRP ( 虚拟防火墙冗余协议 ) 防火墙直连的情况下 , 同步信息泄露的可能性极 

低。因此建议禁用同步加密以减轻防火墙负担。 

权限 


V 

模式 


范例 

范例 . 启用同步加密。 

NokiaIPSO-VN:root-system-ha]encrypt enable 



event-track 

使用 event-track 命令启用或者禁用系统事件监测。配置成功后 , 当指定的故障发生 

时 , 防火墙会引发一次故障切换。 

命令 

event-track {all | hd-failure | fan-failure | over-temperature | over-voltage | processabnormity} 

{enable | disable} 

语法 

all | hd-failure | 

fan-failure | 

over-temperature | 

over-voltage | 

process-abnormity 


• all— 所有系统事件 , 包括硬盘故障、风扇故障、温度过高、电压 

过高、进程异常和接口状态 

• hd-failure— 硬盘故障 

• fan-failure— 风扇故障 

• over-temperature— 温度过高 

• over-voltage— 电压过高 

• process-abnormity— 进程异常 

• enable— 启用系统事件监测 

• disable— 禁用系统事件监测 


权限 


V 

模式 


范例 

范例 . 启用硬盘故障系统事件监测 , 当硬盘发生故障 , 防火墙引发一次故障切换。 

NokiaIPSO-VN:root-system-ha]event-track hd-failure enable 

相关命令 

命令名称 

event -track 

ethernet 

描述信息 

启用或者禁用接口状态事件监测。 


event-track ethernet 

event-track ethernet 

使用 event-track ethernet 命令启用或者禁用接口状态 ( 某个物理接口的 Up/ 

Down 状态 ) 的事件监测。配置成功后 , 当被监控接口状态变为 Down, 防火墙会引发一 

次故障切换。 

命令 

event-track ethernet device_name {enable | disable} 

语法 

device_name 


物理接口名称 , 格式为 WORD。 

• enable— 启用接口状态事件监测 

• disable— 禁用接口状态事件监测 


说明 

1. 接口在 Up 状态下 , 表示该接口能正常工作 , 而 Down 状态下则不参与任何工作。 

2. 用户可以针对每个物理接口设置是否跟踪其状态 , 且每个接口的异常事件权重都为 

1。 

权限 


V 

模式 


范例 

范例 . 启用接口 eth0 的接口状态事件监测 , 当接口 eth0 的状态变为 Down, 防火墙引发 

一次故障切换。 

NokiaIPSO-VN:root-system-ha]event-track ethernet 0 enable 

相关命令 

命令名称 

描述信息 

event -track 启用或者禁用系统事件监测。 



ha 

使用 ha 命令进入 HA 配置模式。 

命令 

ha 

权限 


V 

模式 



hotstandby switch 


使用 hotstandby switch 命令将当前 Active 防火墙手动切换到 Passive 状态。配置成 

功后 , 当前 Active 防火墙的权重设为 0, 并引发一次选举过程。 

关于 Active/Passive 状态、权重和选举协议的介绍 , 请参见用户指南的《高可用性》章 

节。 

命令 


说明 

手动切换只能在 Active 防火墙上进行 , 所以必须了解防火墙的当前状态。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

election 启用或者禁用选举协议。 



interface 

使用 interface 命令设置 HA 接口 ( 两台 VFRP 防火墙之间协议通信的专用接口 )。 

命令 

interface device_name 

语法 

device_name 

物理接口名称 , 格式为 WORD。 

说明 

1. NokiaIPSO-VN 防火墙上可选的 HA 接口由系统自动选择。 

2. 如果用户发现无 HA 接口可选 , 只能增加新的物理接口或者释放当前被其他应用所占 

用的接口。 

3. 当某个以太网接口被选为 HA 接口后 , 该接口不能再加入到任何 VLAN、通道或安全 

域中。 

权限 


V 

模式 


范例 

范例 . 指定 eth0 接口为 HA 接口。 

NokiaIPSO-VN:root-system-ha]interface eth0 


ip address 

ip address 

使用 ip address 命令设置本端 HA 接口的 IP 地址及子网掩码长度。 

命令 

ip address sip mask_length 

语法 

sip 

mask_length 

本端 HA 接口的 IP 地址 , 格式为 x.x.x.x。 

子网掩码长度 , 格式为 INTEGER。 

说明 

1. 通信端口缺省值为 12345, 用户不能修改。 

2. 设置 HA 接口 IP 地址时 , 必须保证两个 IP 地址之间是可达状态。直连的情况下 , 建议 

将两个 IP 地址设在同一网段。 

权限 


V 

模式 


范例 

范例 . 为本端 HA 接口设置 IP 地址及子网掩码长度。 

NokiaIPSO-VN:root-system-ha]ip address 192.168.1.125 24 

相关命令 

命令名称 

描述信息 

peer ip address 设置对端 HA 接口的 IP 地址。 



ip-track 

使用 ip-track 命令通过指定方式设置 IP 探测。配置成功后 , 即可探测指定的 IP 地址 

是否可达。 

关于探测方式的介绍 , 请参见用户指南的《高可用性》章节。 

命令 

ip-track {tcpping ip_address port_num | {arpping | ping} ip_address} [interface 

device_name_3rd] threshold_times [sec_interval] 

语法 

tcpping | arpping | 

ping 

ip_address 

port_num 

device_name_3rd 

threshold_times 

sec_interval 

• tcpping—TCP ping 方式 

• arpping—ARP ping 方式 

• ping—ICMP ping 方式 



三层接口名称 , 格式为 WORD。 

阈值 , 表示连续探测失败的次数 , 格式为 INTEGER。 

定时间隔 , 即发送探测报文的时间间隔 , 格式为 INTEGER 

, 缺省值为 3 秒。 

说明 

1. 对于 TCP ping 方式和 ICMP ping 方式 , 目标地址可以是网络中的任何地址。 

2. 对于 ARP ping 方式 , 目标地址必须属于防火墙所在的局域网。 

3. 如果不指定三层接口 , 则自动对应三层接口。 

4. 如果目标地址是接口的浮动 IP 地址 ( 为 VFRP 防火墙中参与冗余的接口设置的虚拟 IP 

地址 ), 则由处于 Active 状态的 VFRP 防火墙的对应接口进行响应 , 而处于 Passive 

状态的 VFRP 防火墙则不予响应。如果目标地址是接口的真实 IP 地址 , 则由该接口 

直接响应。对于 ARP ping 方式 , 如果目标地址是接口的浮动 IP 地址 , 则由该接口的 

虚拟 MAC 地址进行响应。 

权限 


V 

模式 



ip-track 

范例 

范例 1. 通过 TCP ping 方式探测 192.168.1.127 的 80 端口是否可达 , 并指定探测接口为 

vlan1。 

NokiaIPSO-VN:root-system-ha]ip-track tcpping 192.168.1.127 80 interface 

vlan1 3 10 

范例 2. 通过 ARP ping 方式探测 192.168.1.168 是否可达 , 自动对应三层接口。 

NokiaIPSO-VN:root-system-ha]ip-track arpping 192.168.1.168 50 100 

相关命令 

命令名称 

描述信息 

unset ip-track 删除指定方式的 IP 探测。 



peer ip address 

使用 peer ip address 命令设置对端 HA 接口的 IP 地址。 

命令 

peer ip address dip 

语法 

dip 

对端 HA 接口的 IP 地址 , 格式为 x.x.x.x。 

说明 

1. 通信端口缺省值为 12345, 用户不能修改。 

2. 设置 HA 接口 IP 地址时 , 必须保证两个 IP 地址之间是可达的。直连的情况下 , 建议将 

两个 IP 地址设在同一网段。 

权限 


V 

模式 


范例 

范例 . 为对端 HA 接口设置 IP 地址。 

NokiaIPSO-VN:root-system-ha]peer ip address 192.168.1.127 

相关命令 

命令名称 

描述信息 

ip address 设置本端 HA 接口的 IP 地址及子网掩码长度。 


ti session 

rti session 

使用 rti session 命令同步自定义会话。配置成功后 , 保证了指定会话的同步 , 同时 

防止防火墙处理没有必要同步的会话。 

命令 

rti session {{tcp | udp} {port_num | port_range} | other {protocol_num | protocol_range}} 

语法 

port_num 

port_range 



other 除 TCP 和 UDP 之外的协议。 

protocol_num 




说明 

1. 通过指定协议类型和对应端口来指定会话进行同步。 

2. 指定会话同步后 , 不会影响除会话外的运行信息的同步。 

权限 


V 

模式 


范例 

范例 . 对 TCP 协议 23 端口的会话进行同步。 

NokiaIPSO-VN:root-system-ha]rti session tcp 23 

相关命令 

命令名称 

描述信息 

rti session default 同步默认会话。 



rti session default 

使用 rti session default 命令同步默认会话。 

命令 

rti session default 

说明 

默认会话不包括 TCP 协议 80 端口的会话。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

rti session 同步自定义会话。 


ti sync 

rti sync 

使用 rti sync 命令启用或者禁用运行信息 ( 正在工作的进程信息 ) 同步。启用该功能 

后 , Active 防火墙的 VPN 隧道相关信息、 NAT ( 网络地址转换 ) 资源、 ARP 表和非 

HTTP 会话 (TCP 协议 80 端口的会话除外 ) 将同步到 Passive 防火墙。 

命令 

rti sync {enable | disable} 

语法 


• enable— 启用运行信息同步 

• disable— 禁用运行信息同步 


权限 


V 

模式 


范例 

范例 . 启用运行信息同步。 

NokiaIPSO-VN:root-system-ha]rti sync enable 



show ha 

使用 show ha 命令显示 HA 配置信息及状态。 

命令 

show ha 

权限 


V V V 

模式 


范例 

范例 . 显示 HA 配置信息及状态。 

NokiaIPSO-VN:root>show ha 


Basic Information 

VFID : 

Interface device : 

Local sync address : 

Mask length : 0 

Remote sync address : 

VFRP Information 

VFRP state : single 

Active time : 

Election : disable 

Authentication : disable 

Mirror Information 

Mirror state : single 

Encrypt : disable 

Auto sync configuration : disable 


show ha 

Auto sync session : disable 

Custom : disable 

Run Time Information 

Auto sync Run Time Information: disable 

Time sync: disable 

Benchmark: off 

Daily: disable 

When boot: disable 

Modified: disable 



time 

使用 time 命令启用或者禁用指定的时间同步类型。 

命令 

time {boot | modified} {enable | disable} 

语法 

boot | modified 


• boot— 防火墙启动 

• modified— 防火墙时间发生修改 

• enable— 启用指定的时间同步类型 

• disable— 禁用指定的时间同步类型 


说明 

modified 类型的时间同步将修改后的时间同步到对端 , 即使对端是时间同步基准防火墙 , 

依然可以对它进行同步。 

权限 


V 

模式 


范例 

范例 . 启用 modifield 时间同步类型。当防火墙时间发生修改时 , 将该防火墙的时间同步 

到对端防火墙上。 

NokiaIPSO-VN:root-system-ha]time modified enable 


time benchmark 

time benchmark 

使用 time benchmark 命令设置当前防火墙是否为时间同步基准防火墙。 

命令 

time benchmark {on | off} 

语法 

on | off 

• on— 设置当前防火墙为时间同步基准防火墙 

• off— 设置当前防火墙不为时间同步基准防火墙 

缺省值为 off 

说明 

如果该防火墙所属的虚拟防火墙已经设置过时间同步基准防火墙 , 则返回给用户一个错 

误信息。 

权限 


V 

模式 


范例 

范例 . 将当前防火墙设置为时间同步基准防火墙。 

NokiaIPSO-VN:root-system-ha]time benchmark on 



time daily 

使用 time daily 命令设置每日同步时间。配置成功后 , 主备防火墙将按照指定的时间 

进行每日同步。 

命令 

time daily {time_sync | disable} 

语法 

time_sync 

每日同步时间 , 格式为 HH:MM。 

缺省值为 00:00。 

说明 

为了使每日同步生效 , 主备防火墙必须都设置每日同步时间。 

权限 


V 

模式 


范例 

范例 . 将防火墙每日同步时间设置为上午 8 点整。每到上午 8 点 , 主备防火墙进行同 

步。 

NokiaIPSO-VN:root-system-ha]time daily 08:00 


time sync 

time sync 

使用 time sync 命令启用或者禁用时间同步。 

命令 

time sync {enable | disable} 

语法 


• enable— 启用时间同步 

• disable— 禁用时间同步 


说明 

为了启用时间同步功能 , 主备防火墙必须都启用该功能。 

权限 


V 

模式 


范例 

范例 . 启用时间同步。 

NokiaIPSO-VN:root-system-ha]time sync enable 



unset ip-track 

使用 unset ip-track 命令删除指定方式的 IP 探测。 

命令 

unset ip-track {tcpping | arpping | ping} ip_address 

语法 

tcpping | arpping | 

ping 

ip_address 

• tcpping—TCP ping 方式 

• arpping—ARP ping 方式 

• ping—ICMP ping 方式 


权限 


V 

模式 


范例 

范例 . 删除对 192.168.1.164 通过 arpping 方式的 IP 探测。 

NokiaIPSO-VN:root-system-ha]unset ip-track arpping 192.168.1.164 

相关命令 

命令名称 

描述信息 

ip-track 通过指定方式设置 IP 探测。 


unset rti session 

unset rti session 

使用 unset rti session 命令删除自定义会话同步。 

命令 

unset rti session {{tcp | udp} {port_num | port_range} | other {protocol_num | 

protocol_range}} 

语法 

port_num 

port_range 



other 除 TCP 和 UDP 之外的协议。 

protocol_num 




权限 


V 

模式 


范例 

范例 . 删除对 TCP 协议 23 端口的会话同步。 

NokiaIPSO-VN:root-system-ha]unset rti session tcp 23 

相关命令 

命令名称 

描述信息 

rti session 同步自定义会话。 



vfid 

使用 vfid 命令设置 VFID ( 虚拟防火墙标识 )。 

关于 VFID 的介绍 , 请参见用户指南的《高可用性》章节。 

命令 

vfid vfid_num 

语法 

vfid_num 

VFID 值 , 格式为 INTEGER, 缺省值为 0, 表示选举协议不 

起作用。 

说明 

1. 每台 VFRP 防火墙必须且只能有一个 VFID。 

2. 同一虚拟防火墙的成员防火墙具有相同的 VFID。 

3. VFRP 只支持双机热备 , 因此一个 VFID 最多只能被两台 VFRP 防火墙拥有。 

权限 


V 

模式 


范例 

范例 . 将 VFRP 防火墙的 vfid 设置为 1。 

NokiaIPSO-VN:root-system-ha]vfid 1 


12 接口命令 

auto advertise on,off 

使用 auth advertise on,off 命令设置网卡自动协商开关的状态。 

命令 

auto advertise on,off 

语法 

on | off 

• on— 启用网卡的自动协商功能 

• off— 禁用网卡的自动协商功能 

缺省设置为 on 

权限 


V 

模式 

该命令在接口配置模式下使用。 

范例 

范例 . 启用网卡为自动协商状态。 

NokiaIPSO-VN:root-system] interface ethernet 1 

NokiaIPSO-VN:root-system-if-eth1]auto advertise on 


接口命令 

bind gateway tunnel 

使用 bind gateway tunnel 命令添加 VPN 隧道接口 GTB 表项。 

命令 

bind gateway ip_address tunnel tunnel_name 

语法 

ip_address 

tunnel_name 


VPN 隧道接口名称 , 格式为 WORD。 

权限 


V 

模式 

该命令在接口 (VPN 接口 ) 配置模式下使用。 

范例 

范例 . 添加 VPN 隧道接口 GTB 表项。 

NokiaIPSO-VN:root-system] tunnel 1 

NokiaIPSO-VN:root-system-tunnel]bind gateway 192.168.1.111 tunnel 1 

相关命令 

命令名称 

描述信息 

unset bind gateway 删除指定的 GTB 表项。 


channel 

channel 

使用 channel 命令创建以太网通道或者进入指定以太网通道的配置模式。 

命令 

channel channel_id 

语法 

channel_id 

以太网通道 ID, 格式为 INTEGER。 

说明 

如果不选择 channel_id 参数 , 表示创建一个以 channel_id 命名的以太网通道 ; 如果选择 

channel_id 参数 , 表示进入该以太网通道配置模式。 

权限 


V 

模式 


范例 

范例 . 创建一个 ID 为 1 的以太网通道。 

NokiaIPSO-VN:root-system]channel 1 

相关命令 

命令名称 

描述信息 

unset channel 删除指定的以太网通道。 


接口命令 

description 

使用 description 命令添加以太网接口、以太网通道、 VPN 隧道接口和 VLAN 的备 

注信息。 

命令 

description string 

语法 

string 

备注信息 , 格式为 LINE。 

权限 


V 

V 

模式 

该命令在接口配置模式或 VLAN 配置模式下使用。 

范例 

范例 . 添加以太网接口 eth1 的备注信息为 name eth1。 


NokiaIPSO-VN:root-system-if-eth1]description name eth1 


floating ip address 

floating ip address 

使用 floating ip address 命令添加共享接口、三层接口以及 VLAN 的浮动 IP 地 

址。在启用 HA 时 , 浮动 IP 地址可以进行 HA 的切换。 

命令 

floating ip address ip_address netmask [secondary] 

语法 

floating 设置浮动 IP 地址。 

ip_address 

netmask 

浮动 IP 地址 , 格式为 x.x.x.x。 

子网掩码 , 格式为 x.x.x.x。 

secondary 设置从浮动 IP 地址。 

说明 

1. 如果选择 secondary 关键字 , 表示添加设备的从 IP 浮动地址 ; 如果不选择 secondary 关 

键字 , 表示将添加设备的主浮动 IP 地址。 

2. 主浮动 IP 地址只能添加一个 , 从浮动 IP 地址最多可被添加 31 个。 

3. 添加从浮动 IP 地址时 , 该设备必须指定主浮动 IP 地址。 

权限 


V 

V 

模式 


范例 

范例 . 添加三层接口 eth1 的从浮动 IP 地址 192.168.1.111 及子网掩码 255.255.255.0。 


NokiaIPSO-VN:root-system-if-eth1]floating ip address 192.168.1.111 

255.255.255.0 secondary 


接口命令 

相关命令 

命令名称 

描述信息 

unset floating ip address 删除设备的浮动 IP 地址。 


flow control on,off 


使用 flow control on,off 命令设置流控制开关的状态。 

命令 


语法 

on | off 

• on— 启用 flow control 功能 

• off— 禁用 flow control 功能 


权限 


V 

模式 


范例 . 启用网卡的流控制状态。 


NokiaIPSO-VN:root-system-if-eth1]flow control on 


接口命令 

hold ethernet 

使用 hold ethernet 命令指定隶属于以太网通道的二层以太网接口。 

命令 

hold ethernet interface_id 

语法 

interface_id 

以太网接口 ID, 格式为 WORD。 

说明 

1. 加入到以太网通道的二层以太网接口 , 必须是相同的工作模式 , 并且未被划分到任 

何 VLAN 或虚拟系统。 

2. 一个以太网通道最多只能添加 4 个以太网接口。 

权限 


V 

模式 


范例 

范例 . 设置二层以太网接口 eth1 隶属于以太网通道 ch0。 

NokiaIPSO-VN:root-system] channel 0 

NokiaIPSO-VN:root-system-if-ch0]hold ethernet 1 

相关命令 

命令名称 

描述信息 

unset hold ethernet 解除接口与通道的隶属关系。 


hold ethernet,channel 

hold ethernet,channel 

使用 hold ethernet,channel 命令指定隶属于 VLAN 的以太网接口或以太网通道。 

命令 

hold {ethernet interface_id | channel channel_id} 

语法 

interface_id 

channel_id 



权限 


V 

模式 

该命令在 VLAN 配置模式下使用。 

范例 

范例 . 设置以太网接口 eth2 隶属于 vlan1。 

NokiaIPSO-VN:root-system] vlan 1 

NokiaIPSO-VN:root-system-vlan1]hold ethernet 2 

相关命令 

命令名称 

描述信息 

unset hold ethernet,channel 解除设备与 VLAN 的隶属关系。 


接口命令 

interface ethernet 

使用 interface ethernet 命令进入指定的接口配置模式。 

命令 

interface ethernet interface_id 

语法 

interface_id 


权限 


V 

模式 


范例 

范例 . 进入接口 eth1 配置模式。 

NokiaIPSO-VN:root-system]interface ethernet 1 


ip address 

ip address 

使用 ip address 命令添加共享接口、三层接口、 VPN 隧道接口以及 VLAN 的 IP 地 

址。 

命令 

ip address ip_address netmask [secondary] 

语法 

ip_address 

netmask 



secondary 设置从 IP 地址。 

说明 

1. 如果选择 secondary 关键字 , 表示添加设备的从 IP 地址 ; 如果不选择 secondary 关键 

字 , 表示将添加设备的主 IP 地址。 

2. 主 IP 地址只能添加一个 , 从 IP 地址最多可添加 31 个。 

3. 添加从 IP 地址时 , 该设备必须指定主 IP 地址。 

权限 


V 

V 

模式 


范例 

范例 . 添加三层接口 eth1 的从 IP 地址 192.168.1.111 及子网掩码 255.255.255.0。 


NokiaIPSO-VN:root-system-if-eth1]ip address 192.168.1.111 255.255.255.0 

secondary 

相关命令 

命令名称 

描述信息 

unset ip address 删除设备的 IP 地址。 


接口命令 

mac address 

使用 mac address 命令添加以太网接口、以太网通道和 VLAN 的 MAC 地址。 

命令 

mac address mac_address 

语法 

mac_address 

设备的 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH。 

权限 


V 

模式 


范例 

范例 . 添加以太网接口 eth1 的 MAC 地址为 00:76:6c:61:00:01。 


NokiaIPSO-VN:root-system-if-eth1]mac address 00:76:6c:61:00:01 


mtu 

mtu 

使用 mtu 命令设置以太网接口、以太网通道、 VPN 隧道接口和 VLAN 的最大传输单 

元。 

关于最大传输单元的概念 , 请参见《用户指南》第三章。 

命令 

mtu {default | mtu_num} 

语法 

default 默认设置为 1500。 

mtu_num 

最大传输单元 , 格式为 INTEGER。 

权限 


V 

模式 


范例 

范例 . 设置以太网接口 eth1 的最大传输单元为 1000bytes。 


NokiaIPSO-VN:root-system-if-eth1]mtu 1000 


接口命令 

port mode access,trunk 

使用 port mode access,trunk 命令设置以太网接口或以太网通道的工作模式。 

命令 

port mode {access | trunk} 

语法 

access | trunk 

• access— 该以太网接口或以太网通道只能被划分到一个 VLAN 

• trunk— 该以太网接口或以太网通道可以被划分到多个 VLAN 

权限 


V 

模式 


范例 

范例 . 设置以太网接口 eth1 的工作模式为 access。 


NokiaIPSO-VN:root-system-if-eth1]port mode access 


port trunk native vlan 


使用 port trunk native vlan 命令添加以太网接口或以太网通道的 native VLAN。 

配置成功后 , 此太网接口或以太网通道可以对非标签的报文进行转发。 

命令 

port trunk native vlan vlan_id 

语法 

vlan_id 



权限 


V 

模式 


范例 

范例 . 设置以太网通道 ch0 的 native VLAN 为 2。 


NokiaIPSO-VN:root-system-ch0]port trunk native vlan 2 

相关命令 

命令名称 

unset port trunk native 

描述信息 

删除以太网接口或以太网通道 native VLAN。 


接口命令 

port vlan 

使用 port vlan 命令使以太网接口或以太网通道隶属于指定的 VLAN。 

命令 

port {access | trunk allowed} vlan vlan_id 

语法 


vlan_id 



选择 access 工作模式时 , 表示 VLAN ID, 格式为 

INTEGER。 

选择 trunk 工作模式时 , 表示 VLAN ID 列表 , 格式为 

INTEGER。 

说明 

工作模式为 trunk 的以太网接口或以太网通道的 native VLAN 为 1。 

权限 


V 

模式 


范例 

范例 . 指定工作模式为 trunk 的以太网通道 ch0 隶属于 vlan1。 


NokiaIPSO-VN:root-system-ch0]port trunk vlan 1 

相关命令 

命令名称 

描述信息 

unset port vlan 解除以太网接口或以太网通道与 VLAN 的隶属关系。 


show GTB 

show GTB 

使用 show GTB 命令显示 GTB 表项信息。 

命令 

show interface tunnel tunnel_id GTB 

语法 

tunnel_id 

VPN 隧道接口 ID, 格式为 WORD。 

权限 


V V V V V 

模式 


范例 

范例 . 显示 GTB 表项。 

NokiaIPSO-VN:root>show interface tunnel 5 GTB 


IP_address tunnel_name 

1.1.1.1 abc 

1.1.1.2 def 

相关命令 

命令名称 

描述信息 

unset GTB 清除 GTB 表项。 


接口命令 

show interface 

使用 show interface 命令查看所有以太网接口、以太网通道、 VPN 隧道接口和 

VLAN 的相关信息。 

命令 

show interface [brief] 

语法 

brief 表示简明信息。 

说明 

如果省略 brief 关键字 , 则显示所有设备的详细信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示所有以太网接口、以太网通道、 VPN 隧道接口和 VLAN 的详细信息。 

NokiaIPSO-VN:root>show interface 


vlan1 is layer 3 interface, line is on 

Internet address is not set. 

Floating Internet address is not set. 

Hardware is Virtual Ethernet, address is 00:A0:8E:B2:2A:DD 

eth2, line is down 

Belong to Vsys root 

RefCount: 2 

MTU: 1500 bytes, ARP Timeout: 14400 

TX packets:0 RX packets:0 

TX bytes:0 b RX bytes:0 b 



Description: atob 

tunnel1 is on 

RefCount: 0 

MTU: 1500 bytes 

Internet address is 

192.168.2.1/29 

Description: 

ch1 is on 

Hardware is Channel 

Mode access 

Bellows in interface: 

Include port: 

RX packets:0 errors:0 drops:0 

TX packets:0 errors:0 drops:0 

RX bytes:0 TX bytes:0 

Description: 

eth1 is on, line protocol is down (notconnect) 

Hardware is Ethernet 

Mode access 

Duplex:auto Speed:auto 





Description: 

相关命令 

命令名称 

描述信息 

show interface channel 显示以太网通道信息。 

show interface ethernet 显示以太网接口信息。 

显示 VPN 隧道接口信息。 

show interface vlan 显示 VLAN 信息。 


接口命令 

show interface channel 

使用 show interface channel 命令显示以太网通道信息。 

命令 

show interface channel [channel_id | brief] 

语法 


channel_id 

以太网通道 ID, 格式为 WORD。 

说明 

1. 如果不指定 channel_id 参数 , 则显示所有的以太网通道信息。 

2. 如果省略 brief 关键字 , 则显示以太网通道的详细信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示所有以太网通道简明信息。 

NokiaIPSO-VN:root>show interface channel brief 


Interface Status Mode working-mode Ethlist Vlanlist 

ch1 on access Layer2 - - 

Interface Status IP MAC Port MTU Vsys 


show interface channel 

相关命令 

命令名称 


描述信息 

显示所有以太网接口、以太网通道、 VPN 

隧道接口和 VLAN 信息。 


show interface tunnel 显示 VPN 隧道接口信息。 



接口命令 

show interface ethernet 

使用 show interface ethernet 命令显示以太网接口信息。 

命令 

show interface ethernet [interface_id] [brief] 

语法 


interface_id 


说明 

1. 如果不指定 ethernet_name 参数 , 则显示所有的以太网接口信息。 

2. 如果省略 brief 关键字 , 则显示以太网接口的详细信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示所有以太网接口信息。 

NokiaIPSO-VN:root>show interface ethernet 




Mode access 


Bellows in interface: vlan55 




Description: 


show interface ethernet 



Mode access 






Description: 

相关命令 

命令名称 


描述信息 




显示 VPN 隧道接口信息。 



接口命令 

show interface tunnel 

使用 show interface tunnel 命令显示虚拟专用网 (VPN) 隧道接口信息。 

命令 

show interface tunnel [tunnel_id | [brief]] 

语法 


tunnel_id 

VPN 隧道接口 ID, 格式为 WORD。 

说明 

1. 如果不指定 tunnel_id 参数 , 则显示所有的 VPN 隧道接口信息。 

2. 如果省略 brief 关键字 , 则显示 VPN 隧道接口的详细信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示所有 VPN 隧道接口简明信息。 

NokiaIPSO-VN:root> show interface tunnel brief 


Interface Status IP MTU Vsys 

tunnel1 on 192.168.2.1 1500 root 

tunnel2 on 1500 root 


show interface tunnel 

相关命令 

命令名称 


描述信息 







接口命令 

show interface vlan 

使用 show interface vlan 命令显示 VLAN 信息。 

命令 

show interface vlan [vlan_id | [brief]] 

语法 


vlan_id 


说明 

1. 如果不指定 vlan_id 参数 , 则显示所有 VLAN 的信息。 

2. 如果省略 brief 关键字 , 则显示 VLAN 的详细信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示所有 VLAN 的简明信息。 

NokiaIPSO-VN:root>show interface vlan brief 


Interface Status IP MAC Port MTU Vsys 

vlan1 on 00:A0:8E:B2:2A:DD eth2 1500 root 

vlan10 on 10.3.1.212 0:A0:8E:B2:2A:D8 eth-s2p4 1500 root 


show interface vlan 

相关命令 

命令名称 


描述信息 





show interface tunnel 显示 VPN 隧道接口信息。 


接口命令 

shutdown 

使用 shutdown 命令禁用以太网接口、以太网通道、 VPN 隧道接口和 VLAN。配置成 

功后 , 该设备不能进行数据收发。 

命令 

shutdown 

权限 


V 

模式 


范例 

范例 . 禁用以太网接口 eth1。 


NokiaIPSO-VN:root-system-if-eth1]shutdown 

相关命令 

命令名称 

unset shutdown 

描述信息 

启用一个以太网接口、以太网通道、 VPN 隧道接口和 VLAN。 


speed duplex 

speed duplex 

使用 speed duplex 命令设置以太网接口的连接速度和双工模式。 

命令 

speed {10 | 100 | 1000 | auto} duplex {half | full | auto} 

语法 

10 | 100 | 1000 | auto • 10— 表示连接速度为 10Mbit/s 

• 100— 表示连接速度为 100Mbit/s 

• 1000— 表示连接速度为 1000Mbit/s 

• auto— 表示连接速度由自动协商确定 

half | full | auto 

• half— 半双工 

• full— 全双工 

• auto— 工作模式由自动协商确定 

权限 


V 

模式 


范例 

范例 . 设置以太网接口 eth1 的工作模式为全双工 , 连接速度为 1000Mbit/s。 


NokiaIPSO-VN:root-system-if-eth1]speed 1000 duplex full 


接口命令 

tunnel 

使用 tunnel 命令创建或进入指定的 VPN 隧道接口。 

命令 

tunnel tunnel_id 

语法 

tunnel_id 

隧道 ID, 格式为 INTEGER。 

权限 


V 

模式 


范例 

范例 . 进入 ID 为 22 的 VPN 隧道。 

NokiaIPSO-VN:root-system]tunnel 22 

相关命令 

命令名称 

描述信息 

unset tunnel 删除指定的 VPN 隧道接口。 


unset bind gateway 

unset bind gateway 

使用 unset bind gateway 命令删除指定的 GTB 表项。 

命令 

unset bind gateway ip_address 

语法 

ip_address 


权限 


V 

模式 


范例 

范例 . 删除 GTB 中 IP 地址为 192.168.1.111 的表项。 


NokiaIPSO-VN:root-system-tunnel1]unset bind gateway 192.168.1.111 

相关命令 

命令名称 

描述信息 

bind gateway tunnel 添加 GTB 表项。 


接口命令 

unset channel 

使用 unset channel 命令删除指定的以太网通道。 

命令 

unset channel channel_id 

语法 

channel_id 


说明 

删除以太网通道时必须保证该通道中没有以太网接口 , 且该以太网通道也没有被划分到 

某个 VLAN 或虚拟系统中。 

权限 


V 

模式 


范例 

范例 . 删除以太网通道 ch1。 

NokiaIPSO-VN:root-system]unset channel 1 

相关命令 

命令名称 

描述信息 

channel 创建以太网通道或进入以太网通道配置模式。 


unset floating ip address 

unset floating ip address 

使用 unset floating ip address 命令删除共享接口、三层接口以及 VLAN 的浮 

动 IP 地址。 

命令 

unset floating ip address [ip_address netmask] 

语法 

ip_address 

netmask 



说明 

1. 如果不指定 ip_address 及 netmask 参数 , 将删除所有的浮动 IP 地址。 

2. 如果选择了从浮动 IP 地址 , 那么主浮动 IP 地址将不允许被删除。 

权限 


V 

V 

模式 


范例 

范例 . 删除共享以太网接口 eth1 的浮动 IP 地址 192.168.1.111 及子网掩码 255.255.255.0。 


NokiaIPSO-VN:root-system-if-eth1]unset floating ip address 

192.168.1.111 255.255.255.0 

相关命令 

命令名称 

描述信息 

floating ip address 添加设备的浮动 IP 地址。 


接口命令 

unset GTB 

使用 unset GTB 命令清除 GTB 表项。 

命令 

unset GTB 

权限 


V 

模式 


范例 

范例 . 清除 GTB 表项。 


NokiaIPSO-VN:root-system-tunnel1]unset GTB 

相关命令 

命令名称 

描述信息 

show GTB 显示 GTB 表项。 


unset hold ethernet 

unset hold ethernet 

使用 unset hold ethernet 命令解除二层以太网接口与以太网通道的隶属关系。 

命令 

unset hold ethernet interface_id 

语法 

interface_id 


权限 


V 

模式 


范例 

范例 . 解除二层以太网接口 eth1 与以太网通道 ch0 的隶属关系。 

NokiaIPSO-VN:root-system]channel 0 

NokiaIPSO-VN:root-system-ch0]unset hold ethernet 1 

相关命令 

命令名称 

描述信息 

hold ethernet 指定隶属于通道的接口。 


接口命令 

unset hold ethernet,channel 

使用 unset hold ethernet,channel 命令解除以太网接口或以太网通道与 VLAN 

的隶属关系。 

命令 

unset hold {ethernet interface_id | channel channel_id} 

语法 

interface_id 

channel_id 



权限 


V 

模式 


范例 

范例 . 解除以太网通道 ch0 与 VLAN 的隶属关系。 

NokiaIPSO-VN:root-system]vlan 1 

NokiaIPSO-VN:root-system-vlan1]unset hold channel 0 

相关命令 

命令名称 

描述信息 

hold ethernet, channel 指定隶属于 VLAN 的设备。 


unset ip address 

unset ip address 

使用 unset ip address 命令删除共享接口、三层接口、 VPN 隧道接口以及 VLAN 

的 IP 地址。 

命令 

unset ip address [ip_address netmask] 

语法 

ip_address 

netmask 



说明 

1. 如果不指定 ip_address 及 netmask 参数 , 将删除所有的 IP 地址。 

2. 如果选择了从 IP 地址 , 那么主 IP 地址将不允许被删除。 

权限 


V 

V 

模式 


范例 

范例 . 删除共享以太网接口 eth1 的从 IP 地址 192.168.1.111 及子网掩码 255.255.255.0。 


NokiaIPSO-VN:root-system-if-eth1]unset ip address 192.168.1.111 

255.255.255.0 

相关命令 

命令名称 

描述信息 

ip address 添加设备的 IP 地址。 


接口命令 


使用 unset port trunk native 命令删除以太网接口或以太网通道的 native 

VLAN。 

命令 


语法 

trunk 

工作模式 , 表示该设备可以被划分到多个 VLAN。 

权限 


V 

模式 


范例 

范例 . 删除以太网接口 eth1 的 native VLAN。 


NokiaIPSO-VN:root-system-if-eth1]unset port trunk native 

相关命令 

命令名称 


描述信息 

设置以太网接口或以太网通道的 native 

VLAN。 


unset port vlan 

unset port vlan 

使用 unset port vlan 命令解除以太网接口或以太网通道与 VLAN 的隶属关系。 

命令 

unset port {access | trunk allowed} vlan 

语法 




权限 


V 

模式 


范例 

范例 . 解除工作方式为 trunk 的以太网接口 eth1 与所有 VLAN 的隶属关系。 


NokiaIPSO-VN:root-system-if-eth1]unset port trunk allowed vlan 

相关命令 

命令名称 

port vlan 

描述信息 

设置以太网接口或以太网通道隶属于指定 VLAN。 


接口命令 


使用 unset shutdown 命令启用以太网接口、以太网通道、 VPN 隧道接口和 VLAN。 

命令 


权限 


V 

模式 


范例 

范例 . 启用以太网接口 eth1。 


NokiaIPSO-VN:root-system-if-eth1]unset shutdown 

相关命令 

命令名称 

shutdown 

描述信息 

禁用一个以太网接口、以太网通道、 VPN 隧道接口和 VLAN。 


unset tunnel 

unset tunnel 

使用 unset tunnel 命令删除指定的 VPN 隧道接口。 

命令 

unset tunnel tunnel_id 

语法 

tunnel_id 

隧道 ID, 格式为 INTEGER。 

权限 


V 

模式 


范例 

范例 . 删除 ID 为 6 的 VPN 隧道接口。 

NokiaIPSO-VN:root-system]unset tunnel 6 

相关命令 

命令名称 

描述信息 

tunnel 创建或进入 VPN 隧道接口。 


接口命令 

unset vlan 

使用 unset vlan 命令删除指定的 VLAN。 

命令 

unset vlan vlan_id 

语法 

vlan_id 


权限 


V 

模式 


范例 

范例 . 删除 vlan50。 

NokiaIPSO-VN:root-system]unset vlan 50 

相关命令 

命令名称 

描述信息 

vlan 创建 VLAN 或进入 VLAN 配置模式。 


vlan 

vlan 

使用 vlan 命令添加 VLAN 或进入指定 VLAN 配置模式。 

命令 

vlan vlan_id 

语法 

vlan_id 


说明 

如果选择 vlan_id 参数时 , 表示进入该 VLAN 配置模式 ; 如果不选择 vlan_id 参数 , 表示 

创建一个以 vlan_id 命名的 VLAN。 

权限 


V 

模式 


范例 

范例 . 进入 vlan2 配置模式。 

NokiaIPSO-VN:root-system]vlan 2 

相关命令 

命令名称 

unset vlan 

描述信息 

删除指定的 VLAN。 


接口命令 

working-type 

使用 working-type 命令设置以太网接口和以太网通道的类型。 

命令 

working-type {layer2-interface | layer3-interface | layer3-shared-interface} 

语法 

layer2-interface | layer3-interface | 

layer3-shared-interface 

• layer2-interface— 二层设备 

• layer3-interface— 三层设备 

• layer3-shared-interface— 共享设备 

权限 


V 

模式 


范例 

范例 . 设置以太网接口 eth1 为二层接口。 


NokiaIPSO-VN:root-system-if-eth1]working-type layer2-interface 


13 IP 包过滤命令 

policy ip-filter enable,disable 

使用 policy ip-filter enable,disable 命令修改指定的 IP 包过滤策略的状态。 

命令 

policy ip-filter policy_name {enable | disable} 

语法 

policy_name 



• enable— 启用指定的 IP 包过滤策略 

• disable— 禁用指定的 IP 包过滤策略 

权限 


V 

V 

模式 


范例 

范例 . 启用 IP 包过滤策略 test1。 

NokiaIPSO-VN:root-system]policy ip-filter test1 enable 

相关命令 

命令名称 

描述信息 

policy ip-filter global 添加全局 IP 包过滤策略。 

policy ip-filter inter-zone 添加域间 IP 包过滤策略。 


IP 包过滤命令 

命令名称 

描述信息 

policy ip-filter intra-zone 添加域内 IP 包过滤策略。 

show policy ip-filter 显示 IP 包过滤策略。 

unset policy ip-filter 删除 IP 包过滤策略。 


policy ip-filter global 


使用 policy ip-filter global 命令来添加全局 IP 包过滤策略。配置成功后 , 防 

火墙可以通过匹配该策略 , 允许或者拒绝 IP 数据包通过防火墙。 

命令 

policy ip-filter global policy_name {src_iplist | any} {dst_iplist | any} {any | icmp {type | 

type_list} | tcp {src_port | srcport_range} {dst_port | dstport_range} | udp {src_port | srcport_ 

range} {dst_port | dstport_range} | other number} {permit | deny} {enable | disable} [pri] 

语法 

global 表示全局 , 即所有安全域 , 包括域间和域内类型。 

policy_name 

src_iplist 

dst_iplist 


源 IP 地址列表 , 格式为 x.x.x.x, 范围是 IPV4LIST。 any 代 

表任意 IP 地址。 

目的 IP 地址列表 , 格式为 x.x.x.x, 范围是 IPV4LIST。 any 

代表任意 IP 地址。 

type ICMP 协议类型 , 可以设置为 : 


DEST_UNREACH ; 

SOURCE_QUENCH ; 

REDIRECT ; 

ROUTER_ADVERTISEMENT ; 

ROUTER_SOLICITATION ; 

TIME_EXCEEDED ; 

PARAMETERPROB ; 



ADDRESS_and_ADDRESSREPLY 。 

any 表示上述协议类型中的任意一种类型。 

type_list 

src_port 

srcport_range 

dst_port 

dstport_range 

number 

ICMP 类型列表 , 格式为 WORD。 

源端口 , 格式为 INTEGER。 

源端口范围 , 格式为 INTEGER。 

目的端口 , 格式为 INTEGER。 

目的端口范围 , 格式为 INTEGER。 

协议号或协议号范围 , 格式为 NUMBER。 



permit | deny 


pri 

• permit— 允许符合该全局 IP 包过滤策略的数据包通过防火墙 

• deny— 拒绝符合该全局 IP 包过滤策略的数据包通过防火墙 

缺省值为 deny 

• enable— 启用该 IP 包过滤策略 

• disable— 禁用该 IP 包过滤策略 

pri 关键字为可选项 , 表示策略优先级 , 格式为 INTEGER。 

说明 

1. 如果 pri 设置为 1, 表示将该 IP 包过滤策略添加到所有策略的前面 ; 如果 pri 省略 , 表示 

将该 IP 包过滤策略添加到所有策略的后面。 

2. 当 IP 数据包与所有的域间、域内策略均不匹配时 , 就与全局策略进行比对。域间 IP 包 

过滤策略的优先级高于域内策略。 

3. 选择 icmp 关键字 , 可以指定 ICMP 数据包的类型 , 也可以不指定。 

4. 当在一条策略中指定多个 ICMP 类型时 , 可用逗号隔开 , 并且不能重复。 

5. 选择 other 关键字 , 传输层协议号可以是数字 , 也可以是数字范围 , 并且不包括 1, 

6, 17。例如 : 指定协议号范围是 3-10, 实际上是 3-5, 7-10。 

6. 当在一条策略中指定多个其它协议时 , 协议号范围不能重叠。 

权限 


V 

V 

模式 


范例 

范例 1. 添加防火墙全局 IP 包过滤策略 global_test1, 其优先级为 12, 不指定任何传输层 

协议 , 状态为禁用。配置成功后 , 允许源 IP 和目的 IP 为任何地址的 IP 数据包通过防火 

墙。 

NokiaIPSO-VN:root-system]policy ip-filter global global_test1 any any 

any permit disable 12 

范例 2. 添加防火墙全局 IP 包过滤策略 global_test2, 其优先级为空 , 传输层协议为 

ICMP, 数据包类型为地址掩码请求和应答、时间戳请求和应答 , 状态为启用。配置成功 

后 , 允许源 IP 为任何地址 , 目的 IP 地址范围在 192.168.1.100-192.168.1.122 的 IP 数据 

包通过防火墙。 

NokiaIPSO-VN:root-system]policy ip-filter global global_test2 any 

192.168.1.100-192.168.1.122 icmp ADDRESS_and_ADDRESSREPLY, TIMESTAMP_ 

and_TIMESTAMPREPLY permit enable 



相关命令 

命令名称 

描述信息 





policy ip-filter inter-zone 

使用 policy ip-filter inter-zone 命令添加域间 IP 包过滤策略。配置成功后 , 

防火墙可以通过匹配该策略 , 允许或者拒绝域间 IP 数据包通过防火墙。 

命令 

policy ip-filter inter-zone policy_name {szone | any} {dzone | any} {src_iplist | any} {dst_ 

iplist | any} {any | icmp {type | type_list} | tcp {src_port | srcport_range} {dst_port | dstport_ 

range} | udp {src_port | srcport_ range} {dst_port | dstport_range} | other number} {permit | 

deny} {enable | disable} [pri] 

语法 


policy_name 

szone 

src_iplist 

dzone 

dst_iplist 


源安全域名称 , 格式为 WORD。 



目的安全域名称 , 格式为 WORD。 

目的 IP 地址列表 , 格式为 x.x.x.x, 范围是 IPV4LIST。 

any 代表任意 IP 地址。 





REDIRECT ; 









type_list 

src_port 

srcport_range 

dst_port 

dstport_range 







policy ip-filter inter-zone 

number 

permit | deny 


pri 


• permit— 允许符合该域间 IP 包过滤策略的数据包通过防火墙 

• deny— 拒绝符合该域间 IP 包过滤策略的数据包通过防火墙 





说明 



2. 域间策略只作用于域间转发的 IP 数据流。 


4. 当在一条策略中指定多个 ICMP 类型时 , 可用逗号隔开 , 并且不能重复。 




权限 


V 

V 

模式 


范例 

范例 1. 添加防火墙域间 IP 包过滤策略 inter_test1, 其优先级为空 , 协议为 TCP, 状态为 

启用。配置成功后 , 允许源 IP 地址范围在 192.168.1.123-192.168.1.145, 目的 IP 为任意 

地址 , 源安全域为 SzoneA、目的安全域为 DzoneA, 源端口为 11, 目的端口范围为 23- 

27 的 IP 数据包通过防火墙。 

NokiaIPSO-VN:root-system]policy ip-filter inter-zone inter_test1 SzoneA 

DzoneA 192.168.1.123-192.168.1.145 any tcp 11 23-27 permit enable 

范例 2. 添加防火墙域间 IP 包过滤策略 inter_test2, 其优先级为 25, 协议为 UDP, 状态 

为禁用。配置成功后 , 允许源 IP 地址范围在 192.168.1.156-192.168.1.178, 目的 IP 地址 

范围在 192.168.1.120-192.168.1.130, 源安全域为 SzoneB、目的安全域为 DzoneB, 源端 

口范围为 80-92, 目的端口范围为 22-45 的 IP 数据包通过防火墙。 



NokiaIPSO-VN:root-system]policy ip-filter inter-zone inter_test2 SzoneB 

DzoneB 192.168.1.156-192.168.1.178 192.168.1.120-192.168.1.130 udp 80- 

92 22-45 permit disable 25 

相关命令 

命令名称 

描述信息 




policy ip-filter intra-zone 


使用 policy ip-filter intra-zone 命令来添加域内 IP 包过滤策略。配置成功 

后 , 防火墙可以通过匹配该策略 , 允许或者拒绝域内 IP 数据包通过防火墙。 

命令 

policy ip-filter intra-zone policy_name zone {src_iplist | any} {dst_iplist | any} {any | icmp 

{type | type_list} | tcp {src_port | srcport_range} {dst_port | dstport_ range} | udp {src_port | 

srcport_ range} {dst_port | dstport_range} | other number} {permit | deny} {enable | disable} 

[pri] 

语法 

intra-zone 表示域内 , 即在一个安全域内。 

policy_name 

zone 

src_iplist 

dst_iplist 





目的 IP 地址列表 , 格式为 x.x.x.x, 范围是 IPV4LIST。 any 

代表任意 IP 地址。 





REDIRECT ; 









type_list 

src_port 

srcport_range 

dst_port 

dstport_range 

number 









permit | deny 


pri 

• permit— 允许符合该域内 IP 包过滤策略的数据包通过防火墙 

• deny— 拒绝符合该域内 IP 包过滤策略的数据包通过防火墙 





说明 



2. 域内策略只作用于域内转发的 IP 数据流。 


4. 当在一条策略中指定多种 ICMP 类型时 , 可用逗号隔开 , 并且不能重复。 




权限 


V 

V 

模式 


范例 

范例 1. 添加防火墙域内 IP 包过滤策略 intra_test1, 其优先级为空 , 传输层协议号为 9, 状 

态为禁用。配置成功后 , 拒绝源 IP 地址范围在 192.168.1.165, 目的 IP 地址为 

192.168.1.175, 源安全域为 SzoneC 的 IP 数据包通过防火墙。 

NokiaIPSO-VN:root-system]policy ip-filter intra-zone intra_test1 SzoneC 

192.168.1.165 192.168.1.175 other 9 deny disable 

范例 2. 添加防火墙域内 IP 包过滤策略 intra_test2, 其优先级为 63, 协议为 UDP, 状态 

为启用。配置成功后 , 拒绝源 IP 地址范围在 192.168.1.160-192.168.1.164, 目的 IP 地址 

范围在 192.168.1.136-192.168.1.158, 源安全域为 SzoneD, 源端口为 6, 目的端口为 7 的 

IP 数据包通过防火墙。 

NokiaIPSO-VN:root-system]policy ip-filter intra-zone intra_test2 SzoneD 

192.168.1.160-192.168.1.164 192.168.1.136-192.168.1.158 udp 6 7 deny 

enable 63 



相关命令 

命令名称 

描述信息 





policy ip-filter log 

使用 policy ip-filter log 命令为指定的 IP 包过滤策略设置日志记录开关。 

命令 

policy ip-filter policy_name log {on | off} 

语法 

policy_name 

on | off 


• on— 开启 IP 包过滤策略的日志开关 , 当有新建会话的数据包匹 

配到此策略时 , 发送数据包事件信息到防火墙的日志系统 

• off— 关闭 IP 包过滤策略的日志开关 , 当有新建会话的数据包匹 

配此策略时 , 不发送数据包事件信息到防火墙系统 

缺省值为 off 

权限 


V 

V 

模式 


范例 

范例 . 设置 IP 包过滤策略 test1 的日志为开启状态。 

NokiaIPSO-VN:root-system]policy ip-filter test1 log on 

相关命令 

命令名称 

描述信息 



policy ip-filter number 

policy ip-filter number 

使用 policy ip-filter number 命令修改指定的 IP 包过滤策略的优先级。配置成 

功后 , 可以改变 IP 数据包匹配该策略的先后顺序。 

命令 

policy ip-filter policy_name number pri 

语法 

policy_name 

pri 


策略优先级 , 格式为 INTEGER。 

说明 

如果 pri 设置为 1, 表示将该 IP 包过滤策略添加到所有策略的前面 ; 如果 pri 省略 , 表示 


权限 


V 

V 

模式 


范例 

范例 . 设置 IP 包过滤策略 test 的优先级为 5。 

NokiaIPSO-VN:root-system]policy ip-filter test number 5 

相关命令 

命令名称 

描述信息 





policy ip-filter permit,deny 

使用 policy ip-filter permit,deny 命令修改指定的 IP 包过滤策略的动作。 

命令 

policy ip-filter policy_name {permit | deny} 

语法 

policy_name 

permit | deny 


• permit— 允许符合指定策略的数据包通过防火墙 

• deny— 拒绝符合指定策略的数据包通过防火墙 

权限 


V 

V 

模式 


范例 

范例 . 允许符合 IP 包过滤策略 test 的数据包通过防火墙。 

NokiaIPSO-VN:root-system]policy ip-filter test permit 

相关命令 

命令名称 

描述信息 




policy ip-filter protocol 

policy ip-filter protocol 

使用 policy ip-filter protocol 命令向指定的 IP 包过滤策略中添加协议。 

命令 

policy ip-filter policy_name protocol {icmp {type | type_list} | other number | tcp {src_port | 

srcport_range} {dst_port | dstpor t_range} | udp {src_port | srcport_range} {dst_port | dstpor 

t_range}} 

语法 

policy_name 






REDIRECT ; 









type_list 

number 

src_port 

srcport_range 

dst_port 

dstport_range 







说明 

每条 IP 包过滤策略最多可以指定 8 组传输层协议条件。 

权限 


V 

V 



模式 


范例 

范例 1. 在 IP 包过滤策略 test1 中添加 ICMP 协议 , 不指定 ICMP 类型。 

NokiaIPSO-VN:root-system]policy ip-filter test1 protocol icmp any 

范例 2. 在 IP 包过滤策略 test2 中添加 TCP 协议 , 源端口号为 5, 目的端口号为 7。 

NokiaIPSO-VN:root-system]policy ip-filter test2 protocol tcp 5 7 

相关命令 

命令名称 

描述信息 




policy ip-filter schedule 

policy ip-filter schedule 

使用 policy ip-filter schedule 命令设置 IP 包过滤策略的有效期。配置成功 

后 , 该策略仅在有效时间内处于可用状态。 

命令 

policy ip-filter policy_name schedule start-week start-weekday end-week end-weekday 

time_range 

语法 

policy_name 


start-weekday 以星期为单位的 IP 包过滤策略的开始日期 , 格式为。 

1 Monday 

2 Tuesday 

3 Wednesday 

4 Thursday 

5 Friday 

6 Saturday 

7 Sunday 

end-weekday 以星期为单位的 IP 包过滤策略的终止日期 , 格式为。 

1 Monday 

2 Tuesday 

3 Wednesday 

4 Thursday 

5 Friday 

6 Saturday 

7 Sunday 

time_range 

IP 包过滤策略的有效时间段 , 格式为。 

说明 

1. 如果 IP 包过滤策略不设置生效时间 , 则认为该策略在任何时间都有效。 

2. 当 IP 包过滤策略设置不只一个有效时间段时 , 各个时间段之间用逗号隔开。 

权限 


V 

V 

模式 




范例 

范例 . 设置 IP 包过滤策略 test1 的有效期为周一至周五的 8:30:00-17:30:00。 

NokiaIPSO-VN:root-system]policy ip-filter test1 schedule start-week 1 

endweek 5 8:30:00-17:30:00 

相关命令 

命令名称 

描述信息 


unset policy ip-filter 

timeout,schedule 

删除 IP 包过滤策略的高级设置。 


policy ip-filter timeout 

policy ip-filter timeout 

使用 policy ip-filter timeout 命令设置指定的 IP 包过滤策略的会话超时时间。 

会话超时后 , 防火墙就会抛弃该 IP 数据包 , 并取消该数据包所属的会话。 

命令 

policy ip-filter policy_name timeout {ICMP | UDP | TCP type} exceed_time 

语法 

policy_name 


type TCP 会话类型 , 可以设置为 : 

SYN ; 

FIN ; 

EST ; 

CLOSE ; 

exceed_time 

超时时间 , 格式为 INTEGER。 

权限 


V 

V 

模式 


范例 

范例 . 设置 IP 包过滤策略 test1 的 ICMP 会话超时时间为 300 秒。 

NokiaIPSO-VN:root-system]policy ip-filter test1 timeout ICMP 300 

范例 3. 设置 IP 包过滤策略 test3 的 TCP 会话 SYN 状态超时时间为 15000 秒。 

NokiaIPSO-VN:root-system]policy ip-filter test3 timeout TCP SYN 15000 

相关命令 

命令名称 

描述信息 



timeout,schedule 

删除 IP 包过滤策略的高级设置。 



show policy ip-filter 

使用 show policy ip-filter 命令来显示 IP 包过滤策略。 

命令 

show policy ip-filter {policy_name | inter-zone | intra-zone | global} 

语法 

policy_name 

inter-zone | intra-zone 

| global 


• inter-zone— 域间 , 即两个安全域之间。选择 inter-zone, 表示 

显示域间 IP 包过滤策略列表 

• intra-zone— 域内 , 即在一个安全域内。选择 intra-zone, 表示 

显示域内 IP 包过滤策略列表 

• global— 全局 , 即所有安全域 , 包括域间和域内。选择 global, 

表示显示全局 IP 包过滤策略列表 

说明 

选择 rule_name 参数 , 表示显示指定的 IP 包过滤策略的详细信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示名称为 test 的 IP 包过滤策略。 

NokiaIPSO-VN:root>show policy ip-filter test 

相关命令 

命令名称 

描述信息 





show policy ip-filter intra-zone 

show policy ip-filter intra-zone 

使用 show policy ip-filter intra-zone 命令显示指定安全域内的所有 IP 包过 

滤策略。 

命令 

show policy ip-filter intra-zone zone_name 

语法 

zone_name 


权限 


V V V V V 

模式 


范例 

范例 . 显示安全域 zoneA 内的所有 IP 包过滤策略。 

NokiaIPSO-VN:root>show policy ip-filter intra-zone zoneA 

相关命令 

命令名称 

描述信息 





使用 unset policy ip-filter inrer-zone,intra-zone,global 命令删除指 

定类型的所有 IP 包过滤策略。 

命令 

unset policy ip-filter {policy_name | inter-zone | intra-zone [zone_name]| global} 

语法 

policy_name 

inter-zone | intra-zone 

| global 

zone_name 


• inter-zone— 域间 , 即两个安全域之间。选择 inter-zone, 表示 

删除所以域间 IP 包过滤策略 

• intra-zone— 域内 , 即在一个安全域内。选择 intra-zone, 表示 

删除所以域内 IP 包过滤策略 

• global— 全局 , 即所有安全域 , 包括域间和域内。选择 global, 

表示删除所以全局 IP 包过滤策略 


说明 

选择 rule_name, 表示删除指定的 IP 包过滤策略。 

权限 


V 

V 

模式 


范例 

范例 . 删除所有全局 IP 包过滤策略。 

NokiaIPSO-VN:root-system]unset policy ip-filter global 

相关命令 

命令名称 

描述信息 





命令名称 

描述信息 





unset policy ip-filter timeout,schedule 

使用 unset policy ip-filter 命令删除指定的 IP 包过滤策略的高级设置。 

命令 

unset policy ip-filter policy_name {timeout | schedule} 

语法 

policy_name 

timeout | schedule 


• timeout— 删除指定的 IP 包过滤策略的超时设置 

• schedule— 删除指定的 IP 包过滤策略的有效期设置 

权限 


V 

V 

模式 


范例 

范例 . 删除 IP 包过滤策略 test 的有效期设置。 

NokiaIPSO-VN:root-system]unset policy ip-filter test schedule 

相关命令 

命令名称 

描述信息 

policy ip-filter timeout 设置 IP 包过滤策略的超时时间。 

policy ip-filter schedule 设置 IP 包过滤策略的有效期。 


14 IP-MAC 绑定命令 

policy ip-mac 

使用 policy ip-mac 命令添加 IP-MAC 地址绑定策略。 

命令 

policy ip-mac policy_name ip_address mac_address {enable | disable} 

语法 

policy_name 

ip_address 

mac_address 



绑定的 IP 地址 , 格式为 x.x.x.x, 范围为 IPV4LIST。 

绑定的 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH。 

• enable— 启用所添加的 IP-MAC 地址绑定策略 

• diaable— 禁用所添加的 IP-MAC 地址绑定策略 

说明 

1. 设置多个 IP 地址对应一个 MAC 地址时 , 可以在一条规则或多条规则中指定。 

2. 一个 IP 地址只能绑定一个 MAC 地址。 

权限 


V 

V 

模式 


范例 

范例 1. 添加 IP 地址 192.168.1.102 和 MAC 地址 00:BF:36:2F:B0:9A 的 test1 地址绑定策 

略 , 其状态为启用。 


IP-MAC 绑定命令 

NokiaIPSO-VN:root-system]policy ip-mac test1 192.168.1.102 

00:BF:36:2F:B0:9A enable 

范例 2. 添加 IP 地址范围 192.168.1.155-192.168.1.165 和 MAC 地址 0C:9F:D3:66:1E:DB 

的 test2 地址绑定策略 , 其状态为禁用。 

NokiaIPSO-VN:root-system]policy ip-mac test2 192.168.1.155- 

192.168.1.165 0C:9F:D3:66:1E:DB disable 

相关命令 

命令名称 

policy ip-mac 

enable,disable 

描述信息 

修改 IP-MAC 地址绑定策略的状态。 

show policy ip-mac 显示 IP-MAC 地址绑定策略。 

unset policy ip-mac 删除 IP-MAC 地址绑定策略。 


policy ip-mac enable,disable 

policy ip-mac enable,disable 

使用 policy ip-mac enable,disable 命令来修改 IP-MAC 地址绑定策略的状态。 

命令 

policy ip-mac policy_name {enable | disable} 

语法 

policy_name 

enable | 

disable 


• enable— 启用所添加的 IP-MAC 地址绑定策略 

• diaable— 禁用所添加的 IP-MAC 地址绑定策略 

说明 

只有成功添加了 policy_name 策略后 , 才可以使用该命令来修改其策略的状态。 

权限 


V 

V 

模式 


范例 

范例 . 修改 IP-MAC 地址绑定策略 test1 的状态为 enable。 

NokiaIPSO-VN:root-system]policy ip-mac test1 enable 

相关命令 

命令名称 

描述信息 

policy ip-mac 添加 IP-MAC 地址绑定策略。 





show policy ip-mac 

使用 show policy ip-mac 命令显示 IP-MAC 地址绑定策略。 

命令 

show policy ip-mac [policy_name] 

语法 

policy_name 


说明 

不指定 policy_name 参数 , 表示显示所有的地址绑定策略。 

权限 


V V V 

模式 


范例 

范例 . 显示策略名称为 test 的 IP-MAC 地址绑定策略。 

NokiaIPSO-VN:root>show policy ip-mac test 


Ip-mac bind rule: test 

State: enable 

Iplist: 

192.168.1.102 

Mac: 

00:BF:36:2F:B0:9A 


show policy ip-mac 

相关命令 

命令名称 

描述信息 


policy ip-mac 






unset policy ip-mac 

使用 unset policy ip-mac 命令删除 IP-MAC 地址绑定策略。 

命令 

unset policy ip-mac [policy_name] 

语法 

policy_name 


说明 

不指定 policy_name 参数 , 表示删除所有的地址绑定策略。 

权限 


V 

V 

模式 


范例 

范例 . 删除策略名称为 test 的 IP-MAC 地址绑定策略。 

NokiaIPSO-VN:root-system]unset policy ip-mac test 

相关命令 

命令名称 

描述信息 


policy ip-mac 





15 语言设置命令 

language 

使用 language 命令来设置防火墙使用的语言 , 缺省设置为英语。 

命令 

language {chinese | english} 

权限 


V 

V 

模式 



语言设置命令 

show language 

使用 show language 命令显示防火墙使用的语言。 

命令 

show language 

权限 


V V V 

模式 


范例 

范例 . 显示防火墙使用的语言。 

NokiaIPSO-VN:root>show language 


Firewall Language is Chinese now 


16 多播命令 

dvmrp cache-lifetime 

使用 dvmrp cache-lifetime 命令设置 DVMRP ( 距离矢量多播路由协议 ) 路由的 

缓存时间 , 其缺省值为 300 秒。 

命令 

dvmrp cache-lifetime time 

语法 

time 

路由缓存时间 , 单位为 " 秒 ", 格式为 INTEGER。 

说明 

设置的 DVMRP 路由的缓存时间必须是 5 的倍数。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

dvmrp on,off 启用或者禁用虚拟系统和三层接口的距离矢量多播路由协议。 

show dvmrp 显示 DVMRP 的设置信息。 


多播命令 

dvmrp metric 

使用 dvmrp metric 命令 , 修改三层接口的 DVMRP ( 距离矢量多播路由协议 ) 度量 

值。 

命令 

dvmrp metric {metric | default} 

语法 

metric 

DVMRP 度量值 , 格式为 INTEGER。 

default 表示缺省值 , 其值为 1。 

权限 


V 

V 

模式 

该命令在 VLAN 配置模式和接口配置模式下使用。 

相关命令 

命令名称 

描述信息 


dvmrp route 添加静态多播路由。 



dvmrp on,off 

dvmrp on,off 

使用 dvmrp on,off 命令来启用或者禁用虚拟系统和三层接口的距离矢量多播路由协 

议。 

命令 

dvmrp {on | off} 

语法 

on | off 

• on— 启用虚拟系统和三层接口的距离矢量多播路由协议 

• off— 禁用虚拟系统和三层接口的距离矢量多播路由协议 


说明 

1. 如果要启用或者禁用虚拟系统的 DVMRP, 在全局配置模式下使用该命令。 

2. 如果要启用或者禁用三层接口的 DVMRP, 在 VLAN 模式和接口模式下使用该命令。 

权限 


V 

V 

模式 

该命令可以全局配置模式、 VLAN 配置模式和接口配置模式下使用。 

相关命令 

命令名称 

描述信息 

show dvmrp 显示距离矢量多播路由协议的设置信息。 


多播命令 

dvmrp pim 

使用 dvmrp pim 命令来设置 DVMRP ( 距离矢量多播路由协议 ) 是否兼容 PIM 协议。 

命令 

dvmrp pim {enable | disable} 

语法 


• enable—DVMRP 协议兼容 PIM 协议 

• disable—DVMRP 协议不兼容 PIM 协议 

缺省设置为 disable 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 




dvmrp prune-lifetime 

dvmrp prune-lifetime 

使用 dvmrp prune-lifetime 命令设置 Prune 存活时间 , 其缺省值为 7200 秒。 

命令 

dvmrp prune-lifetime time 

语法 

time 

Prune 存活时间 , 单位为 " 秒 ", 格式为 INTEGER。 

说明 

设置的 Prune 存活时间必须是 5 的倍数。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 




多播命令 

dvmrp route 

使用 dvmrp route 命令 , 为多播路由表添加静态多播路由。配置成功后 , 防火墙可以 

使用所配置的静态路由 , 在三层接口间转发多播信息流。 

命令 

dvmrp route multicast_source_ipaddress group_address input interface_name output 

interface_namelist [ttl time] 

语法 

multicast_source_ipaddress 

group_address 

源 IP 地址 , 格式为 x.x.x.x。 

组 IP 地址 , 格式为 x.x.x.x。 

input 表示多播转发的入口三层接口。 

Interface_name 

入口三层接口 , 格式为 WORD。 

output 表示多播转发的出口三层接口。 

interface_namelist 

出口三层接口列表 , 格式为 WORD。 

ttl ttl 关键字为可选项 , 表示多播信息的生存时间。 

time 生存时间 , 格式为 INTEGER, 缺省值为 1。 

权限 


V 

V 

模式 


范例 

范例 . 为多播路由表添加静态多播路由。当一条多播信息从源 IP 地址 192.168.1.100 广播 

到组 IP 地址 224.3.3.3 时 , 该多播信息将从入口接口 VLAN100 转发到出口接口 

VLAN201 和 VLAN202。多播信息的生存时间为 2。 

NokiaIPSO-VN:root-system]dvmrp route 192.168.1.100 224.3.3.3 input 

vlan100 output vlan201,vlan202 ttl 2 


dvmrp route 

相关命令 

命令名称 

描述信息 


unset dvmrp route 删除 DVMRP 多播路由表中的多播路由。 


多播命令 

dvmrp ttl 

使用 dvmrp ttl 命令设置三层接口的阈值。 

关于阈值的介绍 , 请参见用户指南的《多播路由》章节。 

命令 

dvmrp ttl {num | default} 

语法 

num 

阈值 , 格式为 INTEGER。 

default 表示缺省值 , 其值为 1。 

权限 


V 

V 

模式 

该命令在 VLAN 配置模式和接口配置模式下使用。 

相关命令 

命令名称 

描述信息 


dvmrp route 添加静态多播路由。 



igmp-snooping 

igmp-snooping 

使用 igmp-snooping 命令来打开或者关闭 VLAN 接口的 IGMP 侦听功能。启动成功 

后 , 允许在该 VLAN 内转发多播信息流。 

命令 

igmp-snooping {on | off} 

语法 

on | off 

• on— 打开 VLAN 接口的 IGMP 侦听功能 

• off— 关闭 VLAN 接口的 IGMP 侦听功能 


权限 


V 

V 

模式 


相关命令 

命令名称 

show igmp-snooping 

state 

描述信息 

显示 IGMP Snooping 的状态。 


多播命令 

igmp-snooping interface-flags 

使用 igmp-snooping interface-flags 命令 , 设置 VLAN 包含的二层接口的路由 

标识。网络类型的缺省设置为 negotiate。 

命令 

igmp-snooping interface-flags {ethernet | channel} interface_num {negotiate | multicastrouter 

| host} 

语法 

interface_num 以太网接口标识。 

1. 如果设置为 ethernet 接口类型 , interface_num 的格式为 

WORD。 

2. 如果设置为 channel 接口类型 , interface_num 的格式为 

INTEGER。 

negotiate | 

multicast-router | 

host 

路由接口标志。 

• negotiate— 自动识别类型 

• multicast-router— 路由器类型 

• host— 主机类型 

权限 


V 

V 

模式 



igmp-snooping version 

igmp-snooping version 

使用 igmp-snooping version 命令 , 设置二层接口的 IGMP Snooping 协议的版本。 

命令 

igmp-snooping version {ethernet | channel} interface_num {v1 | v2 | auto} 

语法 

interface_num 以太网接口标识。 

1. 如果设置为 ethernet 接口类型 , interface_num 的格式为 

WORD。 

2. 如果设置为 channel 接口类型 , interface_num 的格式为 

INTEGER。 

v1 | v2 | auto IGMP Snooping 协议的版本 , 缺省设置为 v2。 

权限 


V 

V 

模式 


范例 

范例 . 设置二层接口 ethernet2 使用 v1 版本的 IGMP Snooping 协议。 

NokiaIPSO-VN:root-system-vlan1]igmp-snooping version ethernet 2 v1 


多播命令 

multicast cam-table 

使用 multicast cam-table 命令 , 为 VLAN 添加多播转发表。配置成功后 , 防火墙 

可以在 VLAN 接口内 , 使用多播转发表的信息转发信息流。 

命令 

multicast cam-table group_address interface_list 

语法 

interface_list 

group_address 

VLAN 包含的二层接口列表 , 格式为 WORD。 

多播组 IP 地址 , x.x.x.x。 

权限 


V 

V 

模式 


范例 

范例 . 为 VLAN1 添加多播转发表。当要向多播组 192.168.1.110 转发信息流时 , 通过 

VLAN1 的二层接口 eth2 和 eth3 转发出去。 

NokiaIPSO-VN:root-system-vlan1]multicast cam-table 192.168.1.110 

eth2,eth3 

相关命令 

命令名称 

unset multicast 

cam-table 

描述信息 

删除 VLAN 的多播转发表。 


policy multicast 


使用 policy multicast 命令来添加多播策略。配置成功后 , 防火墙可以通过匹配多 

播策略 , 允许或者拒绝多播数据信息流通过防火墙。 

命令 

policy multicast policy_name {szone | any} {source_iplist | any} {group_iplist | any} 

allowed-zone {dzone_list | any} {enable | disable} [pri] 

语法 

policy_name 

多播策略名称 , 格式为 WORD。 

szone 源安全域名称 , 格式为 WORD。 any 代表任何安全域。 

source_iplist 

group_iplist 

源 IP 地址列表 , 格式为 IPV4LIST。 any 代表的范围为 

0.0.0.0-255.255.255.255。 

组 IP 地址列表 , 格式为 IPV4LIST。 any 代表的范围为 

224.0.0.0-239.255.255.255。 

allowed-zone 表示多播策略的目的安全域。 

dzone_list 


pri 

目的安全域名称列表 , 格式为 WORD。 

• enable— 启用添加的多播策略 

• disable— 禁用添加的多播策略 

pri 为可选项 , 表示策略优先级 , 格式为 INTEGER。 

说明 

1. 如果 pri 设置为 1, 表示将该多播策略添加到所有策略的前面 ; 如果 pri 省略 , 表示将 

该多播策略添加到所有策略的后面。 

2. 在防火墙默认情况下 , 不允许多播数据信息流通过防火墙。如果要允许多播数据信 

息流通过防火墙 , 必须配置多播策略。 

权限 


V 

V 

模式 



多播命令 

范例 

范例 . 添加多播策略 test, 其优先级为 1。配置成功后 , 当 IP 地址范围在 0.0.0.0- 

255.255.255.255 的多播数据流从安全域 SzoneA 进入防火墙 , 要发送到 IP 地址范围在 

224.0.0.0-239.255.255.255 的设备上 , 允许通过安全域 DzoneA 和 DzoneB 发送到目的设 

备。 

NokiaIPSO-VN:root-system]policy multicast test SzoneA any any allowedzone 

DzoneA,DzoneB enable 1 

相关命令 

命令名称 


allowed-zone 




number 

show policy 

multicast 

unset policy 

multicast 

描述信息 

为多播策略添加目的安全域。 

启用或者禁用多播策略。 

更改多播策略的优先级。 

显示多播策略。 

删除多播策略。 


policy multicast allowed-zone 

policy multicast allowed-zone 

使用 policy multicast allowed-zone 命令为多播策略添加目的安全域。 

命令 

policy multicast policy_name allowed-zone dzone 

语法 

policy_name 



dzone 


权限 


V 

V 

模式 


范例 

范例 . 为 test 多播策略追加目的安全域 ZoneA。 

NokiaIPSO-VN:root-system]policy multicast test allowed-zone ZoneA 

相关命令 

命令名称 

描述信息 

policy multicast 添加多播策略。 

show policy 

multicast 

unset policy 

multicast 

unset policy 

multicast allowedzone 



删除多播策略的安全域。 


多播命令 

policy multicast enable,disable 

使用 policy multicast enable,disable 命令来启用或者禁用多播策略。 

命令 

policy multicast policy_name {enable | disable} 

语法 

policy_name 



• enable— 启用多播策略 

• disable— 禁用多播策略 

权限 


V 

V 

模式 


范例 

范例 . 禁用名称为 test 的多播策略。 

NokiaIPSO-VN:root-system]policy multicast test disable 

相关命令 

命令名称 

描述信息 


show policy 

multicast 

unset policy 

multicast 




policy multicast number 

policy multicast number 

使用 policy multicast number 命令来更改多播策略的优先级。优先级的数值越小 

代表其级别越高。在进行多播策略匹配时 , 优先匹配级别高的策略。 

命令 

policy multicast policy_name number pri 

语法 

policy_name 

pri 


pri 为可选项 , 表示策略的优先级 , 格式为 INTEGER。 

说明 

如果 pri 设置为 1, 表示将该多播策略添加到所有策略的前面 ; 如果 pri 省略 , 表示将该 

多播策略添加到所有策略的后面。 

权限 


V 

V 

模式 


范例 

范例 . 更改 test 多播策略的优先级为 3。 

NokiaIPSO-VN:root-system]policy multicast test number 3 

相关命令 

命令名称 

描述信息 


show policy 

multicast 

unset policy 

multicast 




多播命令 

show dvmrp interface,neighbor,timer 

使用 show dvmrp interface,neighbor,timer 命令来显示 DVMRP 相关的监控信 

息。 

命令 

show dvmrp {interface | neighbor | timer} 

语法 

interface | neighbor | 

timer 

• interface— 显示 DVMRP 的接口信息 

• neighbor— 显示 DVMRP 的相邻信息 

• timer— 显示 DVMRP 的定时器信息 

权限 


V V V V V 

模式 


范例 

范例 . 显示 DVMRP 的定时器信息。 

NokiaIPSO-VN:root>show dvmrp timer 


DVMRP Timers List: 

Timer 

Information 

Next neighbor igmp time(seconds) 125 

Next neighbor probe due in(seconds) 10 

Cache entry average lifetime(seconds) 300 

Prune entry average lifetime(seconds) 7200 


show dvmrp route,state 

show dvmrp route,state 

使用 show dvmrp route,state 命令来显示 DVMRP ( 距离矢量多播路由协议 ) 的 

配置信息。 

命令 

show dvmrp {route | state} 

语法 

route | state 

• route— 显示 DVMRP 的路由信息 

• state— 显示虚拟系统的 DVMRP 状态以及虚拟系统的所包含三层 

接口的 DVMRP 状态 

权限 


V V V V V 

模式 


范例 

范例 . 显示 DVMRP 的路由信息。 

NokiaIPSO-VN:root>show dvmrp state 


Dvmrp State: disable 

Pim state: off 

Cache lifetime: 100 

Prune lifetime: 200 

Layer 3 interface list 

Interface Name State Metric Ttl 

vlan1 off 1 1 

vlan10 off 1 1 


多播命令 



相关命令 

命令名称 

描述信息 


dvmrp route 添加静态多播路由信息。 


show igmp-snooping state 

show igmp-snooping state 

使用 show igmp-snooping state 命令来显示 IGMP-SNOOPING 的状态。 

命令 

show igmp-snooping state [vlan vlan_num] 

语法 

vlan_num 

VLAN 的接口标识 , 格式为 INTEGER。 

说明 

如果不指定 VLAN, 则显示当前虚拟系统所有接口的 IGMP-SNOOPING 状态。 

权限 


V V V V V 

模式 


范例 

范例 . 显示 VLAN1 的 IGMP-SNOOPING 的状态。 

NokiaIPSO-VN:root>show igmp-snooping state vlan 1 


vlan1: state:disable 

Include port 

eth0, route-flag is route, version is v1 

Igmp snooping table 

Gip Port 

224.1.1.1 eth0 

相关命令 

命令名称 

描述信息 

igmp-snooping 启用或者禁用 VLAN 接口的 IGMP 侦听功能。 


多播命令 

show policy multicast 

使用 show policy multicast 命令来显示多播策略。 

命令 

show policy multicast [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则显示防火墙所有的多播策略。 

权限 


V V V V V 

模式 


范例 

范例 . 显示名称为 test 的多播策略。 

NokiaIPSO-VN:root>show policy multicast test 


Multicast security rule test: 

SZone: Any 

State: enable 

Sip List: 

Any 

Gip List: 

Any 

AllowZone: 

Any 


show policy multicast 

相关命令 

命令名称 

描述信息 


unset policy 

multicast 



多播命令 

unset dvmrp route 

使用 unset dvmrp route 命令来删除 DVMRP ( 距离矢量多播路由协议 ) 多播路由 

表中的多播路由。 

命令 

unset dvmrp route [multicast_source_ipaddress group_address input interface_name] 

语法 

multicast_source_ipaddress 

group_address 


组 IP 地址 , 格式为 x.x.x.x。 

input 表示多播转发的入口三层接口。 

Interface_name 

入口三层接口名称 , 格式为 WORD。 

权限 


V 

V 

模式 


范例 

范例 . 删除 DVMRP 多播路由表中入口接口为 VLAN100、源 IP 地址为 192.168.1.100、 

组 IP 地址为 224.3.3.3 的多播路由。 

NokiaIPSO-VN:root-system]unset dvmrp route 192.168.1.100 224.3.3.3 

input vlan100 

相关命令 

命令名称 

描述信息 


dvmrp route 为多播路由表添加静态多播路由。 



unset multicast cam-table 

unset multicast cam-table 

使用 unset multicast cam-table 命令 , 删除 VLAN 的多播转发表。 

命令 

unset multicast cam-table [group_address] 

语法 

group_address 

多播组 IP 地址 , x.x.x.x。 

权限 


V 

V 

模式 


范例 

范例 . 删除 VLAN1 的多播组 IP 地址为 224.3.3.3 的多播转发表。 

NokiaIPSO-VN:root-system-vlan1]unset multicast cam-table 224.3.3.3 

相关命令 

命令名称 

描述信息 

multicast cam-table 为 VLAN 添加多播转发表。 


多播命令 

unset policy multicast 

使用 unset policy multicast 命令来删除多播策略。 

命令 

unset policy multicast [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则删除所有多播策略。 

权限 


V 

V 

模式 


范例 

范例 . 删除名称为 test 的多播策略。 

NokiaIPSO-VN:root-system]unset policy multicast test 

相关命令 

命令名称 

描述信息 


show policy 

multicast 



unset policy multicast allowed-zone 

unset policy multicast allowed-zone 

使用 unset policy multicast allowed-zone 命令删除多播策略的安全域。 

命令 

unset policy multicast policy_name allowed-zone dzone 

语法 

policy_name 



dzone 


权限 


V 

V 

模式 


范例 

范例 . 删除 test 多播策略的目的安全域 ZoneA。 

NokiaIPSO-VN:root-system]unset policy multicast test allowed-zone ZoneA 

相关命令 

命令名称 


allowed-zone 

描述信息 

为多播策略添加安全域。 


show policy 

multicast 

unset policy 

multicast 




多播命令 


17 地址转换命令 

policy dnat 

使用 policy dnat 命令来添加目的地址转换策略。配置成功后 , 防火墙将根据该策 

略 , 在数据包经过防火墙的时候改变其目的 IP 地址。 

命令 

policy dnat policy_name before_trans_ipaddress {after_trans_ipaddress | {tcp | udp | other} 

before_trans_port after_trans_ipaddress after_trans_port} {enable | disable} [pri] 

语法 

policy_name 

before_trans_ipaddress 

before_trans_port 

after_trans_ipaddress 

after_trans_port 


转换前目的 IP 地址 , 格式为 x.x.x.x。 

转换前端口 , 格式为 INTEGER。 

转换后目的 IP 地址 , 格式为 x.x.x.x。 

转换后端口 , 格式为 INTEGER。 

enable | disable • enable— 启用目的地址转换策略。 

• disable— 禁用目的地址转换策略。 

pri 

pri 为可选项 , 表示目的地址转换策略的序号 , 格式为 

INTEGER。 

说明 

如果 pri 设置为 1, 表示将该目的地址转换策略添加到所有策略的前面 ; 如果 pri 省略 , 

表示该目的地址转换策略添加到所有策略的后面。 

权限 


V 

V 


地址转换命令 

模式 


范例 

范例 . 添加目的地址转换策略 test。当目的地址为 192.168.1.101 的数据包从 80 端口进入 

防火墙时 , 其目的地址和端口分别转换为 192.168.1.106 和 8080。 

NokiaIPSO-VN:root-system]policy dnat test 192.168.1.101 tcp 80 

192.168.1.106 8080 enable 2 

相关命令 

命令名称 

描述信息 

policy dnat enable,disable 启用或者禁用目的地址转换策略。 

policy dnat load-balancing 添加具有负载均衡功能的目的地址转换策略。 

policy dnat number 设置目的地址转换策略的序号。 

show policy dnat 显示目的地址转换策略的配置信息。 

unset policy dnat 删除目的地址转换策略。 


policy dnat enable,disable 

policy dnat enable,disable 

使用 policy dnat enable,disable 命令来启用或者禁用目的地址转换策略。 

命令 

policy dnat policy_name {enable | disable} 

语法 

policy_name 




权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

policy dnat 添加目的地址转换策略。 

policy dnat loadbalancing 

添加具有负载均衡功能的目的地址转换策略。 



policy dnat load-balancing 

使用 policy dnat load-balancing 命令添加具有负载均衡功能的目的地址转换策 

略。配置成功后 , 防火墙将根据目的地址转换策略 , 在数据包经过防火墙的时候改变其 

目的 IP 地址。 

命令 

policy dnat policy_name load-balancing before_trans_ipaddress {tcp | udp | other} 

before_trans_port after_trans_ip after_trans_port metric [ip-track {arpping | ping | tcpping 

port track_port} track_cycle track_ time] {enable | disable} [pri] 

语法 

policy_name 


before_trans_port 

after_trans_ip 


metric 


转换前的目的 IP 地址 , 格式为 x.x.x.x。 

转换前端口 , 格式为 INTEGER。 

转换后的目的 IP 地址 , 格式为 x.x.x.x。 

转换后的端口 , 格式为 INTEGER。 

度量值 , 格式为 INTEGER。 

ip-track 表示设置链路探测。 

arpping ARP 是地址解析协议 , 表示 ARP 探测。 

ping 

ICMP 是网络报文协议 , 表示 ICMP 探测 , 防火墙使用 Ping 命令向 

下一跳路由器发送 ICMP 报文。 

tcpping TCP 是传输控制协议 , 表示 TCP 探测。 

port 探测端口。 

track_port 

track_cycle 

track_time 

探测端口 , 格式为 INTEGER。 

探测周期 , 格式为 INTEGER。 

探测时间 , 格式为 INTEGER。 



pri 


INTEGER。 

说明 


policy dnat load-balancing 



权限 


V 

V 

模式 


范例 

范例 . 添加具有负载均衡功能的目的地址转换策略 test。当目的地址为 192.168.1.100 的 

数据包从 80 端口进入防火墙时 , 其目的地址和端口分别转换为 192.168.1.110 和 8080。 

NokiaIPSO-VN:root-system]policy dnat test load-balancing 192.168.1.100 

tcp 80 192.168.1.110 8080 2 enable 2 

相关命令 

命令名称 

描述信息 


policy dnat 


policy dnat 

number 

启用或者禁用目的地址转换策略。 

设置目的地址转换策略的序号。 





policy dnat matching 

使用 policy dnat matching 命令为目的地址转换策略添加策略条件。配置成功后 , 

如果数据包满足该策略所有的策略条件 , 则使用该策略转换其目的 IP 地址。 

命令 

policy dnat policy_name matching {sip start_ipaddress [end_ipaddress] | input-interface 

interface_name | load-balancing after_trans_ip after_trans_port metric [ip-track {arpping | 

ping | tcpping port track_port} track_cycle track_time]} 

语法 

policy_name 


sip 源 IP 地址。 

start_ipaddress 

end_ipaddress 

目的 IP 地址的起始地址 , 格式为 x.x.x.x。 

目的 IP 地址的终止地址 , 格式为 x.x.x.x。 

input-interface 入口三层接口。 


after_trans_ip 


metric 


转换后的目的 IP 地址 , 格式为 x.x.x.x。 

转换后的端口 , 格式为 INTEGER。 

度量值 , 格式为 INTEGER。 



ping 




port 探测端口。 

track_port 

track_cycle 

track_time 




说明 

目的 IP 地址的起始地址和终止地址之间的 IP 地址数量不能超过 32 个。 


policy dnat matching 

权限 


V 

V 

模式 


范例 

范例 . 为目的地址转换策略 test 添加策略条件。当目的 IP 地址为 192.168.1.100 的数据包 

从 VLAN1 进入防火墙后使用该策略进行目的地址转换。 

NokiaIPSO-VN:root-system]policy dnat test matching sip 192.168.1.100 

NokiaIPSO-VN:root-system]policy dnat test matching input-interface vlan1 

相关命令 

命令名称 

描述信息 




unset policy dnat matching 删除目的地址转换策略的策略条件。 



policy dnat number 

使用 policy dnat number 命令来更改目的地址转换策略的序号。 

命令 

policy dnat policy_name number pri 

语法 

policy_name 

pri 



INTEGER。 

说明 



权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 





policy mip 

policy mip 

使用 policy mip 命令来添加静态地址映射策略。配置成功后 , 防火墙将根据静态地址 

映射策略 , 在数据包经过防火墙的时候转换其 IP 地址。 

命令 

policy mip policy_name before_trans_ipaddress after_trans_ipaddress {enable | disable} [pri] 

语法 

policy_name 


after_trans_ipaddress 


转换前的 IP 地址 , 格式为 x.x.x.x。 

转换后的 IP 地址 , 格式为 x.x.x.x。 

enable | disable • enable— 启用静态地址映射策略。 

• disable— 禁用静态地址映射策略。 

pri 

pri 为可选项 , 表示静态地址映射策略的序号 , 格式为 

INTEGER。 

说明 

1. 如果 pri 设置为 1, 表示将该静态地址映射策略添加到所有策略的前面 ; 如果 pri 省略 , 

表示该静态地址映射策略添加到所有策略的后面。 

2. 转换后的 IP 地址保留时间是指转换到该地址的所有会话都断开后 , 该地址的保留时 

间。如果在设置的时间内没有转换到该地址的会话 , 则释放该地址。 

3. 防火墙内部网络发起的数据包经过防火墙时 , 通过匹配静态地址映射策略转换数据 

包的源 IP 地址 ; 防火墙外部发起点的数据包经过防火墙时 , 通过匹配静态地址映射策略 

转换数据包的目的 IP 地址。 

权限 


V 

V 

模式 


范例 

范例 . 添加静态地址映射策略 test。当从防火墙内部网络发起的数据包经过防火墙后 , 数 

据包的源 IP 地址 192.168.1.100 会转换为 192.168.1.107。 



NokiaIPSO-VN:root-system]policy mip test 192.168.1.100 192.168.1.107 

enable 2 

相关命令 

命令名称 

policy mip 


policy mip 

matching 

policy mip 

number 

描述信息 

启用或者禁用静态地址映射策略。 

为静态地址映射策略添加策略条件。 

改变静态地址映射规则的序号。 

show policy mip 显示静态地址映射策略的配置信息。 

unset policy mip 删除静态地址映射策略。 


policy mip enable,disable 

policy mip enable,disable 

使用 policy mip enable,disable 命令来启用或者禁用静态地址映射策略。 

命令 

policy mip policy_name {enable | disable} 

语法 

policy_name 


enable | disable • enable— 启用静态地址映射策略。 

• disable— 禁用静态地址映射策略。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

policy mip 添加静态地址映射策略。 



policy mip matching 

使用 policy mip matching 命令 , 为静态地址映射策略添加策略条件。配置成功 

后 , 如果数据包满足该静态地址映射策略所有的策略条件 , 则使用该策略进行静态地址 

映射。 

命令 

policy mip policy_name matching {dip start_ipaddress [end_ipaddress] | protocol {icmp 

{type | typelist} | {tcp | udp} port start_port [end_port] | other start_typenum [end_typenum] | 

{input-interface | output-interface} interface_name} 

语法 

policy_name 


dip 目的 IP 地址。 


end_ipaddress 







REDIRECT ; 




PARAMETERPROB。 





typelist 

start_port 

end_port 

ICMP 协议类型列表 , 格式为 WORD。列表可以为下述协 

议类型的任意组合 : 

ECHO_and_ECHOREPLY , DEST_UNREACH, 

SOURCE_QUENCH , REDIRECT, 

ROUTER_ADVERTISEMENT, ROUTER_SOLICITATION , 

TIME_EXCEEDED , PARAMETERPROB, 

TIMESTAMP_and_TIMESTAMPREPLY, 

INFO_REQUEST_and_INFO_REPLY, 

ADDRESS_and_ADDRESSREPLY。 

源端口的起始端口 , 格式为 INTEGER。 

源端口的终止端口 , 格式为 INTEGER。 


policy mip matching 

start_typenum 

end_typenum 

起始协议号 , 格式为 INTEGER。 

终止协议号 , 格式为 INTEGER。 


output-interface 出口三层接口。 



说明 

1. 目的 IP 地址的起始地址和终止地址之间的 IP 地址数量不能超过 32 个。 

2. 最多可以设置 32 组含有协议类型的策略条件。 

3. 添加的入口接口策略信息只对从防火墙内部网络发起到防火墙外部网络的数据包有 

效。 

4. 添加的出口接口策略信息只对从防火墙外部网络发起到防火墙内部网络的数据包有 

效。 

权限 


V 

V 

模式 


范例 

范例 . 为静态地址映射 test 添加策略条件。如果目的 IP 地址为 192.168.1.105 的数据包从 

VLAN1 进入防火墙并从 VLAN2 接口发送出去 , 则使用 mtest 策略进行静态地址转换。 

NokiaIPSO-VN:root-system]policy mip test matching dip 192.168.1.105 

NokiaIPSO-VN:root-system]policy mip test matching input-interface vlan1 

NokiaIPSO-VN:root-system]policy mip test matching output-interface 

vlan2 

相关命令 

命令名称 

描述信息 





命令名称 

描述信息 


unset policy mip matching 删除静态地址映射策略的策略条件。 


policy mip number 

policy mip number 

使用 policy mip number 命令来更改静态地址映射策略的序号。 

命令 

policy mip policy_name number pri 

语法 

policy_name 

pri 


pri 为可选项 , 表示静态地址映射策略的序号 , 格式为 

INTEGER。 

说明 



权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 






policy snat 

使用 policy snat 命令来添加源地址转换策略。配置成功后 , 防火墙将根据该策略 , 

在数据包经过防火墙的时候转换其源 IP 地址。 

命令 

policy snat policy_name {before_trans_ipaddress | before_trans_iprange} 

after_trans_iprange_list {holdtime time | napt} {enable | disable} [pri] 

语法 

policy_name 


before_trans_iprange 

after_trans_iprange_list 


转换前的源 IP 地址 , 格式为 x.x.x.x。 

转换前的源 IP 地址范围 , 格式为 IPV4RANGE。 

转换后的源 IP 地址列表 , 格式为 IPV4LIST。 

holdtime 表示设置转换后的源 IP 地址保留时间。 

time 

转换后的源 IP 地址保留时间 , 单位是秒 , 格式为 

INTEGER。 

napt 表示允许进行源端口转换。 

enable | disable • enable— 启用源地址转换策略。 

• disable— 禁用源地址转换策略。 

pri 

pri 为可选项 , 表示源地址转换策略的序号 , 格式为 

INTEGER。 

说明 

1. 如果 pri 设置为 1, 表示将该源地址转换策略添加到所有策略的前面 ; 如果 pri 省略 , 

表示该源地址转换策略添加到所有策略的后面。 

2. 转换后的源 IP 地址保留时间是指转换为该地址的所有会话都断开后 , 该地址的保留 

时间。如果在设置的时间内没有转换到该地址的会话 , 则释放该地址。 

3. 在同一个 Vsys 下的源地址转换策略中 , 如果有多条策略指定了相同或者重叠的 

after_trans_iprange_list, 那么这些策略都必须进行端口转换 , 或者都不进行端口转换。 

权限 


V 

V 

模式 


policy snat 


范例 

范例 . 添加源地址转换策略 test。当数据包进入防火墙后 , 源 IP 地址 192.168.1.101 会转 

换为 192.168.1.105, 转换后的地址保留时间为 200 秒。 

NokiaIPSO-VN:root-system]policy snat test 192.168.1.101 192.168.1.105 

holdtime 200 enable 2 

相关命令 

命令名称 

描述信息 

policy snat enable,disable 启用或者禁用源地址转换策略。 

policy snat matching 为源地址转换策略添加策略条件。 

policy snat number 改变源地址转换规则的序号。 

show policy snat 显示源地址转换策略的配置信息。 

unset policy snat 删除源地址转换策略。 



policy snat enable,disable 

使用 policy snat enable,disable 命令来启用或者禁用源地址转换策略。 

命令 

policy snat policy_name {enable | disable} 

语法 

policy_name 


enable | disable • enable— 启用源地址转换策略。 

• disable— 禁用源地址转换策略。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

policy snat 添加源地址转换策略。 


policy snat matching 

policy snat matching 

使用 policy snat matching 命令 , 为源地址转换策略添加策略条件。配置成功后 , 

如果数据包满足该策略所有的策略条件 , 则转换源 IP 地址。 

命令 

policy snat policy_name matching {dip start_ipaddress [end_ipaddress] | protocol {icmp 

{type | typelist} | {tcp | udp} port start_port [end_port] | other start_typenum [end_typenum]} | 

{input-interface | output-interface} interface_name} 

语法 

policy_name 




end_ipaddress 







REDIRECT ; 









typelist 

start_port 

end_port 

start_typenum 

ICMP 协议类型列表 , 格式为 WORD。列表可以为下述协 

议类型的任意组合 : 

ECHO_and_ECHOREPLY , DEST_UNREACH, 

SOURCE_QUENCH , REDIRECT, 

ROUTER_ADVERTISEMENT, ROUTER_SOLICITATION , 

TIME_EXCEEDED , PARAMETERPROB, 

TIMESTAMP_and_TIMESTAMPREPLY, 

INFO_REQUEST_and_INFO_REPLY, 

ADDRESS_and_ADDRESSREPLY。 

源端口的起始端口 , 格式为 INTEGER。 

源端口的终止端口 , 格式为 INTEGER。 




end_typenum 






说明 

1. 目的 IP 地址的起始地址和终止地址之间的 IP 地址数量不能超过 32 个。 

2. 最多可以设置 32 组含有协议类型的策略条件。 

权限 


V 

V 

模式 


范例 

范例 . 为源地址转换策略 test 添加策略条件。如果目的 IP 地址为 192.168.1.100 的数据包 

从 VLAN1 进入防火墙并从 VLAN2 接口发送出去 , 则使用 test 策略进行源地址转换。 

NokiaIPSO-VN:root-system]policy snat test matching dip 192.168.1.100 

NokiaIPSO-VN:root-system]policy snat test matching input-interface 

vlan1 

NokiaIPSO-VN:root-system]policy snat test matching output-interface 

vlan2 

相关命令 

命令名称 

描述信息 




unset policy snat matching 删除源地址转换策略的策略条件。 


policy snat number 

policy snat number 

使用 policy snat number 命令来更改源地址转换策略的序号。 

命令 

policy snat policy_name number pri 

语法 

policy_name 

pri 


pri 为可选项 , 表示源地址转换策略的序号 , 格式为 

INTEGER。 

说明 



权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 






show policy dnat 

使用 show policy dnat 命令显示目的地址转换策略的配置信息。 

命令 

show policy dnat [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则显示所有目的地址转换策略的配置信息。 

权限 


V V V V 

模式 

该命令在普通配置模式。 

范例 

范例 . 显示目的地址转换策略 test 的配置信息。 

NokiaIPSO-VN:root>show policy dnat test 


Dnat rule list: 

ID: test State: true Load_Balancing: no Napt: true 

In-Interface: Any 

Protocol: tcp 

Before_Trans_Ip: 

IP 

Port 

192.168.1.101 80 

After_Trans_Ip_List: 

IP Port Metric Detect Port Interval Failure 

192.168.1.106 8080 

Match_Ip_Lst: 


show policy dnat 

Any 

相关命令 

命令名称 

描述信息 


policy dnat matching 为目的地址转换策略添加策略条件。 



show policy mip 

使用 show policy mip 命令显示静态地址映射策略的配置信息。 

命令 

show policy mip [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则显示所有静态地址映射策略的配置信息。 

权限 


V V V V 

模式 


范例 

范例 . 显示静态地址映射策略 test 的配置信息。 

NokiaIPSO-VN:root>show policy mip test 


MIP rule list: 

ID: test State: enable 

In-Interface : Any 

Out-Interface: Any 

Before_Trans_Ip: 

192.168.1.100 

After_Trans_Ip: 

192.168.1.107 

Match_Ip_Lst: 

Any 

Match_Proto_Lst: 

Reserve_Access: yes 


show policy mip 

Any 

相关命令 

命令名称 

描述信息 


policy mip matching 为静态地址映射策略添加策略条件。 



show policy snat 

使用 show policy snat 命令显示源地址转换策略的配置信息。 

命令 

show policy snat [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则显示所有源地址转换策略的配置信息。 

权限 


V V V V 

模式 

该命令在普通配置模式。 

范例 

范例 . 显示源地址转换策略 stest 的配置信息。 

NokiaIPSO-VN:root>show policy snat stest 


Snat rule list: 

ID: stest State: enable Port-Trans: no Reserve_Access: - 

In-Interface : Any 

Out-Interface: Any 

Before_Trans_Ip_List: 

192.168.1.101 

After_Trans_Ip_List: 

192.168.1.105 

Match_Ip_Lst: 

Any 

Match_Proto_Lst: 


show policy snat 

Any 

Hold_Time: 200 

相关命令 

命令名称 

描述信息 


policy snat matching 为源地址转换策略添加策略条件。 



unset policy dnat 

使用 unset policy dnat 命令来删除目的地址转换策略。 

命令 

unset policy dnat [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则删除所有目的地址转换策略。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 




unset policy dnat matching 

unset policy dnat matching 

使用 unset policy dnat matching 命令 , 删除目的地址转换策略的策略条件。 

命令 

unset policy dnat policy_name matching {all | sip | input-interface} 

语法 

policy_name 


sip 源 IP 地址。 


权限 


V 

V 

模式 


范例 

范例 . 删除目的地址转换策略 test 的策略条件。 

NokiaIPSO-VN:root-system]unset policy dnat test matching sip 

NokiaIPSO-VN:root-system]unset policy dnat test matching 

input-interface 

相关命令 

命令名称 

描述信息 


policy dnat matching 添加目的地址转换策略的策略条件。 





unset policy mip 

使用 unset policy mip 命令来删除静态地址映射策略。 

命令 

unset policy mip [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则删除所有静态地址映射策略。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 


show policy mip 显示静态地址映射策略的条件。 


unset policy mip matching 

unset policy mip matching 

使用 unset policy mip matching 命令 , 删除静态地址映射策略的策略条件。 

命令 

unset policy mip policy_name matching {all | dip | protocol [icmp | tcp | udp | other] | inputinterface 

| output-interface} 

语法 

policy_name 





权限 


V 

V 

模式 


范例 

范例 . 删除静态地址映射策略 test 的策略条件。 

NokiaIPSO-VN:root-system]unset policy mip test matching dip 

NokiaIPSO-VN:root-system]unset policy mip test matching 


相关命令 

命令名称 

描述信息 


policy mip matching 添加静态地址映射策略的策略条件。 

show policy mip 显示静态地址映射策略的信息。 




unset policy snat 

使用 unset policy snat 命令来删除源地址转换策略。 

命令 

unset policy snat [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name, 则删除所有源地址转换策略。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 




unset policy snat matching 

unset policy snat matching 

使用 unset policy snat matching 命令 , 删除源地址转换策略的策略条件。 

命令 

unset policy snat policy_name matching {all | dip | protocol [icmp | tcp | udp | other] | inputinterface 

| output-interface} 

语法 

policy_name 





权限 


V 

V 

模式 


范例 

范例 . 删除源地址转换策略 test 的策略条件。 

NokiaIPSO-VN:root-system]unset policy snat test matching dip 

NokiaIPSO-VN:root-system]unset policy snat test matching 


相关命令 

命令名称 

描述信息 


policy snat matching 添加源地址转换策略的策略条件。 






18 非 IP 包过滤命令 

policy non-ip-filter enable,disable 

使用 policy non-ip-filter enable,disable 修改指定的非 IP 包过滤策略的状 

态属性。 

命令 

policy non-ip-filter policy_name {enable | disable} 

语法 

policy_name 



• enable— 启用非 IP 包过滤策略 

• disable— 禁用非 IP 包过滤策略 

权限 


V 

V 

模式 


范例 

范例 . 启用非 IP 包过滤 test 策略。 

NokiaIPSO-VN:root-system]policy non-ip-filter test enable 

相关命令 

命令名称 

描述信息 

policy non-ip-filter permit,deny 修改非 IP 包过滤策略的行为。 


非 IP 包过滤命令 

policy non-ip-filter global enable,disable 

使用 policy non-ip-filter global enable,disable 命令在任意两个安全域 

间添加全局非 IP 包过滤策略。配置成功后 , 启用时该策略可以在所有域内、域间策略都 

无法匹配的情况下 , 对非 IP 数据包进行安全控制。 

命令 

policy non-ip-filter global policy_name {src_maclist | any} {dst_maclist | any} protocol 

{numlist | any} {permit | deny} {enable | disable} [pri] 

语法 

global 表示全局 , 即所有安全域 , 包括域间和域内。 

policy_name 

src_maclist 

dst_maclist 


源 MAC 地址列表 , 格式为 HH:HH:HH:HH:HH:HH。 any 表 

示所有 MAC 地址。 

目的 MAC 地址列表 , 格式为 HH:HH:HH:HH:HH:HH。 any 

表示所有 MAC 地址。 

numlist 协议号列表 , 格式为 INTEGER。 any 表示所有协议号。 

permit | deny 


pri 

• permit— 允许符合该策略的非 IP 数据包通过防火墙 

• deny— 拒绝符合该策略的非 IP 数据包通过防火墙 



策略优先级 , 格式为 INTEGER, 其中 “1” 为最高优 

先级。 

说明 

缺省 pri 参数时 , 该策略的优先级将被自动赋值为当前类型策略最低的优先级加 1。 

权限 


V 

V 

模式 


范例 


policy non-ip-filter global enable,disable 

范例 1. 添加一个全局非 IP 包过滤策略 , 允许由任意 MAC 地址到 MAC 地址 

11:10:11:11:11:11 网络层协议号为 1 的非 IP 数据包的通过。 

NokiaIPSO-VN:root-system]policy non-ip-filter global test any 

11:10:11:11:11:11 protocol 1 permit enable 

相关命令 

命令名称 

policy non-ip-filter inter-zone 


policy non-ip-filter intra-zone 


描述信息 

添加域间策略。 

添加域内策略。 



policy non-ip-filter inter-zone enable,disable 

使用 policy non-ip-filter inter-zone enable,disable 命令在两个不同安 

全域间添加非 IP 包过滤策略。在启用的状态下 , 该策略可以对域间转发的非 IP 数据包 

进行安全控制。 

命令 

policy non-ip-filter inter-zone policy_name {src_zone | any} {dst_zone | any} {src_maclist | 

any} {dst_maclist | any} protocol {numlist | any} {permit | deny} {enable | disable} [pri] 

语法 


policy_name 


src_zone 源域名称 , 格式为 WORD。 any 表示所有安全域。 

dst_zone 目的域名称 , 格式为 WORD。 any 表示所有安全域。 

src_maclist 

dst_maclist 






permit | deny 


pri 

• permit— 允许符合该策略的非 IP 数据包的通过防火墙 

• deny— 拒绝符合该策略的非 IP 数据包的通过防火墙 



策略的优先级 , 格式为 INTEGER。其中 “1” 为最高 

优先级。 

说明 


权限 


V 

V 

模式 



policy non-ip-filter inter-zone enable,disable 

范例 

范例 1. 在安全域 in->out 之间添加一个域间非 IP 包过滤策略 , 拒绝由 MAC 地址 

00:22:11:11:22:22,55:55:55:55:55:55-66:66:66:66:66:66 到 MAC 地址 11:11:11:11:11:11 任意 

网络层协议号的非 IP 数据包通过。 

NokiaIPSO-VN:root-system]policy non-ip-filter inter-zone test in out 

00:22:11:11:22:22,55:55:55:55:55:55-66:66:66:66:66:66 

11:11:11:11:11:11 protocol any deny enable 

相关命令 

命令名称 

policy non-ip-filter global 


policy non-ip-filter intra-zone 


描述信息 

添加全局策略。 

添加域内策略。 



policy non-ip-filter intra-zone enable,disable 

使用 policy non-ip-filter intra-zone enable,disable 命令在一个安全域 

内添加域内非 IP 包过滤策略。在启用的状态下 , 该策略可以对域内转发的非 IP 数据包 

进行安全控制。 

命令 

policy non-ip-filter intra-zone policy_name zone_name {src_maclist | any} {dst_maclist | 

any} protocol {numlist | any} {permit | deny} {enable | disable} [pri] 

语法 

intra-zone 表示域内 , 即在一个安全域中。 

policy_name 

zone_name 

src_maclist 

dst_maclist 








permit | deny 


pri 

• permit— 允许符合该策略的非 IP 数据包的通过防火墙 

• deny— 拒绝符合该策略的非 IP 数据包的通过防火墙 



策略的优先级 , 格式为 INTEGER, 其中 “1” 为最高 

优先级。 

说明 


权限 


V 

V 

模式 


范例 


policy non-ip-filter intra-zone enable,disable 

范例 1. 在安全域 in 中添加一个域内非 IP 包过滤策略 , 允许由 MAC 地址 

00:22:11:11:22:22 到任意 MAC 地址任意网络层协议号的非 IP 数据包通过。 

NokiaIPSO-VN:root-system]policy non-ip-filter intra-zone test in 

00:22:11:11:22:22 any protocol any permit enable 

相关命令 

命令名称 

policy non-ip-filter global 


policy non-ip-filter inter-zone 


描述信息 

添加全局策略。 

添加域间策略。 



policy non-ip-filter number 

使用 policy non-ip-filter number 命令修改指定非 IP 包过滤策略的优先级。配 

置成功后 , 可以改变非 IP 数据包匹配此策略的先后顺序。 

命令 

policy non-ip-filter policy_name number pri 

语法 

policy_name 


number 表示为非 IP 包过滤策略设置优先级。 

pri 策略的优先级 , 格式为 INTEGER, 其中 “1” 为最高优先级。 

权限 


V 

V 

模式 


范例 

范例 . 修改非 IP 包过滤策略 test 的优先级为 50。 

NokiaIPSO-VN:root-system]policy non-ip-filter test number 50 


policy non-ip-filter permit,deny 

policy non-ip-filter permit,deny 

使用 policy non-ip-filter permit,deny 修改指定非 IP 包过滤策略的行为。 

命令 

policy non-ip-filter policy_name {permit | deny} 

语法 

policy_name 

permit | deny 


• permit— 允许符合该策略的非 IP 数据包通过防火墙 

• deny— 禁止符合该策略的非 IP 数据包通过防火墙 

权限 


V 

V 

模式 


范例 

范例 . 拒绝符合 test 策略的非 IP 数据包通过防火墙。 

NokiaIPSO-VN:root-system]policy non-ip-filter test deny 

相关命令 

命令名称 

描述信息 

policy non-ip-filter enable,disable 修改非 IP 包过滤策略状态属性。 



policy non-ip-filter protocol 

使用 policy non-ip-filter protocol 命令修改非 IP 包过滤策略协议 , 该命令只 

能在添加非 IP 包过滤策略后生效。 

命令 

policy non-ip-filter policy_name protocol {numlist | any} 

语法 

policy_name 


numlist 协议列表 , 格式为 INTEGER。 any 表示所有协议。 

权限 


V 

V 

模式 


范例 

范例 1. 修改非 IP 包过滤策略 test 协议为 1,2,5。 

NokiaIPSO-VN:root-system]policy non-ip-filter test protocol 1,2,5 

范例 2. 修改非 IP 包过滤策略 test 配置所有协议。 

NokiaIPSO-VN:root-system]policy non-ip-filter test protocol any 


policy non-ip-filter schedule 

policy non-ip-filter schedule 

使用 policy non-ip-filter schedule 命令为非 IP 包过滤策略修改或添加有效时 

间。配置成功后 , 该策略仅在有效时间内处于可用的状态。 

命令 

policy non-ip-filter policy_name schedule start-week start_weekday end-week end_weekday 

time_scope 

语法 

policy_name 


schedule 表示设定非 IP 包过滤策略的生效时间。 

start-week 表示为非 IP 包过滤策略设定启用日期。 

start_weekday 

以星期为单位的非 IP 包过滤策略的启用日期 , 格式为 INTEGER。 

end-week 表示为非 IP 包过滤策略设定终止日期。 

end_weekday 

以星期为单位的非 IP 包过滤策略的终止日期 , 格式为 INTEGER。 

time_scope 时间范围 , 格式为。 

权限 


V 

V 

模式 


范例 

范例 1. 设置非 IP 包过滤策略 test 的有效时间为每周一至每周三的 8:00:00-17:30:00( 有效 

时间未被添加 )。 

NokiaIPSO-VN:root-system]policy non-ip-filter test schedule start-week 

1 end-week 3 8:00:00-17:30:00 

范例 2. 修改非 IP 包过滤策略 test 的有效时间为每周二至每周四的 8:00:00-11:30:00, 

12:30:00-4:30:00, 17:00:00-21:00:00 ( 有效时间已被添加 )。 

NokiaIPSO-VN:root-system]policy non-ip-filter test schedule start-week 

2 end-week 4 8:00:00-17:30:00,12:30:00-4:30:00,17:00:00-21:00:00 



show policy non-ip-filter 

使用 show policy non-ip-filter 命令显示非 IP 包过滤策略信息。 

命令 

show policy non-ip-filter policy_name 

语法 

policy_name 


权限 


V V V V V 

模式 


范例 

范例 . 显示非 IP 包过滤策略 hello 信息。 

NokiaIPSO-VN:root>show policy non-ip-filter hello 


NonIp_Packet-filter rule: 

ID: hello State: enable Action: permit 

Type: Global 

Src_mac_list: 

Any 

Dst_mac_list: 

Any 

Protocol: 

Any 

Time: 

Week: - - 


show policy non-ip-filter 

相关命令 

命令名称 

show policy non-ip-filter global, 

inter-zone,intra-zone 

描述信息 

显示指定类型下非 IP 包过滤策略。 

unset policy non-ip-filter 删除指定的非 IP 包过滤策略。 

unset policy non-ip-filter schedule 删除非 IP 包过滤策略的生效时间。 

unset policy non-ip-filter global, 


删除指定类型下的非 IP 包过滤策略。 



show policy non-ip-filter global,inter-zone,intra-zone 

使用 show policy non-ip-filter global,inter-zone,intra-zone 命令显 

示指定类型下所有非 IP 包过滤策略信息。 

命令 

show policy non-ip-filter {global | inter-zone | intra-zone} 

语法 

global | inter-zone | intra-zone 

• global— 表示全局 , 即所有安全域 , 包括域间和域内 

• inter-zone— 表示域间 , 即两个安全域之间 

• intra-zone— 表示域内 , 即在一个安全域中 

权限 


V 

V 

模式 


范例 

范例 . 显示全局的所有非 IP 包过滤策略。 

NokiaIPSO-VN:root>show policy non-ip-filter global 


Seq Rule_ID Src_mac Dest_mac Proto Action 

State 

1 hello Any Any Any permit 

enable 

2 asdf 11:11:22:55:44:25 45:26:94:62:45:12 4 permit 

enabl 

相关命令 

命令名称 

描述信息 

show policy non-ip-filter 显示指定的非 IP 包过滤策略略。 



show policy non-ip-filter global,inter-zone,intra-zone 

命令名称 

描述信息 







show policy non-ip-filter intra-zone 

使用 show policy non-ip-filter intra-zone 命令显示指定安全域内所有域内 

非 IP 包过滤策略。 

命令 

show policy non-ip-filter intra-zone zone_name 

语法 

zone_name 


权限 


V V V V V 

模式 


范例 

范例 . 显示 trust 安全域内所有域内非 IP 过滤策略。 

NokiaIPSO-VN:root>show policy non-ip-filter intra-zone trust 


Number Name Zone Source MAC Destination MAC Services Action 

State 

2 happy trust Any Any Any permit 

enable 

3 py trust A7:B5:FF:6C:7D:6B Any 2 permit 

enable 

相关命令 

命令名称 

描述信息 

unset policy non-ip-filter intra-zone 删除指定的安全域内所有域内非 IP 包过滤策略。 


unset policy non-ip-filter 

unset policy non-ip-filter 

使用 unset policy non-ip-filter 命令删除指定的非 IP 包过滤策略。 

命令 

unset policy non-ip-filter policy_name 

语法 

policy_name 


权限 


V 

V 

模式 


范例 

范例 . 删除非 IP 包过滤策略 test。 

NokiaIPSO-VN:root-system]unset policy non-ip-filter test 

相关命令 

命令名称 

描述信息 

show policy non-ip-filter 显示指定的非 IP 包过滤策略。 



显示指定类型下非 IP 包过滤策略。 







unset policy non-ip-filter global,inter-zone,intra-zone 

使用 unset policy non-ip-filter global,inter-zone,intra-zone 命令删 

除指定类型下的所有非 IP 包过滤策略。 

命令 

unset policy non-ip-filter {global | inter-zone | intra-zone} 

语法 

global | inter-zone | intra-zone 

• global— 表示全局 , 即所有安全域 , 包括域间和域内 

• inter-zone— 表示域间 , 即两个安全域之间 

• intra-zone— 表示域内 , 即在一个安全域中 

权限 


V 

V 

模式 


范例 

范例 . 删除所有的域间非 IP 包过滤策略。 

NokiaIPSO-VN:root-system]unset policy non-ip-filter inter-zone 

相关命令 

命令名称 

描述信息 




显示指定类型下的非 IP 包过滤策略。 




unset policy non-ip-filter intra-zone 

unset policy non-ip-filter intra-zone 

使用 unset policy non-ip-filter intra-zone 命令删除指定类型下的所有非 

IP 包过滤策略。 

命令 

unset policy non-ip-filter intra-zone zone_name 

语法 

zone_name 


权限 


V 

V 

模式 


范例 

范例 . 删除 test 安全域内所有的域内非 IP 包过滤策略。 

NokiaIPSO-VN:root-system]unset policy non-ip-filter intra-zone test 

相关命令 

命令名称 

描述信息 

show policy non-ip-filter intra-zone 显示指定的非 IP 包过滤策略。 



unset policy non-ip-filter schedule 

使用 unset policy non-ip-filter schedule 命令删除指定非 IP 包过滤策略的 

生效时间。配置成功后 , 非 IP 包过滤策略在任意时间都处于可用的状态。 

命令 

unset policy non-ip-filter policy_name schedule 

语法 

policy_name 


schedule 表示非 IP 包过滤策略的生效时间。 

权限 


V 

V 

模式 


范例 

范例 . 删除非 IP 包过滤策略 test 的生效时间。 

NokiaIPSO-VN:root-system]unset policy non-ip-filter test schedule 

相关命令 

命令名称 

描述信息 




显示指定类型下的非 IP 包过滤策略。 






19 NTP 校时命令 

ntp authentication enable,disable 

使用 ntp authentication enable,diable 命令修改 NTP 认证的状态。 

命令 

ntp authentication {enable | diable} 

语法 


• enable— 开启 NTP 认证 

• disable— 关闭 NTP 认证 


说明 

只有开启 NTP 认证 , 才能配置带认证的 NTP 服务器。 

权限 


V 

模式 

该命令可以在全局配置模式下使用。 

相关命令 

命令名称 

描述信息 

ntp server 配置 NTP 服务器。 


NTP 校时命令 

ntp auto-syn 

使用 ntp auto-syn 命令设置自动校时的频率。配置成功后 , 防火墙将按照设定的频 

率自动同步其系统时间。 

命令 

ntp auto-syn {month month_interval day date time | day date_interval time | hour 

hour_interval | min min_interval} 

语法 

month | day | 

hour | min 

month_interval 

date 

time 

date_interval 

hour_interval 

min_interval 

• month— 以月为单位自动校时 

• day— 以天为单位自动校时 

• hour— 以小时为单位自动校时 

• min— 以分钟为单位自动校时 

月份间隔值 , 格式为 INTEGER。 

日期 , 格式为 INTEGER。 

时间 , 格式为 HH:MM:SS。 

日期间隔值 , 格式为 INTEGER。 

小时间隔值 , 格式为 INTEGER。 

分钟间隔值 , 格式为 INTEGER。 

权限 


V 

模式 


范例 

范例 . 配置自动校时日期为 10 号 , 每隔 5 个月自动校时一次 , 并指定具体时间为 

12:30:00。 

NokiaIPSO-VN:root-system]ntp auto-syn month 5 day 10 12:30:00 


ntp auto-syn 

相关命令 

命令名称 

描述信息 

ntp auto-syn adjust 设置 NTP 校时的最大间隔值。 

ntp auto-syn enable, 

disable 

修改自动校时功能的状态。 



ntp auto-syn adjust 

使用 ntp auto-syn adjust 命令设置 NTP 校时的最大间隔值 , 其默认值为 3 秒。配 

置成功后 , 如果服务器上的时间信息与本地的时间差超过设置的最大间隔值时 , 防火墙 

将拒绝此次的同步操作。 

命令 

ntp auto-syn adjust max_interval 

语法 

max_interval 

NTP 校时的最大间隔值 , 格式为 INTEGER。 

说明 

1. 该命令只对自动校时起作用。 

2. 当最大间隔值设置为 0 时 , 自动校时将不受最大间隔值的限制。 

权限 


V 

模式 


范例 

范例 . 设置 NTP 校时的最大间隔值为 360 秒。 

NokiaIPSO-VN:root-system]ntp auto-syn adjust 360 

相关命令 

命令名称 

描述信息 

ntp auto-syn 设置自动校时的频率。 


ntp auto-syn enable,disable 

ntp auto-syn enable,disable 

使用 ntp auto-syn enable,disable 命令修改自动校时功能的状态。 

命令 

ntp auto-syn {enable | disable} 

语法 


• enable— 开启自动校时功能 

• disable— 关闭自动校时功能 


权限 


V 

模式 


相关命令 

命令名称 

描述信息 

ntp auto-syn 设置自动校时的频率。 



ntp server 

使用 ntp server 命令配置 NTP 服务器。配置成功后 , 防火墙可以使用该服务器校对 

其系统时间。 

命令 

ntp server {server1 | server2 | server3} {ip_address | zone_name} [key_id id_num key 

password] 

语法 

server1 | server2 

| server3 

ip_address 

zone_name 

id_num 

password 

• sever1—NTP 服务器 , 其优先级最高 

• sever2—NTP 服务器 , 其优先级介于 sever1 和 sever3 之间 

• sever3—NTP 服务器 , 其优先级最低 

NTP 服务器的 IP 地址 , 格式为 x.x.x.x。 

NTP 服务器的安全域名 , 格式为 WORD。 

密钥 ID, 格式为 INTEGER。 

认证密码 , 格式为 WORD。 

说明 

不指定 key_id id_num key password, 表示配置不需要认证的 NTP 服务器。 

权限 


V 

模式 


范例 

范例 . 配置需要认证的 NTP 服务器 server2, 其 IP 地址为 192.168.1.125, 密钥 ID 为 

255, 认证密码为 newpass。 

NokiaIPSO-VN:root-system]ntp server server2 192.168.1.125 key_id 255 

key newpass 


ntp server 

相关命令 

命令名称 

ntp authentication 

enable,diable 

描述信息 

修改 NTP 认证的状态。 

ntp synchronize 立即校时。 



ntp synchronize 

使用 ntp synchronize 命令对防火墙系统进行立即校时。 

命令 

ntp synchronize 

说明 

使用此命令时 , 同步时间差不受最大间隔值的限制。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

ntp server 配置 NTP 服务器。 


time 

time 

使用 time 命令设置防火墙系统的当前时间。 

命令 

time date time 

语法 

date 

time 

日期 , 格式为。 

时间 , 格式为。 

说明 

防火墙系统允许设置的时间范围是 1971 年 1 月 1 日 -2038 年 1 月 1 日。 

权限 


V 

模式 




unset ntp server 

使用 unset ntp server 命令删除已设置的 NTP 服务器。 

命令 

unset ntp server {server1 | server2 | server3} 

语法 

server1 | server2 

| server3 

• sever1—NTP 服务器 , 其优先级最高 

• sever2—NTP 服务器 , 其优先级介于 sever1 和 sever3 之间 

• sever3—NTP 服务器 , 其优先级最低 

权限 


V 

模式 



20 策略路由命令 

matching 

使用 matching 命令 , 为策略路由添加策略条件。配置成功后 , 如果数据包满足该策略 

路由所有的策略条件 , 则进入此策略路由的路由表查找相匹配的路由。 

命令 

matching {sip start_ipaddress [end_ipaddress] | protocol {icmp type | {tcp | udp} start_port 

[end_port] | other start_typenum [end_typenum]} | tos tos_type | input-interface 

interface_name} 

语法 

sip 表示源 IP 地址。 


end_ipaddress 

源 ip 地址的起始地址 , 格式为 x.x.x.x。 

源 ip 地址的终止地址 , 格式为 x.x.x.x。 

type ICMP 协议类型 , 设置个数为 1, 可以设置为 : 




REDIRECT ; 








Any 表示上述协议类型中的任意一种类型。 

start_port 

end_port 

start_typenum 

起始端口 , 格式为 INTEGER。 

终止端口 , 格式为 INTEGER。 



策略路由命令 

end_typenum 

tos 

tos_type 


表示设置 TOS (TOS 是指 IP 数据包包头中的服务类型字段 ) 的 

服务类型。 

服务类型 , 格式为 INTEGER。 

0 表示 : 不要求任何服务。 

1 表示 :D 比特 , 要求更低的时延 ; 

2 表示 :T 比特 , 要求更高的吞吐量 ; 

4 表示 :R 比特 , 要求更高的可靠性 ; 

8 表示 :C 比特 , 要求选择代价更小的路由。 



VLAN 的接口名称 , 格式为 WORD。 

说明 

源 IP 地址的起始地址和终止地址之间的 IP 地址数量不能超过 100 个。 

权限 


V 

V 

模式 

该命令在策略路由配置模式下使用。 

范例 

范例 . 为策略路由 test 添加策略条件。当源 IP 地址为 192.168.1.100 的数据包从 VLAN1 

进入防火墙进行路由匹配时 , 如果该数据包的包头为 PARAMETERPROB 类型的 ICMP 

协议以及包头的 TOS 服务为要求更高的吞吐量 , 则进入 test 的路由表查找路由。 

NokiaIPSO-VN:root-system]policy route test 

NokiaIPSO-VN:root-system-routepolicy-test]matching sip 192.168.1.100 

NokiaIPSO-VN:root-system-routepolicy-test]matching input-interface 

vlan1 

NokiaIPSO-VN:root-system-routepolicy-test]matching protocol icmp 

PARAMETERPROB 

NokiaIPSO-VN:root-system-routepolicy-test]matching tos 2 


matching 

相关命令 

命令名称 

描述信息 

policy route 添加策略路由。 

unset matching 删除策略条件。 



policy route 

使用 policy route 命令来添加策略路由。配置成功后 , 可以为该策略路由添加策略 

条件并为该策略路由的路由表添加静态路由。 

命令 

policy route policy_id [number pri] 

语法 

policy_id 

pri 

策略路由名称 , 格式为 WORD。 

pri 关键字为可选项 , 表示策略的优先级 , 缺省设置为 1。格式为 

INTEGER。 

说明 

如果 pri 设置为 1, 表示将该策略路由添加到所有策略路由的前面 ; 如果 pri 省略 , 表示 

将该策略路由添加到所有策略路由的后面。 

权限 


V 

V 

模式 


范例 

范例 . 添加名称为 test 的策略路由 , 其优先级为 2。 

NokiaIPSO-VN:root-system]policy route test number 2 

相关命令 

命令名称 

policy route 


描述信息 

启用或者禁用策略路由。 

show policy route 显示策略路由配置信息。 

unset policy route 删除策略路由。 


policy route enable,disable 

policy route enable,disable 

使用 policy route enable,disable 命令来启用或者禁用策略路由。 

命令 

policy route policy_id {enable | disable} 

语法 

policy_id 



• enable— 启用策略路由 

• disable— 禁用策略路由 


权限 


V 

V 

模式 


范例 

范例 . 禁用策略路由 test。 

NokiaIPSO-VN:root-system]policy route test disable 

相关命令 

命令名称 

描述信息 






show policy route 

使用 show policy route 命令来显示策略路由配置信息。 

命令 

show policy route [policy_id] 

语法 

policy_id 


说明 

如果不指定 policy_id, 则显示所有的策略路由的简单信息 ; 如果指定 policy_id, 则显示 

该策略路由的详细信息 , 包括该策略的所有路由和策略条件。 

权限 


V V V V 

模式 


范例 

范例 . 显示策略 test 的策略路由信息。 

NokiaIPSO-VN:root>show policy route test 


Route-policy: 

ID: test 

Input-Interface: Any 

Tos: Any 

State: disable 

IP list: 

Any 

Protocol list: 


show policy route 

Routing table: 

S 202.118.1.82/32 via 192.168.1.101 metric 1 

相关命令 

命令名称 

描述信息 


policy route 






unset matching 

使用 unset matching 命令 , 删除策略路由的策略条件。 

命令 

unset matching [sip [start_ipaddress [end_ipaddress]] | protocol {icmp | tcp | udp | other} | 

tos | input-interface] 

语法 

sip 表示源 IP 地址范围。 


end_ipaddress 

tos 

源 ip 地址的起始地址 , 格式为 x.x.x.x。 

源 ip 地址的终止地址 , 格式为 x.x.x.x。 

表示设置 TOS (TOS 是指 IP 数据包包头中的服务类型字段 ) 的 

服务类型。 

权限 


V 

V 

模式 

该命令在策略路由配置模式下使用。 

范例 

范例 . 删除策略路由 test 的策略条件。 


NokiaIPSO-VN:root-system-routepolicy-test]unset matching sip 

192.168.1.100 192.168.1.150 

NokiaIPSO-VN:root-system-routepolicy-test]unset matching inputinterface 

NokiaIPSO-VN:root-system-routepolicy-test]unset matching protocol icmp 

NokiaIPSO-VN:root-system-routepolicy-test]unset matching tos 


unset matching 

相关命令 

命令名称 

描述信息 


matching 为策略路由添加策略条件。 



unset policy route 

使用 unset matching 命令来删除策略路由。 

命令 

unset policy route [policy_id] 

语法 

policy_id 


说明 

如果不指定 policy_id, 则删除所有的策略路由。 

权限 


V 

V 

模式 


范例 

范例 . 删除策略路由名称为 test 的策略路由。 

NokiaIPSO-VN:root-system]unset policy route test 

相关命令 

命令名称 

描述信息 


policy route 





21 路由命令 

route 

使用 route 命令为缺省路由表和策略路由的路由表添加静态路由。配置成功后 , 与该 

静态路由相匹配的数据包发送到该静态路由指定的设备。 

命令 

route ip_address netmask {interface interface_name [gateway nexthop] | gateway nexthop 

[interface interface_name]} [metric] 

语法 

ip_address 

netmask 


nexthop 

目的 IP 地址 , 格式为 x.x.x.x。 



下一跳 IP 地址 , 格式为 x.x.x.x。 

metric 路由度量值 , 格式为 INTEGER, 缺省值为 1。 

说明 

1. 在全局配置模式下只能为缺省路由表添加静态路由。如果为缺省路由表添加默认路 

由 , 其目的地址和子网掩码只能设置为 0.0.0.0。 

2. 在策略路由配置模式下只能为策略路由的路由表添加静态路由。 

3. 如果有多条路由可以匹配 , 那么最小路由度量值的路由优先选取。 

权限 


V 

V 

模式 


路由命令 

该命令在全局配置模式和策略路由配置模式下使用。 

范例 

范例 1. 在全局配置模式下为缺省路由表添加静态路由。当一个数据包要达到 

202.118.1.82, 会通过 VLAN2 接口发送到 192.168.1.101 后 , 再进行转发。 

NokiaIPSO-VN:root-system]route 202.118.1.82 255.255.255.255 interface 

vlan2 gateway 192.168.1.101 

范例 2. 在策略路由配置模式下 , 为 test 策略路由添加一条静态路由 , 指定其路由度量值 

为 3。当一个数据包要到达 202.118.1.23, 会通过 VLAN1 接口发送到 192.168.1.102 后 , 

再进行转发。 


NokiaIPSO-VN:root-system-routepolicy-test]route 202.118.1.23 

255.255.255.255 gateway 192.168.1.102 interface vlan1 3 

相关命令 

命令名称 

描述信息 


show route 显示缺省路由表中路由的配置信息。 

unset route 删除路由表中的静态路由。 


oute load-balancing 

route load-balancing 

使用 route load-balancing 命令为缺省路由表和策略路由的路由表添加具有负载均 

衡功能的静态路由。配置成功后 , 与该静态路由相匹配的数据包发送到该静态路由指定 

的设备。 

关于负载均衡功能的介绍 , 请参见用户指南的《基于路由的负载均衡》章节。 

命令 

route ip_address netmask load-balancing {{gateway nexthop | interface interface_name 

gateway nexthop} weight [ip-track {arpping track_address | ping track_address | tcpping 

track_address port track_port} track_cycle track_time] | interface interface_name weight} 

[metric] 

语法 

ip_address 

netmask 


nexthop 







ping 




track_port 

track_cycle 

track_time 




weight 权重 , 格式为 INTEGER, 缺省值为 1。 

关于权重的介绍 , 请参见用户指南的《基于路由的负载均衡》章 

节。 



路由命令 

说明 

1. 在全局配置模式下只能为缺省路由表添加具有负载均衡功能的静态路由。如果为缺 

省路由表添加默认路由 , 其目的地址和子网掩码只能设置为 0.0.0.0。 

2. 在策略路由配置模式下只能为策略路由的路由表添加具有负载均衡功能的静态路由。 

3. 如果有多条路由可以匹配 , 那么最小路由度量值的路由优先选取。 

权限 


V 

V 

模式 


范例 

范例 1. 在全局配置模式下 , 为缺省路由表添加具有负载均衡功能的静态路由。当一个数 

据包要达到 202.118.1.18, 会通过 VLAN2 接口发送到 192.168.1.101 后 , 再进行转发。 

NokiaIPSO-VN:root-system]route 202.118.1.18 255.255.255.255 loadbalancing 

interface vlan2 gateway 192.168.1.101 2 

范例 2. 在策略路由配置模式下 , 为策略路由 test 添加一条具有负载均衡功能的静态路 

由。当一个数据包要到达 202.118.1.24, 会通过 VLAN1 接口发送到 192.168.1.102 后 , 

再进行转发。 


NokiaIPSO-VN:root-system-routepolicy-test]route 202.118.1.24 

255.255.255.255 load-balancing gateway 192.168.1.102 interface vlan1 2 

3 

相关命令 

命令名称 

描述信息 



unset route 删除路由表中的静态路由。 

unset route loadbalancing 

删除具有负载均衡功能的静态路由。 


show route 

show route 

使用 show route 命令显示缺省路由表中所有的路由配置信息。 

命令 

show route 

权限 


V V V V 

模式 


范例 

范例 . 显示缺省路由表中所有的路由配置信息。 

NokiaIPSO-VN:root>show route 


Routing table: 

S 202.118.1.18/32 via 192.168.1.101 power 2 metric 1 

S 202.118.1.82/32 via 192.168.1.101 metric 1 

相关命令 

命令名称 

描述信息 


route 为缺省路由表和策略路由的路由表添加静态路由。 

route load-balancing 添加具有负载均衡功能的静态路由。 


路由命令 

unset route 

使用 unset route 命令来删除静态路由。 

命令 

unset route ip_address netmask [interface interface_name [gateway nexthop] | gateway 

nexthop [interface interface_name]] 

语法 

ip_address 

netmask 


nexthop 





说明 

1. 在全局配置模式下 , 删除的路由为缺省路由表中的静态路由。如果不指定任何参数 , 

即命令为 unset route, 表示删除缺省路由表中所有的静态路由 , 包括具有负载均衡功 

能的静态路由。 

2. 在策略路由配置模式下 , 删除的路由为策略路由的路由表中的静态路由。如果不指 

定任何参数 , 即命令为 unset route, 表示删除策略路由的路由表中所有的静态路由 , 

包括具有负载均衡功能的静态路由。 

3. 同步防火墙时 , unset route interface [gateway] 和 unset route 

gateway 命令的配置信息不同步。 

权限 


V 

V 

模式 


范例 

范例 . 在策略路由配置模式下 , 删除策略路由 test 的路由表中目的地址为 192.168.1.112 

的静态路由。 


NokiaIPSO-VN:root-system-routepolicy-test]unset route 192.168.1.112 

255.255.255.255 


unset route 

相关命令 

命令名称 

描述信息 


route 为缺省路由表和策略路由的路由表添加静态路由。 


unset route 

load-balancing 

删除具有负载均衡功能的静态路由。 


路由命令 

unset route load-balancing 

使用 unset route load-balancing 命令来删除缺省路由表和策略路由的路由表中 

具有负载均衡功能的静态路由。 

关于负载均衡功能的介绍 , 请参见用户指南的《基于路由的负载均衡》章节。 

命令 

unset route ip_address netmask load-balancing {gateway nexthop | interface interface_name 

[gateway nexthop]} metric 

语法 

ip_address 

netmask 


nexthop 




下一跳地址 , 格式为 x.x.x.x。 


说明 

1. 在全局配置模式下 , 删除的路由为缺省路由表中具有负载均衡功能的静态路由。 

2. 在策略路由配置模式下 , 删除的路由为该策略路由的路由表中具有负载均衡功能的 

静态路由。 

权限 


V 

V 

模式 


范例 

范例 . 在策略路由配置模式下 , 删除策略路由 test 的路由表中从 VLAN1 发送出去的目的 

地址为 192.168.1.111 的具有负载均衡功能的静态路由。 


NokiaIPSO-VN:root-system-routepolicy-test]unset route 192.168.1.111 

255.255.255.255 load-balancing interface vlan1 3 


unset route load-balancing 

相关命令 

命令名称 

描述信息 


route load-balancing 添加具有负载均衡功能的静态路由。 



路由命令 


22 服务配置命令 

halt 

使用 halt 命令关闭防火墙。 

命令 

halt 

说明 

如果执行 halt 命令 , 没有保存的设置将丢失。 

权限 


V 

V 

模式 


范例 

范例 . 关闭防火墙。 

NokiaIPSO-VN:root>halt 


服务配置命令 

reboot 

使用 reboot 命令重启防火墙。 

命令 

reboot 

说明 

如果执行 reboot 命令 , 没有保存的信息将丢失。 

权限 


V 

V 

模式 


范例 

范例 . 重启防火墙。 

NokiaIPSO-VN:root>reboot 


eset 

reset 

使用 reset 命令恢复防火墙的设置信息为出厂设置。 

命令 

reset 

权限 


V 

模式 


范例 

范例 . 恢复防火墙的设置信息为出厂设置。 

NokiaIPSO-VN:root>reset 



service 

使用 service 命令启用或禁用服务策略。 

命令 

service {telnet | web | ping | ssh} {on | off} 

语法 

telnet telnet 服务 , 表示可以通过 Telnet 方式登录到命令行来管理防火墙。 

web web 服务 , 表示可以通过 WebUI 界面来管理防火墙。 

ssh ssh 服务 , 表示可以通过 SSH 方式登录到命令行来管理防火墙。 

ping ping 服务 , 表示可以使用 Ping 命令验证与防火墙的连接是否保持畅通。 

on | off 

• on— 启用服务 

• off— 禁用服务 


权限 


V 

V 

模式 


范例 

范例 . 禁用 Telnet 服务的全部策略。 

NokiaIPSO-VN:root-system]service telnet off 


service allow zone 

service allow zone 

使用 service allow zone 命令添加服务策略。配置成功后 , 用户可以根据指定的策 

略登录到防火墙。 

命令 

service {telnet | web | ssh | ping} allow zone {zone_name | any} start_ip [end_ip] 

语法 





zone 安全域。 

zone_name 安全域名称 , 格式为 WORD。 any 表示任意安全域。 

start_ip 

end_ip 

起始 IP 地址 , 格式为 x.x.x.x。 

终止 IP 地址 , 格式为 x.x.x.x。 

权限 


V 

V 

模式 


范例 

范例 . 添加 Telnet 服务策略 , 指定 IP 地址为 192.168.1.128 的设备通过 Telnet 方式管理防 

火墙。 

NokiaIPSO-VN:root-system]service telnet allow zone any 192.168.1.128 

相关命令 

命令名称 

描述信息 

show service 显示服务的配置信息。 

unset service 删除服务策略。 



service auth 

使用 service auth 命令设置本地或者远程认证服务。缺省设置为本地认证。 

命令 

service {telnet | web | ssh} auth {local | remote radius radius_name} 

语法 




radius_name 

RADIUS 服务器名称 , 格式为 WORD。 

说明 

1. 如果设置本地认证服务 , 则用户信息保存在防火墙上。 

2. 如果设置 RADIUS 远程认证服务 , 则用户信息保存在 RADIUS 服务器上。 

3. 如果要设置 RADIUS 服务器的相关信息 , 请使用 authserver 命令。 

权限 


V 

V 

模式 


范例 

范例 . 设置 Telnet 的远程认证服务 , 指定其 RADIUS 服务器的标识为 20。 

NokiaIPSO-VN:root-system]service telnet auth radius 20 

相关命令 

命令名称 

描述信息 


unset service 删除服务策略。 




使用 show service port 命令显示服务策略的端口号。其中服务策略包括 : 

TELNET, WEB 和 SSH。 

命令 


权限 


V V V V V 

模式 


范例 

范例 . 显示服务策略的端口号信息。 

NokiaIPSO-VN:root>show service port 


Telnet port: 23 

SSH port: 22 

Web port: 443 



show service 

使用 show service 命令显示服务策略的配置信息。 

命令 

show service [telnet | web | ssh | ping] 

语法 





说明 

如果不指定 TELNET, WEB, SSH 和 PING 中任一关键字 , 表示显示所有服务的配置信 

息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示 Telnet 方式的服务配置信息。 

NokiaIPSO-VN:root>show service telnet 


Telnet service: 

State:enable Auth:local 

Access:allow Any 0.0.0.0-255.255.255.255 


unset service 

unset service 

使用 unset service 命令删除服务策略。 

命令 

unset service {telnet | web | ssh | ping}[ allow zone {zone_name | any} start_ip [end_ip]] 

语法 





zone 安全域。 

zone_name 安全域名称 , 格式为 WORD。 any 表示任意安全域。 

start_ip 

end_ip 

起始 IP 地址 , 格式为 x.x.x.x。 

终止 IP 地址 , 格式为 x.x.x.x。 

权限 


V V V V V 

模式 


范例 

范例 . 删除 Telnet 服务策略 , 并限定 IP 地址为 192.168.1.128 的设备不可以通过 Telnet 方 

式管理防火墙。 

NokiaIPSO-VN:root-system]unset service Telnet allow zone any 

192.168.1.128 

相关命令 

命令名称 

描述信息 

service allow zone 添加服务策略。 





23 会话限制命令 

clear session 

使用 clear session 命令删除当前系统的会话。 

命令 

clear session [num sessionnum | {szone | any} {dzone | any} {sip | siprange | any} {dip | 

diprange | any} protocol {{tcp | udp} [{sport | sport_range | any} {dport | dport_range | any}] 

| icmp [type] | other [num] | any}] 

语法 

sessionnum 

会话号 , 各式为 INTEGER。 

szone 源安全域 , 格式为 WORD。 any 代表任何源安全域。 

dzone 目的安全域 , 格式为 WORD。 any 代表任何目的安全域。 

sip 


siprange 源 IP 地址范围 , 格式为 IPV4RANGE。 any 代表任何源 IP 地址。 

dip 

diprange 


目的 IP 地址范围 , 格式为 IPV4RANGE。 any 代表任何目的 IP 地 

址。 

sport 源端口 , 格式为 INTEGER。 any 代表任何源端口。 

sport_range 

源端口的范围 , 格式为 LIMIT。 

dport 目的端口 , 格式为 INTEGER。any 代表任何目的端口。 

dport_range 

目的端口的范围 , 格式为 LIMIT。 


会话限制命令 







num 

协议号 , 格式为 INTEGER。 

说明 

如果不指定任何参数 , 则删除当前系统所有的会话。 

权限 


V 

V 

模式 


范例 

范例 . 删除当前系统的源 IP 地址为 192.168.2.100、目的 IP 地址为 192.168.1.100 的会 

话。 

NokiaIPSO-VN:root>clear session SzoneA DzoneB 192.168.2.100 

192.168.1.100 protocol tcp 

相关命令 

命令名称 

描述信息 

show session 显示当前系统的会话表。 

show session count 显示当前系统的会话数目。 


show session 

show session 

使用 show session 命令显示当前系统的会话表。 

命令 

show session [{szone | any} {dzone | any} {sip | siprange | any} {dip | diprange | any} protocol 

{tcp [{sport | sport_range | any} {dport | dport_range | any} tcp_state] | udp [{sport | 

sport_range | any} {dport | dport_range | any} udp_state] | icmp [type] | other [num] | any}] 

语法 



sip 



dip 

diprange 



址。 


sport_range 



dport_range 


tcp_state TCP 会话状态 , 设置个数为 1, 可以设置为 : 

EST ; FIN ; CLOSE ; SYN ; SYN_SENT ; SYN_ACKED ; 

C_SYN_ACKED ; S_SYN_ACKED。 

any 代表上述会话状态中的任意一种状态。 

udp_state UDP 会话状态 , 设置个数为 1, 可以设置为 : 

EST ; CLOSE。 








num 

协议号 , 格式为 INTEGER。 



说明 

如果不指定任何参数 , 则显示当前会话表中所有的信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示当前系统的会话表。 

NokiaIPSO-VN:root>show session any any 10.1.212.2 10.3.1.212 protocol 

tcp 


41 : (null) -> (null) state: ESTED 

10.3.1.122:1032->10.3.1.212:23, protocol:tcp 

est-time 2007/10/22 9:43:19 last-time 0d0h56m45s 

10.3.1.122:1032

show session count 

show session count 

使用 show session count 命令显示当前系统的会话数目。 

命令 

show session count [{szone | any} {dzone | any} {sip | siprange | any} {dip | diprange | any} 

protocol {tcp {sport | sport_range | any} {dport | dport_range | any} tcp_state | udp {sport | 

sport_range | any} {dport | dport_range | any} udp_state}] 

语法 



sip 



dip 

diprange 



址。 


sport_range 



dport_range 


tcp_state TCP 会话状态 , 设置个数为 1, 可以设置为 : 

EST ; FIN ; CLOSE ; SYN ; SYN_SENT ; SYN_ACKED ; 

C_SYN_ACKED ; S_SYN_ACKED。 


udp_state UDP 会话状态 , 设置个数为 1, 可以设置为 : 

EST ; CLOSE。 


权限 


V 

V 

模式 




范例 

范例 . 显示当前系统的会话数目。 

NokiaIPSO-VN:root>show session count SzoneA DzoneB 192.168.2.2 

192.168.2.5 protocol tcp any any EST 


Total: 1 session(s) 

相关命令 

命令名称 

描述信息 

clear session 删除当前系统的会话。 

show session 显示当前系统的会话表。 


24 SNMP 命令 

show snmp 

使用 show snmp 显示 SNMP 的进程状态、地址和联系方式。 

命令 

show snmp {daemon | location | contact} 

语法 

daemon | location | contact 

• daemon— SNMP 进程状态 

• location— SNMP 位置信息 , 用于表示防火墙的地点 

• contact— SNMP 联系方式 , 用于表示管理防火墙相关人员的标 

识及联系方法 

权限 


V 

V 

模式 


范例 

范例 1. 查看 SNMP 的进程状态。 

NokiaIPSO-VN:root>show snmp daemon 


The SNMP daemon is on 


SNMP 命令 

show snmp community 

使用 show snmp community 命令显示 SNMP 中指定读写权限的团体名。 

命令 

show snmp community {read-only | read-write} 

语法 

community 表示团体名。 

read-only | read-write • read-only— 表示团体名读写权限为 “ 只读 ” 

• read-write— 表示团体名读写权限为 “ 可写 ” 

权限 


V 

V 

模式 


范例 

范例 . 显示 SNMP 读写权限为 “ 只读 ” 的团体名。 

NokiaIPSO-VN:root>show snmp community read-only 


The SNMP read-only community is green 

相关命令 

命令名称 

描述信息 

snmp community read-only,read-write 添加 SNMP 团体名。 

unset snmp community 删除指定读写权限的团体名。 


show snmp usm user 

show snmp usm user 

使用 show snmp usm user 命令显示 SNMPv3 用户信息。 

命令 

show snmp usm user [user_name] 

语法 

usm 表示 SNMPv3 中对传输的报文进行加密和解密的模型。 

user_name 

SNMPv3 用户名称 , 格式为 WORD。 

说明 

如果不指定具体的 user_name 参数 , 将显示全部 SNMPv3 用户信息。 

权限 


V 

V 

模式 


范例 

范例 1. 显示全部 SNMPv3 用户信息。 

NokiaIPSO-VN:root>show snmp usm user 


UserNames SecurityLevel AuthPro PrivPro 

John authNoPriv MD5 

Linda authNoPriv MD5 

allen authPriv MD5 DES 

Tom authPriv MD5 DES 


SNMP 命令 

snmp community read-only,read-write 

使用 snmp community read-only,read-write 命令来添加 SNMP 团体名。 

命令 

snmp community community_name {read-only | read-write} 

语法 

community_name 

SNMP 的团体名名称 , 格式为 WORD。 



权限 


V 

模式 


范例 

范例 . 添加团体名 Andy 的读写权限为 “ 只读 ”。 

NokiaIPSO-VN:root-system]snmp community Andy read-only 

相关命令 

命令名称 

描述信息 

show snmp community 显示指定读写权限下的团体名。 

unset snmp community 删除指定读写权限的团体名。 


snmp contact 

snmp contact 

使用 snmp contact 命令为 SNMP 添加联系方式。配置成功后 , 可以通过查阅此信息 

得到相关人员的联系方式。 

命令 

snmp contact contact_string 

语法 

contact_string 

SNMP 的联系方式 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 添加 SNMP 联系方式为 John,Room C-122,tel:12345678。 

NokiaIPSO-VN:root-system]snmp contact John,Room C-122,tel:12345678 

相关命令 

命令名称 

描述信息 

snmp location 为 SNMP 添加位置信息。 


SNMP 命令 

snmp location 

使用 snmp location 命令添加 SNMP 的位置信息。配置成功后 , 可以通过查阅此位置 

获得网络设备所在位置。 

命令 

snmp location location_string 

语法 

location_string 

SNMP 的位置信息 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 添加 SNMP 位置信息为 122-machine04。 

NokiaIPSO-VN:root-system]snmp location 122-machine04 

相关命令 

命令名称 

描述信息 

snmp contact 为 SNMP 添加联系方式。 


snmp daemon on,off 

snmp daemon on,off 

使用 snmp daemon on,off 命令来打开或者关闭 SNMP 进程。 

命令 

snmp daemon {on | off} 

语法 

on | off 

• on— 表示打开进程 

• off— 表示关闭进程 

缺省设置为 on 

说明 

如果选择 off 关键字 , 表示不响应来自任何地址的 SNMP 请求 , 也不能查看或修改所有 

SNMP 的相关属性 ( 用户、团体名、 location 和 contact); 如果选择 on 关键字 , 表示可 

查看或设置相关属性。 

权限 


V 

模式 


范例 

范例 . 打开 SNMP 进程。 

NokiaIPSO-VN:root-system]snmp daemon on 


SNMP 命令 

snmp usm user authNoPriv 

使用 snmp usm user authPriv 命令添加一个安全等级为只认证不加密的 SNMPv3 

用户。 

命令 

snmp usm user user_name seclvl authNoPriv authpro MD5 authpassphrase 

authpassphrase_string {read-only | read-write} 

语法 


user_name 


seclvl 表示为用户设定安全级级别。 

authNoPriv 表示用户的安全等级为只认证不加密。 

authpro MD5 表示认证的时候使用 MD5 加密算法。 

authpassphrase 表示设置认证密钥。 

authpassphrase_string 

认证密钥 , 格式为 WORD。 



说明 

1. SNMPv3 用户的最大个数为 5。 

2. SNMPv3 用户的默认加密类型为 DES, 用户不可设置。 

权限 


V 

模式 


范例 

范例 1. 添加一个只读的 SNMPv3 用户 hello, 该用户的认证密钥为 niumeng126 。 

NokiaIPSO-VN:root-system]snmp usm user hello seclvl authNoPriv authpro 

MD5 authpassphrase niumeng126 read-only 


snmp usm user authNoPriv 

相关命令 

命令名称 

描述信息 

snmp usm user authPriv 添加认证加密的 SNMPv3 用户。 


SNMP 命令 

snmp usm user authPriv 

使用 snmp usm user authPriv 命令添加一个安全等级为认证加密的 SNMPv3 用 

户。 

命令 

snmp usm user user_name seclvl authPriv authpro MD5 authpassphrase 

authpassphrase_string privpro DES privpassphrase privpassphrase_string {read-only | readwrite} 

语法 


user_name 


seclvl 表示为用户设定安全级级别。 

authPriv 表示用户的安全等级为认证加密。 

authpro MD5 表示认证的时候使用 MD5 加密算法。 

authpassphrase 设置认证密钥。 

authpassphrase_string 

认证密钥 , 格式为 WORD。 

privpro DES 表示传输的时候使用 DES 加密算法。 

privpassphrase 设置加密密钥。 

privpassphrase_string 

加密密钥 , 格式为 WORD。 



说明 

允许添加 SNMPv3 用户数量不超过 5。 

权限 


V 

模式 


范例 


snmp usm user authPriv 

范例 1. 添加一个只读的 SNMPv3 用户 hello, 该用户的认证密钥为 niumeng126 , 加密密 

钥为 vlantine3351。 

NokiaIPSO-VN:root-system]snmp usm user hello seclvl authPriv authpro 

MD5 authpassphrase niumeng126 privpro DES privpassphrase vlantine3351 

read-only 

相关命令 

命令名称 

描述信息 

snmp usm user authNoPriv 添加认证不加密的 SNMPv3 用户。 


SNMP 命令 

unset snmp community 

使用 unset snmp community 命令删除 SNMP 中指定读写权限的团体名。 

命令 

unset snmp community {read-only | read-write} 

语法 



权限 


V 

模式 


范例 

范例 . 删除 SNMP 中的权限为 “ 只读 ” 的团体名。 

NokiaIPSO-VN:root-system]unset snmp community read-only 

相关命令 

命令名称 

描述信息 

show snmp community 显示指定读写权限的团体名。 

snmp community read-only,read-write 添加 SNMP 团体名。 


unset snmp usm user 

unset snmp usm user 

使用 unset snmp usm user 命令删除 SNMPv3 用户。 

命令 

unset snmp usm user [user_name] 

语法 


user_name 


说明 

如果不指定具体的 user_name 参数 , 将删除全部 SNMPv3 用户。 

权限 


V 

模式 


范例 

范例 . 删除全部 SNMPv3 用户。 

NokiaIPSO-VN:root-system]unset snmp usm user 

相关命令 

命令名称 

描述信息 

show snmp usm user 显示 SNMPv3 用户信息。 


SNMP 命令 


25 SSH 命令 

import ssh authkeys 

使用 import ssh authkeys 命令导入 SSHv2 或 SSHv1 的用户公钥。 

命令 

import ssh authkeys {v1 rsa | v2 {rsa | dsa}} from {tftp ip_address file_name | x/zmodem} 

语法 

authkeys 认证密钥。 

v1 | v2 防火墙支持的 SSH 协议版本。 

• v1— 版本 1 

• v2— 版本 2 

rsa | dsa 非对称加密算法。 

• rsa—RSA 算法 , 既能用于数据加密也能用于数字签名 

• dsa—DSA 算法 , 只能用于数字签名 

tftp 简单文件传输协议 , 表示从 TFTP 服务器导入用户公钥。 

ip_address 

file_name 

x/zomdem 

TFTP 服务器 IP 地址 , 格式为 x.x.x.x。 

公钥文件名 , 格式为 WORD。 

异步文件传输协议 , Xmodem 或 Zmodem 由系统自动选择。表示 

使用 x/zmodem 协议导入用户公钥。 

说明 

1. 导入的公钥可以是 OpenSSH 或 SSH2 格式。如果是 SSH2 格式 , 会对其进行自动格式转 

换 , 将其转换为 OpenSSH 格式。 

2. 公钥默认的文件名扩展名是 .pub。 

3. 如果用 x/zmodem 导入 , 会弹出对话框让用户指定文件。 


SSH 命令 

权限 


V V V V V 

模式 


范例 

范例 . 从 IP 地址为 192.168.1.100 的 TFTP 服务器导入 SSHv2 版本的 RSA 用户公钥 , 公 

钥文件名为 test.pub。 

NokiaIPSO-VN:root-system]import ssh authkeys v2 rsa from tftp 

192.168.1.100 test.pub 


show ssh hostkey 

show ssh hostkey 

使用 show ssh hostkey 命令显示 SSHv2 或 SSHv1 主机密钥信息。 

命令 

show ssh hostkey {v1 rsa | v2 {rsa | dsa} [ssh2-format]} 

语法 

hostkey 主机密钥。 


• v1— 版本 1 

• v2— 版本 2 




ssh2-format SSH2 格式 , 表示以 SSH2 格式显示密钥内容。 

说明 

1. 选择 RSAv1 主机密钥 , 可以显示其密钥长度、指数和模 ; 选择 RSAv2 或 DSAv2 主机密 

钥 , 可以 OpenSSH 和 SSH2 两种格式显示其内容。 

2. 如果指定 ssh2-format 关键字 , 表示把密钥内容从 OpenSSH 格式转换成 SSH2 格式 , 然 

后以 SSH2 格式显示密钥内容 ; 如果不指定 ssh2-format 关键字 , 表示以 OpenSSH 

格式显示密钥内容。 

权限 


V V V 

模式 


范例 

范例 . 显示 SSH2 格式的 SSHv2 的 DSA 主机密钥信息。 

NokiaIPSO-VN:root>show ssh hostkey v2 dsa ssh2-format 


---- BEGIN SSH2 PUBLIC KEY ---- 


SSH 命令 

Comment: "DSA key converted from OpenSSH format" 

AAAAB3NzaC1kc3MAAACBAJTH1/sKCLJijfCkPr1zzxzyNQJfKss9my/zsi6MFEZTzF9MqV 

WpaOe6hrYUcERzrAy6+J7kEoe53R+9j+84SLozClwcj652523FSXWsozTE2VJsKlfCI/4g 

2VRmv+7d1b+BL0+u5/EClyaMr7Yfd8yQvbezKqD+3ZMiiAHpCK09AAAAFQClDyCMVZAhd+ 

6Y9TpzKgoZXqmopwAAAIArq2cYc3P6+aads/oH9VDJiC3hZrbvLJahVA2/pbMsBRppqwyr 

5Iz483V/7SrCWNB/LTmSDSerY42/9Smifx6oL03W8r8/KXKSuma+Z8WiceIS56X3dBEs2i 

BNxqcBUU8owDzVLAMKbyQmn0eTwqMZhERLK1V6H6Pn6i+xLKU0/gAAAIBSkJjorkK772gn 

JCKV5nGuacxAR+vNvbv84USO0KWA0PG7mNLq6jNf3wEF+m5YqowR5GiU5em1OIMjoy9Wwa 

OnNGHk2l35PuffN0+h96K5SNWhF7EMebmK5zauUhIFOUZRwQbHO1DzW9sW+8Bvly/9ZZYX 

vPNjRrcGTcY4G/vhIA== 

---- END SSH2 PUBLIC KEY ---- 

相关命令 

命令名称 

描述信息 

ssh hostkey 更新主机密钥。 


show ssh server authentication 

show ssh server authentication 

使用 show ssh server authentication 命令显示 SSH 服务对认证方式的支持情 

况。 

命令 

show ssh server authentication {pubkey | passwd | rsa} 

语法 

pubkey | passwd | rsa 

• pubkey—Pubkey 认证方式 , 仅在 SSH v2 下有效 

• passwd—Password 认证方式 

• rsa—RSA 认证方式 , 仅在 SSHv1 下有效 

权限 


V V V 

模式 


范例 

范例 . 显示 SSH 服务对 Pubkey 认证方式的支持情况。 

NokiaIPSO-VN:root>show ssh server authentication pubkey 


PubkeyAuthentication yes 

相关命令 

命令名称 

描述信息 

ssh server authentication 设置认证方式。 


SSH 命令 

show ssh server ciphers 

使用 show ssh server ciphers 命令显示 SSH 加密算法。 

命令 

show ssh server ciphers 

语法 

ciphers 表示加密算法。 

权限 


V V V 

模式 


范例 

范例 . 显示 SSH 服务支持的加密算法。 

NokiaIPSO-VN:root>show ssh server ciphers 


Ciphers 3des-cbc,blowfish-cbc,arcfour,cast128-cbc,aes128-cbc,aes192- 

cbc,aes256-cbc 

相关命令 

命令名称 

描述信息 

ssh server ciphers 设置 SSH 加密算法。 


show ssh server key-regeneration-time 


使用 show ssh server key-regeneration-time 命令显示生成服务器密钥的时 

间间隔值。 

命令 


语法 

key-regeneration-time 表示生成服务器密钥的时间间隔值。 

权限 


V V V 

模式 


范例 

范例 . 显示生成服务器密钥的时间间隔值。 

NokiaIPSO-VN:root>show ssh server key-regeneration-time 


KeyRegenerationInterval 3600 

相关命令 

命令名称 

描述信息 

ssh server key-regeneration-time 设置生成服务器密钥的时间间隔值。 


SSH 命令 

show ssh server login-grace-time 

使用 show ssh server login-grace-time 命令显示宽限登录时间。 

关于宽限登录时间 , 表示 SSH 服务器等待用户完成认证的时间限制值。 

命令 

show ssh server login-grace-time 

语法 

login-grace-time 表示宽限登录时间。 

权限 


V V V 

模式 


范例 

范例 . 显示 SSH 服务支持的宽限登录时间。 

NokiaIPSO-VN:root>show ssh server login-grace-time 


LoginGraceTime 600 

相关命令 

命令名称 

描述信息 

ssh server login-grace-time 设置宽限登录时间。 


show ssh server protocol 


使用 show ssh server protocol 命令显示 SSH 服务支持的协议版本信息。 

命令 


权限 


V V V 

模式 


范例 

范例 . 显示 SSH 服务支持的协议版本信息。 

NokiaIPSO-VN:root>show ssh server protocol 


Protocol 2,1 

相关命令 

命令名称 

描述信息 

ssh server protocol 设置 SSH 服务支持的协议版本。 


SSH 命令 

show ssh server server-key-bits 

使用 show ssh server server-key-bits 命令显示服务器密钥的长度信息。 

命令 

show ssh server server-key-bits 

语法 

server-key-bits 表示服务器密钥长度。 

权限 


V V V 

模式 


范例 

范例 . 显示服务器密钥的长度信息。 

NokiaIPSO-VN:root>show ssh server server-key-bits 


ServerKeyBits 768 

相关命令 

命令名称 

描述信息 

ssh server server-key-bits 设置服务器密钥的长度。 


ssh hostkey 

ssh hostkey 

使用 ssh hostkey 命令更新 SSHv1 或 SSHv2 主机密钥。 

命令 

ssh hostkey {v1 rsa | v2 {rsa | dsa}} key_length 

语法 

hostkey 主机密钥。 


• v1— 版本 1 

• v2— 版本 2 




key_length 密钥长度。单位 : 位 (bit), 可选长度为 512, 640, 768, 896, 1024。 

说明 

1. 更新主机密钥允许选择主机密钥长度和加密算法及其支持的协议版本。 

2. 主机密钥长度值越大 , 安全性越高 , 所以推荐使用 1024bits。 

权限 


V V V 

模式 


范例 

范例 . 更新 SSHv1 主机密钥 , 设置主机密钥长度为 1024bits。 

NokiaIPSO-VN:root-system]ssh hostkey v1 rsa 1024 

相关命令 

命令名称 

描述信息 

show ssh hostkey 显示主机密钥信息。 


SSH 命令 

ssh server authentication 

使用 ssh server authentication 命令设置 SSH 服务的认证方式。 

命令 

ssh server authentication {pubkey | passwd | rsa} {on | off} 

语法 

pubkey | passwd | rsa 

on | off 

• pubkey— 公共密钥 (Pubkey) 认证方式 , 仅在 SSHv2 下有效 

• passwd— 用户名密码 (Password) 认证方式 

• rsa—RSA 认证方式 , 仅在 SSHv1 下有效 

• on— 支持认证方式 

• off— 不支持认证方式 

说明 

1. Password 认证方式允许输入用户名和密码进行验证 ,Pubkey 认证和 RSA 认证允许通过 

用户名和用户认证公钥进行验证。 

2. 出于安全性考虑 , 最好选择支持 Pubkey 和 RSA 认证。 

权限 


V 

模式 


范例 

范例 . 设置 SSH 服务支持 Pubkey 认证方式。 

NokiaIPSO-VN:root-system]ssh server authentication pubkey on 

相关命令 

命令名称 

描述信息 

show ssh server authentication 显示 SSH 服务对认证方式的支持情况。 


ssh server ciphers 

ssh server ciphers 

使用 ssh server ciphers 命令设置 SSH 加密算法。 

命令 

ssh server ciphers algorithm_name 

语法 

ciphers 表示加密算法。 

algorithm_name 

算法名称 , 格式为 WORD。该选项为加密算法与加密模式 

的组合 , 具体选项有 3des-cbc, blowfish-cbc, arcfour, 

cast128-cbc, aes128-cbc, aes192-cbc, aes256-cbc。 

说明 

关于加密模式 , 目前防火墙只采用加密分组链接 (CBC) 模式。 

提示 

该命令只可以设置 SSHv2 的加密算法 , 但对 SSHv1 无效。 

权限 


V 

模式 


范例 

范例 . 设置 SSH 服务支持的加密算法为 3des-cbc。 

NokiaIPSO-VN:root-system]ssh server ciphers 3des-cbc 

相关命令 

命令名称 

描述信息 

show ssh server ciphers 显示 SSH 加密算法。 


SSH 命令 

ssh server key-regeneration-time 

使用 ssh server key-regeneration-time 命令设置生成服务器密钥的时间间隔 

值。系统缺省的默认值为 3600 秒。 

命令 

ssh server key-regeneration-time interval_time 

语法 

key-regeneration-time 表示生成服务器密钥的时间间隔值。 

interval_time 时间间隔值。单位为秒 , 格式为 INTEGER。设置为 0 

表示不再重新生成服务器密钥。 

说明 

服务器密钥仅在 SSHv1 下有效。 

权限 


V 

模式 


范例 

范例 . 设置生成服务器密钥的时间间隔值为 5000 秒。 

NokiaIPSO-VN:root-system]ssh server key-regeneration-time 5000 

相关命令 

命令名称 

描述信息 

show ssh server key-regeneration-time 显示生成服务器密钥的时间间隔值。 


ssh server login-grace-time 

ssh server login-grace-time 

使用 ssh server login-grace-time 命令设置宽限登录时间 , 系统缺省的默认值 

为 600 秒。 

关于宽限登录时间 , 表示 SSH 服务器等待用户完成认证的时间限制值。 

命令 

ssh server login-grace-time grace_time 

语法 

login-grace-time 表示宽限登录时间。 

grace_time 

宽限登录时间。单位为秒 , 格式为 INTEGER。设置为 

0 表示没有时间限制。 

说明 

如果用户发出 SSH 连接请求后 , 在宽限登录时间内没有完成认证和登录 , 则自动断开此 

次 SSH 连接。 

权限 


V 

模式 


范例 

范例 . 设置 SSH 宽限登录时间为 1000 秒。 

NokiaIPSO-VN:root-system]ssh server login-grace-time 1000 

相关命令 

命令名称 

描述信息 

show ssh server login-grace-time 显示宽限登录时间。 


SSH 命令 

ssh server protocol 

使用 ssh server protocol 命令设置 SSH 服务支持的协议版本。 

命令 

ssh server protocol {v1 | v2 | all} 

语法 

v1 | v2 | all 防火墙支持的 SSH 协议版本。 

• v1— 版本 1 

• v2— 版本 2 

• all— 版本 1 和版本 2 

缺省设置为 all 

权限 


V 

模式 


范例 

范例 . 设置 SSH 服务支持协议 v1 版本。 

NokiaIPSO-VN:root-system]ssh server protocol v1 

相关命令 

命令名称 

描述信息 

show ssh server protocol 显示 SSH 服务支持的协议版本。 


ssh server server-key-bits 

ssh server server-key-bits 

使用 ssh server server-key-bits 命令设置服务器密钥的长度。系统缺省的默认 

值为 768bits。 

命令 

ssh server server-key-bits key_length 

语法 

server-key-bits 表示服务器密钥长度。 

key_length 密钥长度。单位 : 位 (bit), 可选长度为 512, 640, 768, 896, 1024。 

权限 


V 

模式 


范例 

范例 . 设置服务器密钥的长度为 512bits。 

NokiaIPSO-VN:root-system]ssh server server-key-bits 512 

相关命令 

命令名称 

描述信息 

show ssh server server-key-bits 显示服务器密钥的长度信息。 


SSH 命令 

web generate ssl-certificate request 

使用 web generate ssl-certificate request 命令生成证书请求及对应的密 

钥。配置成功后 , 回显证书请求和密钥内容 , 供用户保存和使用。 

命令 

web generate ssl-certificate request key-bits key_length country country_name state-orprovince 

state_name locality {none | locality_name} organization organization_name 

organizational-unit {none | unit_name} common-name common_name email-address {none 

| email_address} passphrase {none | password} 

语法 

generate 生成证书请求及对应的密钥。 

ssl-certificate SSL 认证证书。 

request 表示证书请求。 

key_length 密钥长度。单位 : 位 (bit), 可选长度为 512, 768, 1024。 

country_name 

state_name 

locality_name 

organization_name 

unit_name 

common_name 

email_address 

国家名称 , 格式为 WORD。 

州或省份名称 , 格式为 WORD。 

城市名称 , 格式为 WORD。 

公司名称 , 格式为 WORD。 

部门名称 , 格式为 WORD。 

公共域名 , 格式为 WORD。 

邮件地址 , 格式为 WORD。 

none | password password 表示密钥口令 , 格式为 WORD。 none 表示不对密钥进 

行加密。 

说明 

1. 密钥长度值越大 , 相应的解密、加密时间越长 , 所以推荐使用 1024bits。 

2. 密钥默认采用 RSA 非对称算法。如果指定 password 参数 , 表示使用对称加密算法 

3DES 对私钥进行加密保护。 

3. 国家名称的格式取值范围为数字和字母。州或省份名称、城市名称、公司名称、部 

门名称、公共域名和邮件地址的格式取值范围为数字、字母和特殊字符 ( 不包含 "、 

'、、 &、 \、 /、 !、 ‘、 $ 和 #)。 


web generate ssl-certificate request 

权限 


V 

模式 


范例 

范例 . 生成密钥长度为 1024 位 , 密钥保护口令为 test, 国家为 CN(China), 省份为 

Liaoning, 城市为 shenyang, 公司为 NTC, 公共域名为 www.NTC.com, 邮件地址为 

stone@NTC.com 的证书请求及密钥文件。 

NokiaIPSO-VN:root-system]web generate ssl-certificate request key-bits 

1024 country CN state-or-province Liaoning locality shenyang 

organization NTC organizational-unit none common-name www.NTC.com 

email-address stone@NTC.com passphrase test 

相关命令 

命令名称 

描述信息 

web install ssl-certificate 安装证书。 


SSH 命令 

web generate ssl-certificate self-signed 

使用 web generate ssl-certificate self-signed 命令生成自签名证书及对应的 

密钥。配置成功后 , 回显证书和密钥内容 , 供用户保存和使用。 

命令 

web generate ssl-certificate self-signed certificate certificate_name key key_name key-bits 

key_length country country_name state-or-province state_name locality {none | 

locality_name} organization organization_name organizational-unit {none | unit_name} 

common-name common_name email-address {none | email_address} passphrase {none | 

password} 

语法 

generate 生成自签名证书及对应的密钥。 


self-signed 表示自签名证书。 

certificate_name 

key_name 

证书文件名 , 格式为 WORD。 

密钥文件名 , 格式为 WORD。 

key_length 密钥长度。单位 : 位 (bit), 可选长度为 512, 768, 1024。 

country_name 

state_name 

locality_name 


unit_name 

common_name 

email_address 








none | password password 表示密钥口令 , 格式为 WORD。 none 表示不对密钥进 

行加密。 

说明 

1. 密钥长度值越大 , 相应的解密、加密时间越长 , 所以推荐使用 1024bits。 

2. 密钥默认采用 RSA 非对称算法。如果指定 password 参数 , 表示使用对称加密算法 

3DES 对私钥进行加密保护。 

3. 证书文件名和密钥文件名不可以相同。 


web generate ssl-certificate self-signed 



'、、 &、 \、 /、 !、 ‘、 $ 和 #)。 

权限 


V 

模式 


范例 

范例 . 生成证书文件名为 test.crt, 密钥文件名为 test.key, 密钥长度为 1024 位 , 密钥保 

护口令为 test, 国家为 CN(China), 省份为 Liaoning, 城市为 shenyang, 公司为 NTC, 公 

共域名为 www.NTC.com, 邮件地址为 stone@NTC.com 的自签名证书及密钥文件。 

NokiaIPSO-VN:root-system]web generate ssl-certificate self-signed 

certificate test.crt key test.key key-bits 1024 country CN state-orprovince 

Liaoning locality shenyang organization NTC organizationalunit 

none common-name www.NTC.com email-address stone@NTC.com 

passphrase test 

相关命令 

命令名称 

描述信息 

web install ssl-certificate 安装证书。 


SSH 命令 

web install ssl-certificate 

使用 web install ssl-certificate 命令安装证书和密钥。配置成功后 , 可以重 

启 HTTPS 服务 , 使用新证书对 HTTPS 服务器进行验证。 

命令 

web install ssl-certificate from {tftp ip_address certificate certificate_name key key_name | x/ 

zmodem} passphrase {none | password} 

web install ssl-certificate self-signed certificate certificate_name key key_name passphrase 

{none | password} 

语法 


tftp 简单文件传输协议 , 表示从 TFTP 服务器导入安装证书和密钥。 

ip_address 

x/zomdem 

certificate_name 

key_name 

none | password 


异步文件传输协议 , Xmodem 或 Zmodem 由系统自动选择。表示使 

用 x/zmodem 协议导入安装证书和密钥。 

证书文件名 , 格式为 WORD。 

密钥文件名 , 格式为 WORD。 

password 表示密钥口令 , 格式为 WORD。 none 表示不对 

密钥进行加密。 

self-signed 表示自签名证书。 

说明 

1. 该命令可以选择使用 X/Zmodem 协议或 TFTP 上载 CA 证书 ; 自签名证书生成后直接部署 

在防火墙中 , 所有不必进行上载。 

2. 证书文件名和密钥文件名不可以相同 

权限 


V 

模式 



web install ssl-certificate 

范例 

范例 1. 使用密钥保护口令 test, 从 IP 地址为 192.168.1.111 的 TFTP 服务器导入本地证书 

server.crt 和密钥 server.key 到防火墙。 

NokiaIPSO-VN:root-system]web install ssl-certificate from tftp 

192.168.1.111 certificate test.crt key test.key passphrase test 

范例 2. 使用密钥保护口令 test, 安装自签名证书 test.crt 及其相应密钥 test.key。 

NokiaIPSO-VN:root-system]web install ssl-certificate self-signed 

certificate test.crt key test.key passphrase test 

相关命令 

命令名称 

描述信息 

web generate ssl-certificate self-signed 生成证书。 

web generate ssl-certificate request 生成证书请求。 


SSH 命令 


26 SYSLOG 命令 

copy log 

使用 copy log 命令导出当前 Vsys 的远程或本地日志。 

命令 

copy log file_name to {tftp ip_address | x/zmodem | pc-card} 

语法 

file_name 


tftp 简单文件传输协议 , 表示导出日志到 TFTP 服务器。 

ip_address 

x/zmodem 

TFTP 服务器的 IP 地址 , 格式为 x.x.x.x。 

异步文件传输协议 , Xmodem 或 Zmodem 由系统自动选择。表示使 

用 x/zmodem 协议导出日志。 

pc-card PC 卡 , 表示导出日志到 PC 卡上。 

权限 


V 

模式 


范例 

范例 . 导出日志到 TFTP 服务器 192.168.1.100。 

NokiaIPSO-VN:root>copy log log1 to tftp 192.168.1.100 


SYSLOG 命令 

logging media 

使用 logging media 命令显示当前存储介质列表。 

命令 

logging media 

语法 

media 表示存储介质。 

权限 


V 

模式 


范例 

范例 . 显示当前存储介质列表。 

NokiaIPSO-VN:root>logging media 


*****Current Media List***** 

CF card existing 

*****Current Storage Log Media***** 

CF card is storaging syslog now 

相关命令 

命令名称 

描述信息 

logging media switch to 切换日志存储介质。 


logging media switch to 

logging media switch to 

使用 logging media switch to 命令切换日志存储介质。 

命令 

logging media switch to {CF | HD | PC} 

语法 

media 表示存储介质。 

CF | HD | PC 

• CF— CF 卡 

• HD— 内置硬盘 

• PC— PC 卡 

权限 


V 

模式 


范例 

范例 . 日志存储介质切换为 CF 卡。 

NokiaIPSO-VN:root-system]logging media switch to CF 

相关命令 

命令名称 

描述信息 

logging media 显示当前存储介质列表。 


SYSLOG 命令 

logging policy 

使用 logging policy 命令配置日志备份策略的备份方式。配置成功后 , 用户可以按 

该策略进行备份。 

命令 

logging policy {stop | delete} 

语法 

stop | delete 

• stop— 表示停止记录日志 

• delete— 表示删除旧日志 

说明 

1. 选择 stop 关键字 , 表示当备份文件记录已满时 , 将丢弃新接收到的日志信息。 

2. 选择 delete 关键字 , 表示采用循环备份日志的方式 , 即当临时文件和备份文件记录均 

被写满后 , 删除最旧的日志。 

权限 


V 

模式 


范例 

范例 . 配置日志备份策略的备份方式为停止记录日志。 

NokiaIPSO-VN:root-system]logging policy stop 


show log 

show log 

使用 show log 命令显示日志信息。 

命令 

show log {all | emerg | alert | cri | err | warning | notice | info | debug} {all | system | 

application | access | manage} {any | month} {any | date} {null | includefile} {0 | 1} [keyword] 

语法 

log_level 日志级别 ( 参见表 4,“ 日志级别 ”)。 

month 日志时间 ( 月 ), 格式为 WORD。 any 表示所有月份。 

date 日志时间 ( 日 ), 格式为 WORD。 any 表示所有日期。 

includefile 

可选的备份文件列表 , 格式为 WORD。 

0 | 1 • 0— 表示关键字大小写敏感 

• 1— 表示关键字大小写不敏感 

keyword 

关键字 , 表示只显示包含该关键字的日志信息 , 格式为 WORD。 

表 4 日志级别 

日志级别 

all 

emerg 

alert 

crit 

err 

warning 

notice 

info 

debug 

描述信息 

所有日志级别 

出现紧急情况使得该系统不可用 

需要马上采取行动 

关键情况 

错误情况 

警告情况 

常规但十分重要的情况 

信息报文 

调试报文 

说明 

该命令只能显示当前用户登录的 Vsys 下的日志。 


SYSLOG 命令 

权限 


V 

模式 


范例 

范例 . 显示 10 月 22 日备份文件 messages.6.gz 的日志信息。 

NokiaIPSO-VN:root>show log all all 10 22 6 1 


Oct 22 08:32:22 root@IPSO-VN [LOG_DEBUG] nsh[4]:1025 repeat:1 User 

login successfully:telnet,10.3.1.129,vsys0 vsys0 

Oct 22 10:44:27 root@IPSO-VN [LOG_INFO] vsys[14]:3584 repeat:1 Create 

Vsys successfully:VsysA percent:50 vsys0 

Oct 22 11:04:39 root@IPSO-VN [LOG_WARNING] user[19]:4873 repeat:1 login 

failed: web,10.3.1.155,vsys0 vsys0 

Oct 22 11:06:20 root@IPSO-VN [LOG_NOTICE] user[19]:4872 repeat:1 login 

successfully: web,10.3.1.82,vsys0 vsys0 

 


show logfile 

show logfile 

使用 show logfile 命令显示当前可以导出的日志文件 ( 非空文件 )。 

命令 

show logfile 

权限 


V 

模式 


范例 

范例 . 显示当前可以导出的日志文件。 

NokiaIPSO-VN:root>show logfile 


is not empty 


SYSLOG 命令 

storage media 

使用 storage media 命令挂载或卸载存储介质。 

命令 

storage media {PC | HD} {mount | umount} 

语法 

PC | HD 

mount| umount 



• mount— 挂载 

• umount— 卸载 

权限 


V 

模式 


范例 

范例 . 卸载存储介质 PC 卡。 

NokiaIPSO-VN:root>storage media PC umount 


storage media format 

storage media format 

使用 storage media format 命令格式化存储介质。 

命令 

storage media {PC | HD} format 

语法 

PC | HD 



说明 

如果选择 HD 关键字 , 则这块硬盘只用于日志存储。 

权限 


V 

模式 


范例 

范例 . 格式化存储介质 PC 卡。 

NokiaIPSO-VN:root>storage media PC format 


SYSLOG 命令 

storage media state 

使用 storage media state 命令显示存储介质的使用状态。 

命令 

storage media state 

语法 

state 状态。 

说明 

该命令只有在插入硬盘或 PC 卡的时候才能显示 , 如果在只有 CF 卡的机器上是没有结果 

的。 

权限 


V 

模式 


范例 

范例 . 显示存储介质状态。 

NokiaIPSO-VN:root>storage media state 


PC card mount 


27 系统升级命令 

delete patch 

使用 delete patch 命令删除已安装的防火墙系统升级包。 

命令 

delete patch filename 

语法 

filename 

升级包文件的名称 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 删除名称为 patch1 的防火墙系统升级包。 

NokiaIPSO-VN:root-system]delete patch patch1 

相关命令 

命令名称 

描述信息 

show system-list 显示系统列表。 

show patch 显示更新记录。 

system switch 切换系统。 


系统升级命令 

命令名称 

描述信息 

package upgrade 安装升级包。 

patch enable,disable 管理升级包。 


delete system 

delete system 

使用 delete system 命令删除已安装的防火墙系统。 

命令 

delete system system_name 

语法 

system_name 

系统名称 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 删除名称为 sys1 的防火墙系统。 

NokiaIPSO-VN:root-system]delete system sys1 

相关命令 

命令名称 

描述信息 








patch enable, disable 

使用 patch enable, disable 命令修改升级包的状态。 

命令 

patch {enable | disable} [filename] 

语法 


filename 

• enable— 启用升级包 

• disable— 禁用升级包 

升级包文件名 , 格式为 WORD。 

说明 

不指定 filename 参数 , 表示修改所有升级包的状态。 

权限 


V 

模式 


范例 

范例 1. 启用文件名称为 file2 的升级包。 

NokiaIPSO-VN:root-system]patch enable file2 

范例 2. 禁用所有的升级包。 

NokiaIPSO-VN:root-system]patch disable 

相关命令 

命令名称 

描述信息 



delete system 删除系统。 


patch enable, disable 

命令名称 

描述信息 





package upgrade 

使用 package upgrade 命令安装防火墙系统的升级包。升级包有两种类型 : 安装文件 

包和升级补丁包。 

命令 

package upgrade from {tftp ip_address filename | x/zmodem | pc-card filename } 

语法 

tftp 简单文件传输协议。表示使用 TFTP 服务器安装升级包。 

ip_address 

filename 

tftp 服务器的 IP 地址 , 格式为 x.x.x.x。 

升级包文件名 , 格式为 WORD。 

x/zmodem 异步文件传输协议。表示使用 x/zmodem 协议安装升级包。 

pc-card PC 卡。 

说明 

1. 升级包的大小不能超过 128M 字节。 

2. 当用户安装升级包时 , 防火墙对该升级包的格式进行校验 , 只有格式正确的升级包 

才能被安装。 

权限 


V 

模式 


范例 

范例 . 安装 IP 地址为 192.168.1.188, 文件名为 upgrade1 的 tftp 服务器上的升级包。 

NokiaIPSO-VN:root-system]package upgrade from tftp 192.168.1.188 

upgrade1 


package upgrade 

相关命令 

命令名称 

描述信息 








show patch 

使用 show patch 命令显示防火墙系统的更新记录。 

命令 

show patch 

权限 


V 

V 

模式 


范例 

范例 . 显示防火墙系统的更新记录。 

NokiaIPSO-VN:root>show patch 


Total: 0 

相关命令 

命令名称 

描述信息 







show system-list 


使用 show system-list 命令显示防火墙系统列表。 

命令 


权限 


V 

V 

模式 


范例 

范例 . 显示防火墙系统列表。 

NokiaIPSO-VN:root>show system-list 


IPSO-VN_4_1_0_build_30166 (running) 

相关命令 

命令名称 

描述信息 




patch upgrade 安装升级包。 




system switch 

使用 system switch 命令切换已安装的防火墙系统。 

命令 

system switch system_name 

语法 

system_name 

系统名称 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 将当前系统切换到名称为 sys1 的防火墙系统。 

NokiaIPSO-VN:root-system]system switch sys1 

相关命令 

命令名称 

描述信息 







28 技术支持命令 

copy technical-support file 

使用 copy technical-support file 命令下载技术支持文件。 

命令 

copy technical-support file file_name {pc-card | tftp ip_address | x/zmodem} 

语法 

file_name 


pc-card 本地存储介质 , 表示拷贝技术支持文件到 PC 卡。 

tftp 简单文件传输协议 , 表示下载技术支持文件到 TFTP 服务器上。 

ip_address 

x/zmodem 

TFTP 服务器的 IP 地址 , 格式为 x.x.x.x。 


使用 x/zmodem 协议下载技术支持文件。 

权限 


V V V 

模式 


范例 

范例 . 下载技术支持文件到 TFTP 服务器 192.168.1.100 上。 

NokiaIPSO-VN:root>copy technical-support file file1.tgz tftp 

192.168.1.100 


技术支持命令 

delete technical-support 

使用 delete technical-support 命令删除技术支持文件。 

命令 

delete technical-support file_name 

语法 

file_name 


权限 


V 

V 

模式 


范例 

范例 . 删除技术支持文件 file1.tgz。 

NokiaIPSO-VN:root-system]delete technical-support file1.tgz 

相关命令 

命令名称 

描述信息 

show technical-support 显示技术支持文件列表。 

technical-support 创建技术支持文件。 


show technical-support 


使用 show technical-support 命令显示技术支持文件列表。 

命令 


权限 


V 

V 

模式 


范例 

范例 . 显示技术支持文件列表。 

NokiaIPSO-VN:root>show technical-support 


file1.tgz 

Total: 1 

相关命令 

命令名称 

描述信息 

delete technical-support 删除技术支持文件。 

technical-support 创建技术支持文件。 


技术支持命令 

technical-support 

使用 technical-support 命令创建技术支持文件。创建成功后 , 该文件的默认扩展 

名为 .tgz。 

命令 

technical-support file_name 

语法 

file_name 


权限 


V V V 

模式 


范例 

范例 . 创建技术支持文件 file1。 

NokiaIPSO-VN:root-system]technical-support file1 

相关命令 

命令名称 

描述信息 

delete technical-support 删除技术支持文件。 

show technical-support 显示技术支持文件列表。 


29 超时设置命令 

show timeout 

使用 show timeout 命令来显示 ICMP、 UDP 和 TCP 会话的超时时间设置信息。 

命令 

show timeout [{ICMP | UDP | TCP {CLOSE | EST | FIN | SYN}}] 

语法 

CLOSE | EST | FIN 

| SYN 

• CLOSE—TCP 会话 CLOSE 状态的超时时间 ,CLOSE 标志表示 

没有连接 

• EST—TCP 会话 EST 状态的超时时间 , EST 标志表示连接已建 

立 , 数据传送在进行 

• FIN —TCP 会话 FIN 状态的超时时间 , FIN 标志表示终止连接 

• SYN—TCP 会话 SYN 状态的超时时间 ,SYN 标志表示在连接建立 

时对序号进行同步 

说明 

如果命令为 show timeout 形式 , 表示显示所有会话的超时时间设置信息。 

权限 


V V V V 

模式 


范例 

范例 . 显示所有会话的超时时间的设置信息。 

NokiaIPSO-VN:root>show timeout 


超时设置命令 


Time out: 

ICMP 

TCP_SYN 

TCP_FIN 

TCP_EST 

TCP_CLOSE 

UDP 

2 (s) 

300 (s) 

3 (s) 

3600 (s) 

5 (s) 

300 (s) 

相关命令 

命令名称 

描述信息 

timeout 设置会话的超时时间。 

timeout reset 恢复会话的超时时间为缺省值。 


timeout 

timeout 

使用 timeout 命令来设置 ICMP、 UDP 和 TCP 会话的超时时间。配置成功后 , 如果会 

话处于空闲状态的时间超过超时时间 , 在会话表中清除超时的连接。 

命令 

timeout {ICMP | UDP | TCP {CLOSE | EST | FIN | SYN}} time 

语法 

CLOSE | EST | FIN 

| SYN 

time 

• CLOSE—TCP 会话 CLOSE 状态的超时时间 ,CLOSE 标志表示 

没有连接 

• EST—TCP 会话 EST 状态的超时时间 , EST 标志表示连接已建 

立 , 数据传送在进行 

• FIN —TCP 会话 FIN 状态的超时时间 , FIN 标志表示终止连接 

• SYN—TCP 会话 SYN 状态的超时时间 ,SYN 标志表示在连接建 

立时对序号进行同步 

超时时间 , 单位为秒 , 格式为 INTEGER。 

ICMP 会话的超时时间的缺省值为 1 秒 ; 

UDP 会话的超时时间的缺省值为 300 秒 ; 

TCP 会话 SYN 状态的超时时间的缺省值为 300 秒 ; 

TCP 会话 FIN 状态的超时时间的缺省值为 30 秒 ; 

TCP 会话 EST 状态的超时时间的缺省值为 3560 秒 ; 

TCP 会话 CLOSE 状态的超时时间的缺省值为 50 秒。 

权限 


V 

V 

模式 


范例 

范例 . 设置 TCP 会话 SYN 状态的超时时间为 400 秒。 

NokiaIPSO-VN:root-system]timeout TCP SYN 400 

相关命令 

命令名称 

描述信息 

show timeout 显示会话的超时时间设置信息。 

timeout reset 恢复会话的超时时间为缺省值。 


超时设置命令 

timeout reset 

使用 timeout reset 命令恢复会话的超时时间为缺省值。 

命令 

timeout reset 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

show timeout 显示会话的超时时间设置信息。 


30 用户管理命令 

banner 

使用 banner 命令设置或者修改防火墙的 Banner 信息。 

关于 Banner 的介绍 , 请参见用户指南的《服务配置》章节。 

命令 

banner {console | vty} string 

语法 

string 

vty 

Banner 信息 , 格式为 LINE。 

虚拟端口 , 包括 TELNET 和 SSH 方式。通过 TELNET 和 SSH 方 

式登录防火墙后 , 显示相同的 Banner 信息。 

权限 


V 

V 

模式 


范例 

范例 . 设置以 Console 方式登录到防火墙显示的 Banner 信息为 :HELLO。 

NokiaIPSO-VN:root-system]banner console HELLO 

相关命令 

命令名称 

描述信息 

show banner 显示防火墙的 Banner 信息。 


用户管理命令 

console timeout 

使用 console timeout 命令配置 Console 超时时间。配置成功后 , 通过 Console 方式 

登录到防火墙 , 如果系统处于空闲状态的时间超过设置的超时时间 , 防火墙会自动退出 

登录界面。 

命令 

console timeout time 

语法 

time 

超时时间 , 单位为分钟 , "0" 表示永不超时 , 默认值为 10 分钟。格 

式为 INTEGER。 

权限 


V 

V 

模式 



dns 

dns 

使用 dns 命令为防火墙配置域名服务器。配置成功后 , 防火墙将使用所配置的域名服务 

器来解析域名。 

命令 

dns server_ip {primary | secondary | tertiary} 

语法 

server_ip 

DNS 服务器 IP 地址 , 格式为 x.x.x.x。 

primary 表示所配置的 DNS 服务器为首选 DNS 服务器。 

secondary 表示所配置的 DNS 服务器为次选 DNS 服务器。 

tertiary 表示所配置的 DNS 服务器为第三位备选 DNS 服务器。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

show dns 显示域名服务器配置。 

unset dns 删除域名服务器配置。 



hostname 

使用 hostname 命令修改系统的主机名称。 

命令 

hostname name 

语法 

name 

主机名称 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 修改系统主机名称为 computer。 

NokiaIPSO-VN:root-system]hostname computer 

相关命令 

命令名称 

描述信息 

show hostname 显示系统的主机名称。 


license download 

license download 

使用 license download 命令下载 License 文件到 TFTP 服务器。 

命令 

license download to tftp ip_address file_name 

语法 

tftp 简单文件传输协议。 

ip_address 

file_name 


License 文件名 , 格式为 WORD。 

权限 


V 

模式 


范例 

范例 . 下载 licback.lic 文件到 TFTP 服务器 192.168.1.100。 

NokiaIPSO-VN:root-system]license download to tftp 192.168.1.100 

licback.lic 

相关命令 

命令名称 

描述信息 

show license 显示防火墙的 License 信息。 

license import 导入 License 文件。 



license import 

使用 license import 命令导入 License 文件到防火墙。 

命令 

license import from {tftp ip_address file_name | x/zmodem} 

语法 

tftp 简单文件传输协议。 

ip_address 

file_name 

x/zmodem 




从 TFTP 服务器导入 License 文件。 

权限 


V 

模式 


范例 

范例 . 从 TFTP 服务器 192.168.1.100 导入 licback.lic 文件到防火墙。 

NokiaIPSO-VN:root-system]license import from tftp 192.168.1.100 

licback.lic 

相关命令 

命令名称 

描述信息 

license download 下载 License 文件。 

show license 显示防火墙的 License 信息。 

unset license 删除 License 文件。 


lock 

lock 

使用 lock 命令来锁住终端。 

命令 

lock 

权限 


V V V V V 

模式 




password 

使用 password 命令修改防火墙用户的口令。 

命令 

password {user_name | simple | cipher passwd} 

语法 

user_name 

用户名 , 格式为 WORD。 

simple 表示设置的口令为明文 , 即用户输入的口令未经过加密处理。 

cipher 

passwd 

表示设置的口令为密文 , 即用户输入的口令是经过加密算法处理过 

的。 

加密后的口令 , 格式为 WORD。 

提示 

含有关键字 cipher 的 password 命令主要用于防火墙在系统恢复时使用 , 不建议用户使用 

该命令 

说明 

在 password user_name 命令中需要注意 : 

1. 根管理员可以修改根系统管理员的口令 , 并且修改口令时 , 不需要提供旧口令。 

2. 根系统管理员可以修改根系统审计员和 VSYS 管理员的口令 , 并且修改口令时 , 不需 

要提供旧口令。 

3. VSYS 管理员可以修改自己的 VSYS 审计员的口令 , 并且修改口令时 , 不需要提供旧 

口令。 

在 password {simple | cipher passwd} 命令中 , 需要注意 : 

1. 该命令表示修改当前用户的密码。 

2. 使用含有关键字 simple 的命令时 , 系统会提示用户输入旧密码。如果密码正确 , 系统 

会提示用户输入新密码并确认新密码 ; 反之 , 终止修改密码的操作。 

权限 


V V V V V 

模式 


password 


范例 

范例 1. 根管理员登录防火墙后 , 修改根系统管理员 test 的密码。 

NokiaIPSO-VN:root-system]password test 

Password: 

Repeat password: 

范例 2. 修改当前用户的密码。 

NokiaIPSO-VN:root-system]password simple 

Old password(1-128): 

New password(1-128): 

Repeat password(1-128): 



ping 

使用 ping 命令检查防火墙与目的设备是否连通。 

命令 

ping {url | ip_address} [num] 

语法 

url 

ip_address 

num 

域名 , 格式为 WORD。 


可选项 , 发送 ping 包的数量 , 格式为 INTEGER, 缺省 

值为 4。 

权限 


V V V V V 

模式 


范例 

范例 . 发送 10 个 ping 包来检查防火墙与域名为 test.com 的设备是否连通。 

NokiaIPSO-VN:root>ping test.com 10 


adius server 

radius server 

使用 radius server 命令添加 RADIUS 服务器信息。 

命令 

radius server radius_name ip ip_address port port_id [key key_name] 

语法 

radius_name 

ip_address 

port_id 

key_name 


IP 地址。格式为 x.x.x.x。 

端口 ID。格式为 INTERGER。 

密钥信息。格式为 WORD。 

权限 


V 

V 

模式 


范例 

范例 . 添加 RADIUS 服务器 192.168.1.100, 密钥信息为 testkey。 

NokiaIPSO-VN:root-system]radius server test ip 192.168.1.100 port 

1813 key testkey 

相关命令 

命令名称 

show radius 

server 

unset radius 

server 

描述信息 

显示所有的 RADIUS 服务器。 

删除指定的 RADIUS 服务器。 



show assetinfo 

使用 show assetinfo 命令显示防火墙的资产信息。 

命令 


权限 


V V V 

模式 


范例 

范例 . 显示防火墙的资产信息。 

NokiaIPSO-VN:root>show assetinfo 


Hardware 

Chassis Serial Number : 93070600666 

CPU Model : 

Intel(R) Celeron(R) M processor 

1.50GHz 

CPU Manufacture : 

GenuineIntel 

CPU freq : 1496360000 

Memory : 

1024 MB 

Disk 0 Model : 

SanDisk SDCFJ-512 

Disk 0 Capacity : 

512 MB 

Disk 1 Model : 

Not Installed 

Disk 1 Capacity : 

0 MB 

Platform : 

Nokia IP391 

BIOS Vendor : 

AMI 

BIOS Version : 02.06.5025 

BIOS Data : 04/25/2006 

Motherboard Serial Number : _BIOSID_ 



Motherboard Revision : 

Motherboard Model : 

Rev E 

Hoplite 

Operating System 

Product Model : 

IPSO-VN 

Software Release : 

IPSO-VN_4_1_0_build_26486 

Software Version : 4.1.0 



show banner 

使用 show banner 命令显示防火墙的 Banner 信息。 

关于 Banner 的介绍 , 请参见用户指南的《服务配置》章节。。 

命令 

show banner 

权限 


V V V V V 

模式 


范例 

范例 . 显示防火墙的 Banner 信息。 

NokiaIPSO-VN:root>show banner 


Console: Nokia IPSO 

Telnet/Ssh: Nokia IPSO 

相关命令 

命令名称 

描述信息 

banner 设置或者修改防火墙的 Banner 信息。 


show dns 

show dns 

使用 show dns 命令显示 DNS 配置信息。 

命令 

show dns 

权限 


V V V V V 

模式 


范例 

范例 . 显示 DNS 配置信息。 

NokiaIPSO-VN:root>show dns 


202.107.117.11 primary 

相关命令 

命令名称 

描述信息 

dns 为防火墙配置域名服务器。 

unset dns 删除所有的域名服务器配置。 



show hostname 

使用 show hostname 命令显示系统的主机名称。 

命令 

show hostname 

权限 


V V V V V 

模式 


范例 

范例 . 显示系统的主机名称。 

NokiaIPSO-VN:root>show hostname 


Hostname is NokiaIPSO-VN 

相关命令 

命令名称 

描述信息 

hostname 修改系统主机名称。 


show license 

show license 

使用 show license 命令显示防火墙的 License 信息。 

命令 

show license 

权限 


V 

模式 


范例 

范例 . 显示防火墙的 License 信息。 

NokiaIPSO-VN:root>show license 


License list 

License: 93073200524_vpn.lic 

Producer: Nokia 

Function: VPN 

Tunnel:1000 

VPN Tunnel Interface:1000 

VPN User:50000 

相关命令 

命令名称 

描述信息 

license download 下载 License 文件。 




show line 

使用 show line 命令显示当前登录用户的信息。 

命令 

show line 

权限 


V V V V V 

模式 


范例 

范例 . 显示当前登录用户的信息。 

NokiaIPSO-VN:root>show line 


User UserType From LoginType 

test Administrator 10.3.1.122 Telnet 





test Administrator 10.3.1.156 Web 


root Root 10.3.1.155 Web 



show radius server 


使用 show radius server 命令显示添加的 RADIUS 服务器信息。 

命令 


权限 


V V V V V 

模式 


范例 

范例 . 显示已添加的 RADIUS 服务器信息。 

NokiaIPSO-VN:root>show radius server 


Aadius server list: 

Name IP Port State 

test 192.168.1.100 22 

相关命令 

命令名称 

描述信息 

radius server 添加 RADIUS 服务器。 

unset radius 

server 

删除指定的 RADIUS 服务器。 



show system info,status,time 

使用 show system info,status,time 命令显示系统信息。 

命令 

show system {info | status | time} 

语法 

info 表示显示系统的基本信息。 

status 表示显示系统的状态信息。 

time 表示显示系统的时间信息。 

权限 


V 

V 

模式 


范例 

范例 . 显示系统基本信息。 

NokiaIPSO-VN:root>show system info 


Product name: Nokia Integrated Firewall with IPSO-VN 

Number of connections supported: 1000000 

Vsys-available: 32 

Current HA working status: Single 

Incessantly Work time: 0 day 5 hours 01 min 

Platform : Nokia IP391 

Serial No: 93070600666 


show system resource-utilization 


使用 show system resource-utilization 命令显示系统资源利用率。 

命令 


语法 

resource-utilization 资源利用率。 

权限 


V 

V 

模式 


范例 

范例 . 显示系统资源利用率信息。 

NokiaIPSO-VN:root>show system resource-utilization 


Resource Utilization: 

Vsys Maximum Resource Limit Policy Utilization Session Utilization NAT 

Utilization 

root 100% 0.0% 0.0% 

0.0% 

VsysA 50% 0.0% 0.0% 

0.0% 

VsysB 80% 0.0% 0.0% 

0.0% 



show user 

使用 show user 命令显示防火墙的用户信息。 

命令 

show user [user_name] 

语法 

user_name 


权限 


V V V V V 

说明 

1. 如果当前登录用户为根管理员 , 可以显示根系统管理员和 Vsys 管理员的信息 , 如果 

不指定 user_name, 显示所有的根系统管理员和 Vsys 管理员的信息。 

2. 如果当前登录用户为根系统管理员 , 可以显示用户本身、根系统审计员和 Vsys 管理 

员的信息 , 如果不指定 user_name, 显示用户本身、所有的根系统审计员和 Vsys 管 

理员的信息。 

3. 如果当前登录用户为其它 VSYS 的 Vsys 管理员 , 可以显示该 VSYS 的 Vsys 审计员的信 

息 , 如果不指定 user_name, 显示该 VSYS 所有的 Vsys 审计员的信息。 

模式 


范例 

范例 . 根管理员登录防火墙后 , 显示所有的根系统管理员和 Vsys 管理员的信息。 

NokiaIPSO-VN:root>show user 


User name 

test 

Description 


show user 

相关命令 

命令名称 

描述信息 

unset user 删除指定的用户。 

user 创建防火墙用户。 



traceroute 

使用 traceroute 命令检测防火墙到目的地之间数据包所经过的路径。 

命令 

traceroute {ip_address | url} 

语法 

ip_address 

url 


域名 , 格式为 WORD 

说明 

traceroute 命令不但可检测网络是否连通 , 还可查找到在数据包的传输路径中出现问题的 

地方。 

权限 


V V V V V 

模式 


范例 

范例 . 检测防火墙发出的数据包到达 IP 地址为 202.96.13.137 的设备所经过的路径。 

NokiaIPSO-VN:root>traceroute 202.96.13.137 


unset authserver 

unset authserver 

使用 unset radius server 命令删除指定的 RADIUS 服务器信息。 

命令 

unset radius server radius_name 

语法 

radius_name 


权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

radius server 添加 RADIUS 服务器。 

show radius 

server 

显示所有 RADIUS 服务器。 



unset dns 

使用 unset dns 命令删除 DNS。 

命令 

unset dns {primary | secondary | tertiary | all} 

语法 

primary 表示删除的 DNS 服务器为首选 DNS 服务器。 

secondary 表示删除的 DNS 服务器为次选 DNS 服务器。 

tertiary 表示删除的 DNS 服务器为第三位备选 DNS 服务器。 

all 表示删除所有 DNS 服务器。 

权限 


V 

V 

模式 


相关命令 

命令名称 

描述信息 

dns 为防火墙配置域名服务器。 

show dns 显示 DNS 配置信息。 


unset license 

unset license 

使用 unset license 命令删除 License 文件。 

命令 

unset license file_name 

语法 

file_name 


权限 


V 

模式 


相关命令 

命令名称 

描述信息 




unset user 

使用 unset user 命令删除防火墙的用户。 

命令 

unset user user_name 

语法 

user_name 


说明 

1. 根管理员可以删除根系统管理员。 

2. 根系统管理员可以删除根系统审计员用户和 VSYS 管理员。 

3. Vsys 管理员可以删除本 VSYS 的 Vsys 审计员。 

权限 


V V V 

模式 


相关命令 

命令名称 

描述信息 

show user 显示防火墙的用户信息 . 

user 创建防火墙用户。 


unset user allowed-vsys 

unset user allowed-vsys 

使用 unset user allowed-vsys 命令 , 删除指定 VSYS 的 VSYS 管理员。 

命令 

unset user user_name allowed-vsys vsys_name 

语法 

user_name 

vsys_name 


虚拟系统名称 , 格式为 WORD。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

user allowed-vsys 把 VSYS 管理员追加为其它 VSYS 的 VSYS 管理员。 



user 

使用 user 命令创建防火墙用户。 

命令 

user user_name {administrator | auditor | vsys-administrator vsys vsys_name | 

vsys_auditor} password {simple | cipher passwd} 

语法 

user_name 


administrator 创建根系统管理员。 

auditor 创建根系统审计员。 

vsys-administrator 创建 vsys 管理员。 

vsys_name 


vsys_auditor 创建 vsys 审计员。 

simple 表示设置的口令为明文 , 即用户输入的口令未经过加密处理。 

cipher 

passwd 

表示设置的口令为密文 , 即用户输入的口令是经过加密算法处理过 

的。 

加密后的口令 , 格式为 WORD。 

提示 

含有关键字 cipher 的 user 命令主要用于防火墙在系统恢复时使用 , 不建议用户使用该命 

令。 

说明 

1. 根系统管理员只能由根管理员添加。 

2. 根系统审计员只能由根系统管理员添加。 

3. VSYS 管理员只能由根系统管理员和该 VSYS 的其他 VSYS 管理员添加。 

4. Vsys 审计员只能由该 VSYS 的 VSYS 管理员添加。 

权限 


V V V 


user 

提示 

根据添加用户角色的不同 , 权限也有所不同 , 请详见说明。 

模式 


范例 

范例 . 根管理员登录到防火墙后 , 为根系统添加名称为 test 的根系统审计员用户。 

NokiaIPSO-VN:root-system]user test auditor password simple 

Password(1-128): 

Repeat Password(1-128): 

相关命令 

命令名称 

描述信息 

show user 显示防火墙的用户信息 . 

unset user 删除指定的用户。 



user allowed-vsys 

使用 user allowed-vsys 命令 , 把 VSYS 管理员追加为其它 VSYS 的 VSYS 管理 

员。 

命令 

user user_name allowed-vsys vsys_name 

语法 

user_name 

vsys_name 



权限 


V 

模式 

该命令可以全局配置模式下使用。 

相关命令 

命令名称 

unset user 

allowed-vsys 

描述信息 

删除指定 VSYS 的 VSYS 管理员。 


user description 

user description 

使用 user description 命令为用户添加描述信息。 

命令 

user user_name description string 

语法 

user_name 

string 


描述信息字符串 , 格式为 LINE。 

权限 


V V V 

模式 


范例 

范例 . 为用户 test 添加描述信息 :This is administrator。 

NokiaIPSO-VN:root-system]user test description This is administrator 

相关命令 

命令名称 

unset user 

description 

描述信息 

删除指定用户的描述信息。 



vty timeout 

使用 vty timeout 命令配置 Telnet 和 SSH 超时时间。配置成功后 , 通过 Telnet 或 SSH 

方式登录到防火墙 , 如果系统处于空闲状态的时间超过设置的超时时间 , 防火墙会自动 

退出登录界面。 

命令 

vty timeout time 

语法 

vty 

虚拟终端连接 , 包含 SSH 和 Telnet。 

time 超时时间 , 以分钟为单位 , "0" 表示永不超时 , 默认值为 10 分钟。 

格式为 INTEGER。 

权限 


V 

V 

模式 



31 VPN 证书命令 

delete vpn certificate 

使用 delete vpn certificate 命令删除指定的本地证书、 CA ( 证书权威机构 ) 证 

书或吊销列表 (CA 颁发的已被吊销的证书列表 )。 

关于本地证书、 CA 证书和吊销列表的介绍 , 请参见用户指南的《VPN》章节。 

命令 

delete vpn certificate {local | ca | crl} [file_name] 

语法 

local | ca | crl 

file_name 

• local— 本地证书 

• ca—CA 证书 

• crl— 吊销列表 


说明 

1. 证书文件的扩展名一般为 .cer, 而吊销列表的扩展名一般为 .crl。为了便于用户管理和 

区分 , 建议指定其对应的扩展名。 

2. 如果选择 file_name 参数 , 表示删除指定名称的类别证书 ; 否则 , 表示删除指定的整 

个类别证书。 

权限 


V 

模式 

该命令在 VPN 配置模式下使用。 


VPN 证书命令 

范例 

范例 . 删除本地证书 test。 

NokiaIPSO-VN:root-system-vpn]delete vpn certificate local test.cer 

相关命令 

命令名称 

描述信息 

show certificate 查看本地证书、 CA 证书或吊销列表。 


generate certificate-request 

generate certificate-request 

使用 generate certificate-request 命令为指定用户生成证书请求文件 , 请求信 

息将发送给 CA 用来签发证书。 

命令 

generate certificate-request request_name country {none | country_name} state-or-province 

{none | state_name} locality {none | locality_name} organization {none | organization_name} 

organizational-unit {none | unit_name} common-name {none | common_name} emailaddress 

{none | email_address} {rsa | dsa} {768 | 1024 | 1536 | 2048} [password] 

语法 

request_name 

country_name 

state_name 

locality_name 


unit_name 

common_name 

email_address 

证书请求文件名称 , 格式为 WORD。 











password 

本地私钥的加密口令 , 格式为 WORD。 

说明 

1. 国家、州或省份、城市、公司、部门、用户和邮件不可以同时设置为 none。 



'、、 &、 \、 /、 !、 ‘、 $ 和 #)。 

权限 


V 



模式 


范例 

范例 . 为 Nokia 公司网络部的用户 Jim 生成证书请求文件 test, 当 CA 签发证书后 , 管理 

员将其发送至 Jim@nokia.com。 

NokiaIPSO-VN:root-system-vpn]generate certificate-request test country 

CN state-or-province ln locality sy organization Nokia organizationalunit 

network common-name Jim email-address Jim@nokia.com rsa 1024 


import vpn certificate 

import vpn certificate 

使用 import vpn certificate 命令导入本地证书、 CA 证书或吊销列表。 

命令 

import vpn certificate {local | ca | crl} from {tftp ip_address file_name | x/zmodem} 

语法 





tftp 简单文件传输协议 , 表示从 TFTP 服务器导入指定的本地证书、 

CA 证书或吊销列表。 

ip_address 

file_name 

x/zmodem 




使用 X/Zmodem 协议导入指定的本地证书、 CA 证书或吊销列表。 

说明 

证书文件的扩展名一般为 .cer, 而吊销列表的扩展名一般为 .crl。为了便于用户管理和区 

分 , 建议指定其对应的扩展名。 

权限 


V 

模式 


范例 

范例 . 从 TFTP 服务器 192.168.1.125 导入本地证书 test。 

NokiaIPSO-VN:root-system-vpn]import vpn certificate local from tftp 

192.168.1.125 test.cer 



show certificate 

使用 show certificate 命令查看本地证书、 CA 证书或吊销列表。 

命令 

show certificate {local | ca | crl} [file_name] 

语法 


file_name 





说明 

1. 如果不指定 file_name 参数 , 则显示所有的本地证书、 CA 证书或吊销列表。 

2. 证书文件的扩展名一般为 .cer, 而吊销列表的扩展名一般为 .crl。为了便于用户管理和 

区分 , 建议指定其对应的扩展名。 

权限 


V V V 

模式 


范例 

范例 . 显示所有的 CA 证书。 

NokiaIPSO-VN:root>show certificate ca 


************************************************************* 

Name: a6093a47b0d5bf4584e631738b843c6a.0.servergroupca.cer 

Issuer: 

CN=a6093a47b0d5bf4584e631738b843c6a, OU=Server Group Root CA 

Subject: 

CN=a6093a47b0d5bf4584e631738b843c6a, OU=Server Group Root CA 


show certificate 

End time: 2016:10:26:11:11:35 

State: 

Valid 

************************************************************* 

Name: sstrootca.cer 

Issuer: 

C=US, O=VeriSign, Inc., OU=For Test Purposes Only. No 

assurances., CN=VeriSign Trial Secure Server Test Root CA 

Subject: 

C=US, O=VeriSign, Inc., OU=For Test Purposes Only. No 

assurances., CN=VeriSign Trial Secure Server Test Root CA 

End time: 2025:02:08:23:59:59 

State: 

Valid 

相关命令 

命令名称 

delete vpn 

certificate 

描述信息 

删除指定的本地证书、 CA 证书或吊销列表。 




32 VPN 策略命令 

policy 

使用 policy 命令启用或者禁用指定的 VPN 策略。 

命令 

policy policy_name {enable | disable} 

语法 

policy_name 


VPN 策略名称 , 格式为 WORD。 

• enable— 启用指定的 VPN 策略 

• disable— 禁用指定的 VPN 策略 

权限 


V 

模式 


范例 

范例 . 禁用 VPN 策略 test。 

NokiaIPSO-VN:root-system-vpn]policy test disable 

相关命令 

命令名称 

描述信息 

show vpn policy 查看 VPN 策略信息。 


VPN 策略命令 

policy global 

使用 policy global 命令添加全局 VPN 策略。配置成功后 , 按照指定的 VPN 策略对 

数据信息流进行处理。 

关于 VPN 策略类型的介绍 , 请参见用户指南的《VPN》章节。 

命令 

policy global policy_name {sip_list | any} {dip_list | any} {any | {tcp | udp} {src_port | 

srcpt_range} {dst_port | dstpt_range} | icmp {icmp_type | icmp_list | any} | other 

protocol_num} tunnel tunnel_name {enable | disable} [seq_num] 

语法 

policy_name 

sip_list 

dip_list 

src_port 

srcpt_range 

dst_port 

dstpt_range 


源 IP 地址列表 , 格式为 IPV4LIST。 any 代表任意地址列 

表。 

目的 IP 地址列表 , 格式为 IPV4LIST。 any 代表任意地址列 

表。 

源端口号 , 格式为 INTEGER。 

源端口号范围 , 格式为 LIMIT。 

目的端口号 , 格式为 INTEGER。 

目的端口号范围 , 格式为 LIMIT。 

icmp_type ICMP 的协议类型 , 可以设置为 : 









REDIRECT ; 





policy global 

icmp_list 

ICMP 的协议类型列表 , 格式为 WORD。列表可以为下述 

协议类型的任意组合 : 









REDIRECT ; 




protocol_num 

tunnel_name 


seq_num 


VPN 隧道名称 , 格式为 WORD。 

• enable— 启用添加的 VPN 策略 

• disable— 禁用添加的 VPN 策略 

VPN 策略序号 , 格式为 INTEGER。 

说明 

1. 如果用户不指定 seq_num 参数 , 则按默认顺序添加 VPN 策略。 

2. 当添加的 VPN 策略包含 other 类型协议时 , 协议号不可以为 1(ICMP)、6(TCP) 或 

17 (UDP)。 

权限 


V 

模式 


范例 

范例 1. 添加一条全局 VPN 策略 test1, 支持任意类型的协议 , 引用的 VPN 隧道为 

tunneltest。启用该策略后 , 由源 IP 地址为 192.168.1.156 到目的 IP 地址为 192.168.1.178 

的数据信息流按照该 VPN 策略进行处理。 

NokiaIPSO-VN:root-system-vpn]policy global test1 192.168.1.156 

192.168.1.178 any tunnel tunneltest enable 



范例 2. 添加一条全局 VPN 策略 test2, 支持 DDP ( 数据报传送协议 , 其对应的协议号为 

37) 协议 , 引用的 VPN 隧道为 tunneltest。启用该策略后 , 由源 IP 地址为 192.168.1.156 

到目的 IP 地址为 192.168.1.178 的数据信息流按照该 VPN 策略进行处理。 

NokiaIPSO-VN:root-system-vpn]policy global test2 192.168.1.156 

192.168.1.178 other 37 tunnel tunneltest enable 

相关命令 

命令名称 

描述信息 

policy inter-zone 添加域间 VPN 策略。 

policy intra-zone 添加域内 VPN 策略。 


policy inter-zone 


使用 policy inter-zone 命令添加域间 VPN 策略。配置成功后 , 按照指定的 VPN 策 

略对数据信息流进行处理。 

命令 

policy inter-zone policy_name {src_zone | any} {sip_list | any} {dst_zone | any} {dip_list | 

any} {any | {tcp | udp} {src_port | srcpt_range} {dst_port | dstpt_range} | icmp {icmp_type | 

icmp_list | any} | other protocol_num} tunnel tunnel_name {enable | disable} [seq_num] 

语法 

policy_name 


src_zone 源安全域名称 , 格式为 WORD。 any 代表任意源安全域。 

sip_list 

dst_zone 

dip_list 

src_port 

srcpt_range 

dst_port 

dstpt_range 


表。 

目的安全域名称 , 格式为 WORD。 any 代表任意目的安全 

域。 


表。 














REDIRECT ; 






icmp_list 











REDIRECT ; 




protocol_num 

tunnel_name 


seq_num 






说明 



17 (UDP)。 

权限 


V 

模式 


范例 

范例 1. 添加一条域间 VPN 策略 test1, 支持 TCP 协议 , 引用的 VPN 隧道为 tunneltest。 

启用该策略后 , 由源安全域 szone 中源 IP 地址为 192.168.1.156 的 11 号端口到目的安全 

域 dzone 中目的 IP 地址为 192.168.1.178 的 12 号端口的数据信息流按照该 VPN 策略进 

行处理。 

NokiaIPSO-VN:root-system-vpn]policy inter-zone test1 szone 

192.168.1.156 dzone 192.168.1.178 tcp 11 12 tunnel tunneltest enable 



范例 2. 添加一条域间 VPN 策略 test2, 支持 DDP 协议 , 引用的 VPN 隧道为 tunneltest。 

启用该策略后 , 由源安全域 szone 中源 IP 地址为 192.168.1.156 到目的安全域 dzone 中目 

的 IP 地址为 192.168.1.178 的数据信息流按照该 VPN 策略进行处理。 

NokiaIPSO-VN:root-system-vpn]policy inter-zone test2 szone 

192.168.1.156 dzone 192.168.1.178 other 37 tunnel tunneltest enable 

相关命令 

命令名称 

描述信息 

policy global 添加全局 VPN 策略。 

policy intra-zone 添加域内 VPN 策略。 



policy intra-zone 

使用 policy intra-zone 命令添加域内 VPN 策略。配置成功后 , 按照指定的 VPN 策 

略对数据信息流进行处理。 

命令 

policy intra-zone policy_name {src_zone | any} {sip_list | any} {dip_list | any} {any | {tcp | 

udp} {src_port | srcpt_range} {dst_port | dstpt_range} | icmp {icmp_type | icmp_list | any} | 

other protocol_num} tunnel tunnel_name {enable | disable} [seq_num] 

语法 

policy_name 


src_zone 源安全域名称 , 格式为 WORD。 any 代表任意源安全域。 

sip_list 

dip_list 

src_port 

srcpt_range 

dst_port 

dstpt_range 


表。 


表。 














REDIRECT ; 





policy intra-zone 

icmp_list 











REDIRECT ; 




protocol_num 

tunnel_name 


seq_num 






说明 



17 (UDP)。 

权限 


V 

模式 


范例 

范例 1. 添加一条域内 VPN 策略 test1, 支持 ICMP 协议 , 引用的 VPN 隧道为 tunneltest。 

启用该策略后 , 由源安全域 szone 中源 IP 地址为 192.168.1.156 到目的 IP 地址为 

192.168.1.178 的数据信息流按照该 VPN 策略进行处理。 

NokiaIPSO-VN:root-system-vpn]policy intra-zone test1 szone 

192.168.1.156 192.168.1.178 icmp ECHO_and_ECHOREPLY tunnel tunneltest 

enable 



范例 2. 添加一条域内 VPN 策略 test2, 支持 DDP 协议 , 引用的 VPN 隧道为 tunneltest。 

启用该策略后 , 由源安全域 szone 中源 IP 地址为 192.168.1.156 到目的 IP 地址为 

192.168.1.178 的数据信息流按照该 VPN 策略进行处理。 

NokiaIPSO-VN:root-system-vpn]policy intra-zone test2 szone 

192.168.1.156 192.168.1.178 other 37 tunnel tunneltest enable 

相关命令 

命令名称 

描述信息 

policy global 添加全局 VPN 策略。 



policy number 

policy number 

使用 policy number 命令将指定的 VPN 策略移动到相应位置。 

命令 

policy {global | inter-zone | intra-zone} policy_name number seq_num 

语法 

global | inter-zone 

| intra-zone 

policy_name 

seq_num 

• global— 全局 VPN 策略类型 

• inter-zone— 域间 VPN 策略类型 

• intra-zone— 域内 VPN 策略类型 



说明 

1. 移动一条策略后 , 策略列表自动重新排列。 

2. 如果 seq_num 参数的值大于当前的策略总数值 , 则该参数自动修改为当前策略总数 

值。 

权限 


V 

模式 


范例 

范例 . 将域间 VPN 策略 test 移动到末尾 ( 假设当前 VPN 策略总数少于 100)。 

NokiaIPSO-VN:root-system-vpn]policy inter-zone test number 100 

相关命令 

命令名称 

show vpn policy 

type 

描述信息 

查看指定类型的所有 VPN 策略信息。 



policy protocol 

使用 policy protocol 命令给指定的 VPN 策略添加协议信息。 

命令 

policy policy_name protocol {{tcp | udp} {src_port | srcpt_range} {dst_port | dstpt_range} | 

icmp {icmp_type | icmp_list | any} | other protocol_num} 

语法 

policy_name 

src_port 

srcpt_range 

dst_port 

dstpt_range 















REDIRECT ; 




icmp_list 











REDIRECT ; 




policy protocol 


protocol_num 


权限 


V 

模式 


范例 

范例 1. 为 VPN 策略 test1 追加 ICMP 协议信息 , 协议类型为 ECHO_and_ECHOREPLY。 

NokiaIPSO-VN:root-system-vpn]policy test1 protocol icmp 

ECHO_and_ECHOREPLY 

范例 2. 为 VPN 策略 test2 追加 DDP ( 数据报传送协议 , 其对应的协议号为 37) 协议信 

息。 

NokiaIPSO-VN:root-system-vpn]policy test2 protocol other 37 

相关命令 

命令名称 

unset policy 

protocol 

描述信息 

删除指定 VPN 策略的协议信息。 



policy tunnel 

使用 policy tunnel 命令更改指定 VPN 策略引用的隧道。 

命令 

policy policy_name tunnel tunnel_name 

语法 

policy_name 

tunnel_name 



权限 


V 

模式 


范例 

范例 . 将 VPN 策略 test 引用的隧道改为 tunnel0。 

NokiaIPSO-VN:root-system-vpn]policy test tunnel tunnel0 

相关命令 

命令名称 

描述信息 





使用 show vpn policy 命令查看 VPN 策略信息。 

命令 

show vpn policy [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name 参数 , 则显示所有类型的所有策略信息。 

权限 


V V V 

模式 


范例 

范例 . 显示 VPN 策略 test 的相关信息。 

NokiaIPSO-VN:root>show vpn policy test 


Global vpn policy policy list: 

ID: test State: enable 

Tunnel: 

test2 

Src_List: 

192.168.1.126 

Dst_List: 

192.168.1.156 

Protocol: 



Type Source Destination 

other: 37 

相关命令 

命令名称 

描述信息 


unset policy 删除 VPN 策略。 


show vpn policy global,inter-zone,intra-zone 

show vpn policy global,inter-zone,intra-zone 

使用 show vpn policy global,inter-zone,intra-zone 命令查看指定类型的 

所有 VPN 策略信息。 

命令 

show vpn policy {global | inter-zone | intra-zone} 

语法 


| intra-zone 




权限 


V V V 

模式 


范例 

范例 . 显示全局类型的所有 VPN 策略信息。 

NokiaIPSO-VN:root>show vpn policy global 


Seq policy-ID Tunnel Src-Ip-List Dst-Ip-List Pro-List Status 

1 test test2 192.168.1.126 192.168.1.156 other 37-37 enable 

相关命令 

命令名称 

描述信息 


unset policy 删除 VPN 策略。 



unset policy 

使用 unset policy 命令删除 VPN 策略。 

命令 

unset policy [policy_name] 

语法 

policy_name 


说明 

如果不指定 policy_name 参数 , 则删除所有的 VPN 策略。 

权限 


V 

模式 


范例 

范例 . 删除 VPN 策略 test。 

NokiaIPSO-VN:root-system-vpn]unset policy test 

相关命令 

命令名称 

描述信息 




unset policy global,inter-zone,intra-zone 

unset policy global,inter-zone,intra-zone 

使用 unset policy global,inter-zone,intra-zone 命令删除指定类型的所有 

VPN 策略。 

命令 

unset policy {global | inter-zone | intra-zone} 

语法 


| intra-zone 




权限 


V 

模式 


范例 

范例 . 删除所有的全局 VPN 策略。 

NokiaIPSO-VN:root-system-vpn]unset policy global 

相关命令 

命令名称 

描述信息 





unset policy protocol 

使用 unset policy protocol 命令删除指定 VPN 策略中的协议信息。 

命令 

unset policy policy_name protocol [other | icmp | udp | tcp] 

语法 

policy_name 



说明 

如果不指定协议类型 , 则删除指定 VPN 策略中的所有协议信息。 

权限 


V 

模式 


范例 

范例 . 删除 VPN 策略 test 使用的 TCP 协议信息。 

NokiaIPSO-VN:root-system-vpn]unset policy test protocol tcp 

相关命令 

命令名称 

描述信息 

policy protocol 给指定的 VPN 策略添加协议信息。 



33 VPN 隧道命令 

bind tunnel tunnel-interface 

使用 bind tunnel tunnel-interface 命令在指定的 VPN 隧道上绑定隧道接口。 

命令 

bind tunnel tunnel_name tunnel-interface interface_id 

语法 

tunnel_name 

interface_id 

隧道名称 , 格式为 WORD。 

隧道接口 ID, 格式为 INTEGER。 

权限 


V 

模式 


范例 

范例 . 在隧道 test 上绑定隧道接口 10。 

NokiaIPSO-VN:root-system-vpn]bind tunnel test tunnel-interface 10 

相关命令 

命令名称 

unset tunnel-interface 

tunnel 

描述信息 

在指定的 VPN 隧道上解除隧道接口。 


VPN 隧道命令 

nat-traversal auto enable,disable 

使用 nat-traversal auto enable,disable 命令启用或禁用自动密钥隧道的 

NAT 穿越功能。 

命令 

nat-traversal auto {enable | disable} 

语法 


• enable— 表示启用自动密钥隧道的 NAT 穿越功能 

• disable— 表示禁用自动密钥隧道的 NAT 穿越功能 

提示 

启用或禁用自动密钥隧道的 NAT 穿越功能是全局的 , 不是针对某条隧道的。 

权限 


V 

模式 


相关命令 

命令名称 

nat-traversal manual 


描述信息 

启用或禁用手动密钥隧道的 NAT 穿越功能。 


nat-traversal manual enable,disable 

nat-traversal manual enable,disable 

使用 nat-traversal manual enable,disable 命令启用或禁用手动密钥隧道的 

NAT 穿越功能。 

命令 

nat-traversal manual tunnel_name {enable | disable} 

语法 

tunnel_name 



• enable— 表示启用手动密钥隧道的 NAT 穿越功能 

• disable— 表示禁用手动密钥隧道的 NAT 穿越功能 

权限 


V 

模式 


相关命令 

命令名称 

nat-traversal auto 


描述信息 

启用或禁用自动密钥隧道的 NAT 穿越功能。 



show tunnel 

使用 show tunnel 命令来显示 VPN 隧道信息。 

命令 

show tunnel {auto | manual | tunnel_name} 

语法 

auto | manual | tunnel_name • auto— 表示显示所有自动密钥隧道信息。 

• manual— 表示显示所有手动密钥隧道信息。 

• tunnel_name— 隧道名称 , 格式为 WORD。表示显示指 

定的 VPN 隧道信息。 

权限 


V V V 

模式 


范例 

范例 . 显示 VPN 隧道 test 的信息。 

NokiaIPSO-VN:root>show tunnel test 


Basic information: 

TunnelId: test State: enable 

Local address: vlan10, any. 

Remote address: any. 

Auth Type: Preshared key 

TunInter: no 

Add time: 2007-10-22 10:17:39 

Status: Active 

Packets received: 0 

Packets sent: 0 


show vpn-accel 


使用 show vpn-accel 命令来显示加密卡状态。 

命令 


权限 


V V V 

模式 


范例 

范例 . 显示加密卡状态。 

NokiaIPSO-VN:root>show vpn-accel 


vpn-accel state is disable 



show vpn-debug 

使用 show vpn-debug 命令显示当前终端的所有 debug 配置信息。 

命令 

show vpn-debug [all-tty] 

权限 


V V V 

说明 

如果选择 all-tty 关键字 , 表示显示所有终端的 debug 配置信息。 

模式 


范例 

范例 . 显示当前终端的所有 debug 配置信息。 

NokiaIPSO-VN:root>show vpn-debug 


next event EVENT_REINIT_SECRET in 2722 seconds 

/dev/pts/1 debug setting: 

raw debug is on 

crypt debug is on 

parsing debug is on 

emitting debug is on 

control debug is on 

lifecycle debug is on 

klips debug is on 

dns debug is on 

natt debug is on 

oppo debug is on 

isakmp debug is on 



error debug is on 

pluto debug is on 

info debug is on 



show vpn-debug tunnel 

使用 show vpn-debug tunnel 命令显示当前终端下特定隧道的 debug 配置信息。 

命令 

show vpn-debug tunnel tunnel_name [all-tty] 

语法 

tunnel_name 


权限 


V V V 

说明 

如果选择 all-tty 关键字 , 表示显示所有终端下特定隧道的 debug 配置信息。 

模式 


范例 

范例 . 显示当前终端下隧道 test 的 debug 配置信息。 

NokiaIPSO-VN:root>show vpn-debug tunnel test 


next event EVENT_REINIT_SECRET in 2532 seconds 

/dev/pts/1 debug setting: 

tunnel name test 

相关命令 

命令名称 

描述信息 

vpn-debug ipsec 打印 VPN 模块信息。 


tunnel dialup certificate 

tunnel dialup certificate 

使用 tunnel dialup certificate 命令添加远程用户或用户组到 VPN 网关的证书 

认证自动隧道。配置成功后 , 数据可通过此隧道安全传输。 

命令 

tunnel tunnel_name dialup {user user_name | group group_name} interface interface_name 

{local_ip_address | any} certificate local_cert_name {peer_cert_name | any} [local-subnet 

local_subnet_address local_subnet_mask] {enable | disable} 

语法 

tunnel_name 

user_name 

group_name 


local_ip_address 

local_cert_name 

peer_cert_name 

local_subnet_address 

local_subnet_mask 



远程用户名称 , 格式为 WORD。 

用户组名称 , 格式为 WORD。 

出口设备名称 , 需设置为三层接口 , 格式为 WORD。 

本端 IP 地址 , 格式为 x.x.x.x。 any 表示地址是动态分配的 , 无需 

指定。 

本端证书名称 , 格式为 WORD。 

对端证书名称 , 格式为 WORD。 any 表示已上载到防火墙 

上的任意 CA 证书。 

本端子网 IP 地址 , 格式为 x.x.x.x。 

本端子网掩码 , 格式为 x.x.x.x。 

• enable— 表示隧道的状态属性处于协商状态 , 协商成功后自动 

进入完成状态 

• disable— 表示隧道的状态属性处于停止状态 

说明 

指定的证书必须都已经上载到防火墙上。 

权限 


V 

模式 




范例 

范例 . 启用远程用户 user1 到 VPN 网关的证书认证自动密钥隧道 test。指定其出口设备 

为 vlan10, 本端 IP 地址为 192.168.1.120, 本端证书名称是 cert1。 

NokiaIPSO-VN:root-system-vpn]tunnel test dialup user user1 interface 

vlan10 192.168.1.120 certificate cert1 any enable 

相关命令 

命令名称 

tunnel dialup 

preshared-key 

描述信息 

添加远程用户或用户组到 VPN 网关的预共享密钥认证自动隧道。 


tunnel dialup preshared-key 

tunnel dialup preshared-key 

使用 tunnel dialup preshared-key 命令添加远程用户或用户组到 VPN 网关的预 

共享密钥认证自动隧道。配置成功后 , 数据可通过此隧道安全传输。 

命令 

tunnel tunnel_name dialup {user user_name | group group_name} interface interface_name 

{local_ip_address | any} preshared-key key [local-subnet local_subnet_address 

local_subnet_mask] {enable | disable} 

语法 

tunnel_name 

user_name 

group_name 



key 





远程用户名称 , 格式为 WORD。 



本端 IP 地址 , 格式为 x.x.x.x。 any 表示地址是动态分配的 , 无需 

指定。 

预共享密钥 , 格式为 WORD。 






权限 


V 

模式 


范例 

范例 . 启用远程用户 user1 到 VPN 网关的预共享密钥认证自动隧道 test。指定其出口设 

备为 vlan10, 预共享密钥为 abcde。 

NokiaIPSO-VN:root-system-vpn]tunnel test dialup user user1 interface 

vlan10 any preshared-key abcde enable 



相关命令 

命令名称 

tunnel dialup 

certificate 

描述信息 

添加远程用户或用户组到 VPN 网关的证书认证自动隧道。 


tunnel enable,disable 

tunnel enable,disable 

使用 tunnel enable,disable 命令启用或禁用指定的 VPN 隧道。 

命令 

tunnel tunnel_name {enable | disable} 

语法 

tunnel_name 


enable | disable • enable— 表示启用指定的 VPN 隧道。 

• disable— 表示禁用指定的 VPN 隧道。 

说明 

如果对端为远程用户或用户组 , 则不可进行启用隧道操作。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

unset tunnel 删除所有或指定的 VPN 隧道。 



tunnel gateway certificate 

使用 tunnel gateway certificate 命令添加网关到网关的证书认证自动隧道。配 

置成功后 , 数据可通过此隧道安全传输。 

命令 

tunnel tunnel_name gateway {peer_ip_address | any} interface interface_name 

local_ip_address certificate local_cert_name {peer_cert_name | any} [local-subnet 

local_subnet_address local_subnet_mask remote-subnet peer_subnet_address 

peer_subnet_mask] {enable | disable} 

语法 

tunnel_name 

peer_ip_address 



local_cert_name 

peer_cert_name 



peer_subnet_address 

peer_subnet_mask 



对端 IP 地址 , 格式为 x.x.x.x。 any 表示地址是动态分配的 , 无需 

指定。 


本端 IP 地址 , 格式为 x.x.x.x。 

本端证书名称 , 格式为 WORD。 

对端证书名称 , 格式为 WORD。 any 表示已上载到防火墙 

上的任意 CA 证书。 



对端子网 IP 地址 , 格式为 x.x.x.x。 

对端子网掩码 , 格式为 x.x.x.x。 




说明 

指定的证书必须都已经上载到防火墙上。 

权限 


V 

模式 


tunnel gateway certificate 


范例 

范例 . 启用网关到网关的证书认证自动隧道 test。指定其出口设备为 vlan10, 本端 IP 地 

址为 192.168.1.120, 本端证书名称为 cert1。 

NokiaIPSO-VN:root-system-vpn]tunnel test gateway any interface vlan10 

192.168.1.120 certificate cert1 any enable 

相关命令 

命令名称 

tunnel gateway 

preshared-key 

描述信息 

添加网关到网关的预共享密钥认证自动隧道。 



tunnel gateway preshared-key 

使用 tunnel gateway preshared-key 命令添加网关到网关的预共享密钥认证自动 

隧道。配置成功后 , 数据可通过隧道安全传输。 

命令 

tunnel tunnel_name gateway {peer_ip_address | any} interface interface_name 

local_ip_address preshared-key key [local-subnet local_subnet_address local_subnet_mask 

remote-subnet peer_subnet_address peer_subnet_mask] {enable | disable} 

语法 

tunnel_name 




key 



peer_subnet_address 

peer_subnet_mask 



对端 IP 地址 , 格式为 x.x.x.x。 any 表示地址是动态分配的 , 无需 

指定。 



预共享密钥 , 格式为 WORD。 



对端子网 IP 地址 , 格式为 x.x.x.x。 

对端子网掩码 , 格式为 x.x.x.x。 

• enable— 表示隧道的状态属性处于协商状态 , 协商成功后自动进 

入完成状态 


权限 


V 

模式 



tunnel gateway preshared-key 

范例 

范例 . 启用网关到网关的预共享密钥认证自动隧道 test。指定其对端 IP 地址为 

192.168.1.175, 出口设备为 vlan10, 本端 IP 地址为 192.168.1.120, 预共享密钥为 abcde。 

NokiaIPSO-VN:root-system-vpn]tunnel test gateway 192.168.1.175 

interface vlan10 192.168.1.120 preshared-key abcde enable 

相关命令 

命令名称 

tunnel gateway 

certificate 

描述信息 

添加网关到网关的证书认证自动隧道。 



tunnel ike 

使用 tunnel ike 命令配置自动密钥隧道本端或对端的 IKE ID。 

命令 

tunnel tunnel_name ike {peer-id | local-id} {ipv4-address ip_address | {fqdn | user-fqdn | 

asn1-dn | key-id} ike} 

语法 

tunnel_name 

ip_address 

fqdn | user-fqdn | 

asn1-dn | key-id 

ike 



• fqdn— 表示将 ike 参数设置为域名 

• user-fqdn— 表示将 ike 参数设置为电子邮件地址 

• asn1-dn— 表示将 ike 参数设置为固定的格式。例如 C=CN, 

ST=guangDong,L=guangZhou,O=abc,OU=security,CN=test, 

emailAddress=test@abc.com。其中 C 代表国家 , ST 代表省 

份 ,L 代表城市 ,O 代表公司 ,OU 代表部门 ,CN 代表用户名 , 

emailAddress 代表用户的邮件地址 

• key-id— 表示将 ike 参数设置为字符串 

隧道本端或对端的 IKE ID, 格式为 WORD, 只能由数 

字、字母、下划线组成。 

说明 

如果隧道本端或对端的 IP 地址是动态的 , 则其 IKE ID 类型不能设置成 ipv4-address, 

只能设置成 fqdn,user-fqdn,asn1-dn,key-id 中的一种。 

权限 


V 

模式 


范例 

范例 1. 配置自动密钥隧道 test1 本端的 IKE ID。指定其类型为 fqdn, IKE ID 为 

www.abc.com。 

NokiaIPSO-VN:root-system-vpn]tunnel test1 ike local-id fqdn www.abc.com 

范例 2. 配置自动密钥隧道 test2 对端的 IKE ID。指定其类型为 ipv4-address, IKE ID 为 

192.168.1.115。 


tunnel ike 

NokiaIPSO-VN:root-system-vpn]tunnel test2 ike peer-id ipv4-address 

192.168.1.115 



tunnel ike dpd 

使用 tunnel ike dpd 命令配置自动密钥隧道的 DPD 属性。 

命令 

tunnel tunnel_name ike dpd interval retry 

语法 

tunnel_name 

dpd 

interval 

retry 


对方失效探测。表示隧道两端的 VPN 网关通过发送 keepalive 报 

文来探测对端的状态。 

dpd 时间间隔 , 单位为秒。格式为 INTEGER。 

缺省值为 30 

dpd 重复连接次数 , 格式为 INTEGER。 

缺省值为 4 

权限 


V 

模式 


范例 

范例 1. 配置自动密钥隧道 test 的 DPD 属性。指定其 DPD 时间间隔为 25, DPD 重复连 

接次数为 5。 

NokiaIPSO-VN:root-system-vpn]tunnel test ike dpd 25 5 

相关命令 

命令名称 

描述信息 

tunnel ike dpd disable 禁用自动密钥隧道的 DPD 功能。 


tunnel ike dpd disable 

tunnel ike dpd disable 

使用 tunnel ike dpd disable 命令禁用自动密钥隧道的 DPD 功能。 

命令 

tunnel tunnel_name ike dpd disable 

语法 

tunnel_name 

dpd 


对方失效探测。表示隧道两端的 VPN 网关通过发送 keepalive 报 

文来探测对端的状态。 

disable 表示禁用自动密钥隧道的 DPD 功能。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

tunnel ike dpd 配置自动密钥隧道的 DPD 属性。 



tunnel ike phase1 mode 

使用 tunnel ike phase1 命令配置自动密钥隧道协商的第一阶段属性。 

命令 

tunnel tunnel_name ike phase1 {proposal {custom_proposal | default} | mode {main | 

aggressive}} 

分别配置各个属性。 

tunnel tunnel_name ike phase1 proposal {custom_proposal | default} mode {main | 

aggressive} 

同时配置全部属性。 

语法 

tunnel_name 

custom_proposal | default 

main | aggressive 


• custom_proposal— 第一阶段的提议集。可选择 g1-3des-md5, 

g1-3des-sha1,g1-aes128-md5,g1-aes128-sha1,g2-3des-sha1, 

g2-3des-md5,g2-aes128-sha1,g2-aes128-md5,g2-aes192-md5, 

g2-aes192-sha1,g2-aes256-md5,g2-aes256-sha1, 

g5-3des-md5, g5-3des-sha1,g5-aes256-md5,g5-aes256-sha1 

• default— 默认的提议集。表示自动密钥隧道第一阶段的四个提议 

集为 g2-3des-sha1,g2-3des-md5,g2-aes128-sha1,g2-aes128- 

md5 

• main — 表示协商模式为主模式 

• aggressive— 表示协商模式为进取模式 

缺省值为 main 

说明 

自动密钥隧道第一阶段可选择 1 - 4 个提议集 , 并用逗号隔开。 

权限 


V 

模式 


范例 

范例 . 配置自动密钥隧道 test 协商第一阶段的提议集为默认的提议集 , 模式为主模式。 



NokiaIPSO-VN:root-system-vpn]tunnel test ike phase1 proposal default 

mode main 

相关命令 

命令名称 

描述信息 

tunnel ike phase1 default 修改自动密钥隧道协商的第一阶段属性为默认状态。 



tunnel ike phase1 default 

使用 tunnel ike phase1 default 命令修改自动密钥隧道协商的第一阶段属性为默 

认状态。 

命令 

tunnel tunnel_name ike phase1 default 

语法 

tunnel_name 


说明 

1. 默认状态的提议集为 g2-3des-sha1,g2-3des-md5,g2-aes128-sha1, g2-aes128-md5。 

2. 默认状态的协商模式为主模式。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

tunnel ike phase1 配置自动密钥隧道协商的第一阶段属性。 




使用 tunnel ike phase2 命令配置自动密钥隧道协商的第二阶段属性。 

命令 

tunnel tunnel_name ike phase2 {proposal {custom_proposal | default} | mode {tunnel | 

transport} | replay {on | off}} 

分别配置各个属性。 

tunnel tunnel_name ike phase2 proposal {custom_proposal default} mode {tunnel | 

transport} replay {on | off} 

同时配置全部属性。 

语法 

tunnel_name 

custom_proposal | default 

tunnel | transport 

on | off 


• custom_proposal— 第二阶段提议集 , 可选择 nopfs-esp-3desmd5,nopfs-esp-3des-sha1,nopfs-esp-aes128-md5,nopfs-espaes128-sha1,g1-esp-3des-sha1,g1-esp-aes128-md5,g5-esp- 

3des-md5,g5-esp-3des-sha1,g5-esp-aes128-md5,g5-esp- 

aes128-sha1,g2-ah-md5,g2-ah-sha1,g2-esp-aes128-md5,g2- 

esp-aes128-sha1,g2-esp-3des-md5,g2-esp-3des-sha1,g2-espaes192-md5,g2-esp-aes192-sha1,g2-esp-aes256-md5,g2-espaes256-sha1,g2-ah-md5-esp-3des,g2-ah-sha1-esp-3des,g2- 

ah-md5-esp-aes128,g2-ah-sha1-esp-aes128 

• default— 默认的提议集 , 表示自动密钥隧道的第二阶段四个提议 

集为 g2-esp-aes128-md5,g2-esp-aes128-sha1,g2-esp-3desmd5,g2-esp-3des-sha1 

• tunnel— 表示隧道的模式为隧道模式 

• transport— 表示隧道的模式为传输模式 

缺省值为 tunnel 

• on— 表示启用回放攻击保护 

• off— 表示禁用回放攻击保护 

缺省值为 on 

说明 

1. 自动密钥隧道第二阶段可选择 1 - 4 个提议集 , 并用逗号隔开。 

2. 回放攻击是指攻击者截获合法的 IPSec 报文 , 向该报文的目的地址发送大量该报文的 

副本 , 对 VPN 网关进行 DOS 攻击。 



权限 


V 

模式 


范例 

范例 . 配置自动密钥隧道 test 协商第二阶段的提议集为默认的提议集 , 隧道的模式为传 

输模式 , 启用回放攻击保护。 

NokiaIPSO-VN:root-system-vpn]tunnel test ike phase2 proposal default 

mode transport replay on 

相关命令 

命令名称 

描述信息 

tunnel ike phase2 default 修改自动密钥隧道协商的第二阶段属性为默认状态。 




使用 tunnel ike phase2 default 命令修改自动密钥隧道协商的第二阶段属性为默 

认状态。 

命令 

tunnel tunnel_name ike phase2 default 

语法 

tunnel_name 


说明 

1. 默认状态的提议集为 g2-esp-aes128-md5,g2-esp-aes128-sha1,g2-esp-3des-md5,g2-esp- 

3des-sha1。 

2. 默认状态隧道的模式为隧道模式。 

3. 默认状态启用回放攻击保护。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

tunnel ike phase2 配置自动密钥隧道协商的第二阶段属性。 



tunnel ike lifetime 

使用 tunnel ike lifetime 命令设置第一阶段或第二阶段 sa 的生存时间。 

命令 

tunnel tunnel_name ike {phase1 | phase2} lifetime time 

语法 

tunnel_name 


time 生存时间 , 格式为 INTERGER, 单位为秒。 

权限 


V 

模式 


范例 

范例 . 设置第一阶段 sa 的生存时间为 2000 秒。 

NokiaIPSO-VN:root-system-vpn]tunnel test ike phase1 lifetime 2000 


tunnel manual gateway 


使用 tunnel manual gateway 命令添加网关到网关的手动密钥隧道。 

命令 

tunnel tunnel_name manual gateway remote-ip peer_ip_address local-ip local_ip_address ah 

ah_local_spi ah_peer_spi auth {hmac-md5 | hmac-sha1} key ah_auth_key replay {on | off} 

mode {tunnel | transport} {enable | disable} 

使用 ah 协议的手动密钥隧道。 

tunnel tunnel_name manual gateway remote-ip peer_ip_address local-ip local_ip_address 

esp esp_local_spi esp_peer_spi {auth {hmac-md5 | hmac-sha1} key esp_auth_key | encrypt 

{3des | aes128 | aes192 | aes256} key esp_enc_key} replay {on | off} mode {tunnel | 

transport} {enable | disable} 

使用 esp 协议的手动密钥隧道。指定 esp 认证或 esp 加密。 


esp esp_local_spi esp_peer_spi auth {hmac-md5 | hmac-sha1} key esp_auth_key encrypt 

{3des | aes128 | aes192 | aes256} key esp_enc_key replay {on | off} mode {tunnel | transport} 


使用 esp 协议的手动密钥隧道。同时指定 esp 认证和 esp 加密。 


ah-esp ah ah_local_spi ah_peer_spi auth {hmac-md5 | hmac-sha1} key ah_auth_key esp 

esp_local_spi esp_peer_spi {auth {hmac-md5 | hmac-sha1} key esp_auth_key | encrypt 

{3des | aes128 | aes192 | aes256} key esp_enc_key} replay {on | off} mode {tunnel | 

transport} {enable | disable} 

使用 ah 协议和 esp 协议的手动密钥隧道。指定 esp 认证或 esp 加密。 


ah-esp ah ah_local_spi ah_peer_spi auth {hmac-md5 | hmac-sha1} key ah_auth_key esp 

esp_local_spi esp_peer_spi auth {hmac-md5 | hmac-sha1} key esp_auth_key encrypt {3des | 

aes128 | aes192 | aes256} key esp_enc_key replay {on | off} mode {tunnel | transport} 


使用 ah 协议和 esp 协议的手动密钥隧道。同时指定 esp 认证和 esp 加密。 

语法 

tunnel_name 




对端 IP 地址 , 格式为 x.x.x.x。 




ah 认证头协议。 

esp 封装安全载荷协议。 

ah_peer_spi 

ah_local_spi 

AH 协议对端安全参数索引 , 格式为 WORD。 

AH 协议本端安全参数索引 , 格式为 WORD。 

hmac 带密钥的散列消息认证码。 

md5 消息摘要 5。 

sha1 安全散列算法 1。 

hmac-md5 | hmac-sha1 

ah_auth_key 

• hmac-md5— 表示使用 md5 算法的 hmac 

• hmac-sha1— 表示使用 sha1 算法的 hmac 

AH 协议认证口令。格式 WORD。 

tunnel | transport 

• tunnel— 表示隧道的模式为隧道模式 

• transport— 表示隧道的模式为传输模式 

缺省值为 tunnel 

on | off 

• on— 表示启用回放攻击保护 

• off— 表示禁用回放攻击保护 

缺省值为 on 

enable | disable • enable— 指定隧道状态为完成状态。 

• disable— 指定隧道状态为停止状态。 

esp_peer_spi 

esp_local_spi 

esp_auth_key 

3des | aes128 | aes192 | 

aes256 

esp_enc_key 

ESP 协议对端安全参数索引 , 格式为 WORD。 

ESP 协议本端安全参数索引 , 格式为 WORD。 

ESP 协议认证口令。格式 WORD。 

• 3des— 表示三倍数据加密标准。一种对称密码算法 , 用来对传 

输的数据进行加密和解密 

• aes128— 表示 128 位密钥的高级加密标准 



ESP 协议加密口令。格式 WORD。 

提示 

安全索引参数需要以字符串的形式 , 设置为 8 位 16 进制数。 



权限 


V 

模式 


范例 

范例 . 添加网关到网关的手动密钥隧道 test, 指定其对端 IP 地址为 192.168.1.115, 本端 IP 

地址为 192.168.1.180,AH 协议本端安全参数索引为 11111111,AH 协议对端安全参数索 

引为 22222222, 认证算法为 hmac-md5, 认证密钥为 abcde, 启用回放攻击保护 , 隧道的 

模式为隧道模式。 

NokiaIPSO-VN:root-system-vpn]tunnel test manual gateway remote-ip 

192.168.1.115 local-ip 192.168.1.180 ah 11111111 22222222 auth hmac-md5 

key abcde replay on mode tunnel enable 

相关命令 

命令名称 

描述信息 




tunnel xauth enable,disable 

使用 tunnel xauth enable,disable 命令启用或禁用自动密钥隧道的 xauth 功能。 

命令 

tunnel tunnel_name xauth {enable | disable} 

语法 

tunnel_name 

xauth 



可扩展认证。表示在隧道协商阶段对远程用户进行 xauth 认证。需 

要用户提供其用户名和密码。 

• enable— 表示启用自动密钥隧道的 xauth 功能 

• disable— 表示禁用自动密钥隧道的 xauth 功能 

权限 


V 

模式 



unset tunnel 

unset tunnel 

使用 unset tunnel 命令删除所有或指定的 VPN 隧道。 

命令 

unset tunnel [tunnel_name] 

语法 

tunnel_name 


说明 

1. 如果不指定 tunnel_name 参数 , 则删除所有的隧道。 

2. 如果隧道被策略引用 , 则禁止删除。 

权限 


V 

模式 


相关命令 

命令名称 

unset tunnel 

auto,manual 

描述信息 

删除所有自动或手动 VPN 隧道。 



unset tunnel auto,manual 

使用 unset tunnel auto,manual 命令删除所有自动或手动的密钥隧道。 

命令 

unset tunnel {auto | manual} 

语法 

auto | manual 

• auto— 表示删除所有自动密钥隧道 

• manual— 表示删除所有手动密钥隧道 

说明 

如果隧道被策略引用 , 则禁止删除。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 



unset tunnel-interface tunnel 

unset tunnel-interface tunnel 

使用 unset tunnel-interface tunnel 命令在指定的 VPN 隧道上解除隧道接口。 

命令 

unset tunnel-interface tunnel tunnel_name interface_id 

语法 

tunnel_name 

interface_id 


隧道接口 ID。格式为 INTEGER。 

权限 


V 

模式 


相关命令 

命令名称 

bind tunnel 

tunnel-interface 

描述信息 

在指定的隧道上绑定隧道接口。 



unset vpn-debug isakmp 

使用 unset vpn-debug isakmp 命令关闭打印所有隧道的信息。 

命令 

unset vpn-debug isakmp [info_type] 

语法 

info_type 隧道信息类型 , 设置个数为 1, 可以设置为 : 

all ; normal ; error ; pluto ; info ; raw ; crypt ; parsing ; 

emitting ; control ; lifecycle ; klips ; dns ; natt ; oppo。 

说明 

如果不指定 info_type 参数 , 则关闭打印所有隧道的默认信息。 

权限 


V 

模式 


范例 

范例 . 关闭打印所有隧道的 error 信息。 

NokiaIPSO-VN:root-system-vpn]unset vpn-debug isakmp error 

相关命令 

命令名称 

描述信息 

vpn-debug isamp 打印所有隧道的信息。 


unset vpn-debug isakmp tunnel 

unset vpn-debug isakmp tunnel 

使用 unset vpn-debug isakmp tunnel 命令关闭打印指定隧道的信息。 

命令 

unset vpn-debug isakmp tunnel tunnel_name [info_type] 

语法 

tunnel_name 





说明 

如果不指定 info_type 参数 , 则关闭打印指定隧道的默认信息。 

权限 


V 

模式 


范例 

范例 . 关闭打印隧道 test 的默认信息。 

NokiaIPSO-VN:root-system-vpn]unset vpn-debug isakmp tunnel test 

相关命令 

命令名称 

vpn-debug isamp 

tunnel 

描述信息 

打印指定隧道的信息。 



vpn 

使用 vpn 命令进入 VPN 配置模式。 

命令 

vpn 

权限 


V 

模式 



vpn-accel on,off 

vpn-accel on,off 

使用 vpn-accel on,off 命令启用或禁用 VPN 硬件加密卡。 

命令 

vpn-accel {on | off} 

语法 

on | off 

• on— 表示启用 VPN 硬件加密卡 

• off— 表示禁用 VPN 硬件加密卡 

权限 


V 

模式 




vpn-debug ipsec 

使用 vpn-debug ipsec 命令打印 VPN 模块信息。 

命令 

vpn-debug ipsec timeout 

语法 

timeout 

超时时间 , 格式为 INTEGER。 

权限 


V 

模式 


范例 

范例 . 打印 VPN 模块信息 , 指定超时时间为 100 秒。 

NokiaIPSO-VN:root-system-vpn]vpn-debug ipsec 100 

相关命令 

命令名称 


tunnel 

描述信息 

显示当前终端指定隧道的 debug 配置信息。 


vpn-debug isakmp 

vpn-debug isakmp 

使用 vpn-debug isakmp 命令打印所有隧道的信息。 

命令 

vpn-debug isakmp [info_type] 

语法 




说明 

如果不指定 info_type 参数 , 则打印所有隧道的默认信息。 

权限 


V 

模式 


范例 

范例 . 打印所有隧道的 error 信息。 

NokiaIPSO-VN:root-system-vpn]vpn-debug isakmp error 

相关命令 

命令名称 

unset vpn-debug 

isamp 

描述信息 

关闭打印所有隧道的信息。 



vpn-debug isakmp tunnel 

使用 vpn-debug isakmp tunnel 命令打印指定隧道的信息。 

命令 

vpn-debug isakmp tunnel tunnel_name [info_type] 

语法 

tunnel_name 





说明 

如果不指定 info_type 参数 , 则打印指定隧道的默认信息。 

权限 


V 

模式 


范例 

范例 . 打印隧道 test 的默认信息。 

NokiaIPSO-VN:root-system-vpn]vpn-debug isakmp tunnel test 

相关命令 

命令名称 

unset vpn-debug 

isamp tunnel 

描述信息 

关闭打印指定隧道的信息。 


34 VPN 用户命令 

copy vpn-user file 

使用 copy vpn-user file 命令导出用户配置文件。 

命令 

copy vpn-user file file_name to {x/zmodem | tftp ip_address} 

语法 

file_name 

x/zmodem 



使用 x/zmodem 协议导出用户配置文件。 

tftp 简单文件传输协议。表示导出用户配置文件到 TFTP 服务器。 

ip_address 

TFTP 服务器地址 , 格式为 x.x.x.x。 

权限 


V 

模式 


范例 

范例 . 导出用户配置文件到 TFTP 服务器 192.168.1.150。 

NokiaIPSO-VN:root>copy vpn-user file test to tftp 192.168.1.150 


VPN 用户命令 

相关命令 

命令名称 

描述信息 

import vpn user 导入用户配置文件。 


create user file 

create user file 

使用 create user file 命令添加用户配置文件。 

命令 

create user file file_name 

语法 

file_name 


权限 


V 

模式 


相关命令 

命令名称 

描述信息 

delete user file 删除用户配置文件。 



delete user file 

使用 delete user file 命令删除用户配置文件。 

命令 

delete user file [file_name] 

语法 

file_name 


说明 

如果不指定 file_name 参数 , 则删除所有用户配置文件。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

create user file 添加用户配置文件。 


group 

group 

使用 group 命令添加本地认证用户组。 

命令 

group group_name 

语法 

group_name 


权限 


V 

模式 


相关命令 

命令名称 

group external 

auth-server 

描述信息 

添加 RADIUS 认证用户组。 



group external auth-server 

使用 group external auth-server 命令添加 RADIUS 认证用户组。 

命令 

group group_name external auth-server radius_name [accounting-server radius_account_id] 

语法 

group_name 

radius_name 

radius_account_id 



RADIUS 计费服务器名称 , 格式为 WORD。 

说明 

如果要设置 RADIUS 服务器的相关信息 , 请使用 authserver 命令。 

权限 


V 

模式 


范例 

范例 . 添加 RADIUS 认证用户组 test, 指定其 RADIUS 认证服务器为 radius1, RADIUS 

计费服务器为 radius2。 

NokiaIPSO-VN:root-system-vpn]group test external auth-server radius1 

accounting-server radius2 

相关命令 

命令名称 

描述信息 

group 添加本地认证用户组。 


group user 

group user 

使用 group user 命令添加 VPN 用户到用户组中。 

命令 

group group_name user user_list 

语法 

group_name 

user_list 


VPN 用户列表 , 格式为 user1,user2,user3……。 

说明 

1. 一个用户不可重复添加到多个用户组中。 

2. 如果用户组不存在 , 则同时添加用户组。 

权限 


V 

模式 


范例 

范例 . 添加 VPN 用户 user1 和 user2 到用户组 test 中。 

NokiaIPSO-VN:root-system-vpn]group test user user1,user2 

相关命令 

命令名称 

描述信息 

unset group user 从用户组中删除 VPN 用户。 



import vpn user 

使用 import vpn user 命令导入用户配置文件 , 批量添加 VPN 用户到防火墙。 

命令 

import vpn user from {x/zmodem | tftp ip_address file_name} 

语法 

x/zmodem 


使用 x/zmodem 协议导入用户配置文件。 

tftp 简单文件传输协议。表示从 TFTP 服务器导入用户配置文件。 

ip_address 

file_name 

TFTP 服务器地址 , 格式为 x.x.x.x。 


说明 

1. 导入用户配置文件时 , 同时导入用户和用户组的对应关系。 

2. 编辑用户配置文件时 , 按固定的格式依次输入以下参数。用户不具备的属性 , 也要 

输入为空 , 并用分号隔开。各字段之间的逻辑关系 , 与手段添加的用户保持一致。 

group 用户所属用户组的名称。 

name VPN 用户名称。 

id-type 

ike-id 

user-type 

IKE ID 类型 , 可选择 fqdn,user-fqdn,asn1-dn,key-id 或 

ip-address。 

对应的 IKE ID。 

用户类型 , 可选择 ike,xauth,l2tp,xauth-l2tp。 

password 认证口令。 

ip-mode 

私有地址类型。可选择 no,alloc,static。 

ippool 对应的地址。可选择空 , 地址池名称 , IP 地址。 

static 

用户的状态属性。可选择 yes(enable),no(disable)。 

dns1 主要 DNS 服务器地址。 

dns2 次要 DNS 服务器地址。 

wins1 主要 WINS 服务器地址。 

wins2 次要 WINS 服务器地址。 


import vpn user 

权限 


V 

模式 


范例 

范例 . 从 TFTP 服务器 192.168.1.150 导入用户配置文件。 

NokiaIPSO-VN:root-system-vpn]import vpn user from tftp 192.168.1.150 

test 

相关命令 

命令名称 

描述信息 

copy vpn-user file 导出用户配置文件。 



ippool 

使用 ippool 命令添加 VPN 用户地址池。 

命令 

ippool ippool_name {ip_address | ip_range} 

语法 

ippool_name 

ip_address 

ip_range 

地址池名称 , 格式为 WORD。 


IP 地址范围 , 格式为 IPV4RANGE。 

权限 


V 

模式 


范例 

范例 . 添加 VPN 用户地址池 test, 指定其地址范围为 192.168.1.100-192.168.1.150。 

NokiaIPSO-VN:root-system-vpn]ippool test 192.168.1.100-192.168.1.150 

相关命令 

命令名称 

描述信息 

unset ippool 删除 VPN 用户地址池。 


show vpn group 

show vpn group 

使用 show vpn group 命令来显示所有或指定的本地认证用户组信息。 

命令 

show vpn group [group_name] 

语法 

group_name 


说明 

如果不指定 group_name 参数 , 则显示所有本地认证用户组信息。 

权限 


V V V 

模式 


范例 

范例 . 显示本地认证用户组 test 的信息。 

NokiaIPSO-VN:root>show vpn group test 


Group Name : test 

RefCount : 1 

Inlude Users: 

user1 

user2 

user3 

相关命令 

命令名称 

描述信息 

show vpn user 显示 VPN 用户信息。 



show vpn ippool 

使用 show vpn ippool 命令来显示所有或指定的地址池信息。 

命令 

show vpn ippool [ippool_name] 

语法 

ippool_name 


说明 

如果不指定 ippool_name 参数 , 则显示所有地址池信息。 

权限 


V V V 

模式 


范例 

范例 . 显示地址池的信息。 

NokiaIPSO-VN:root>show vpn ippool 


IPPoolName StartIP EndIP RefCount 

p1 0.3.1.15 10.3.1.75 0 

p2 0.3.2.15 10.3.2.75 0 


show vpn user 

show vpn user 

使用 show vpn user 命令来显示所有或指定的 VPN 用户信息。 

命令 

show vpn user [user_name] 

语法 

user_name 

VPN 用户名称 , 格式为 WORD。 

说明 

如果不指定 user_name 参数 , 则显示所有 VPN 用户信息。 

权限 


V V V 

模式 


范例 

范例 . 显示 VPN 用户 test 的信息。 

NokiaIPSO-VN:root>show vpn user test 


UserName: test 

This user is in Vsys0 state is enable 

UserGroup: remote 

Usertype: GENERIC, RefCount is 1 

IKE type fqdn 

IKECont www.test.com 

相关命令 

命令名称 

描述信息 

show vpn group 显示本地认证用户组信息。 



unset group user 

使用 unset group user 命令从用户组中删除所有或指定的 VPN 用户。 

命令 

unset group group_name user [user_list] 

语法 

group_name 

user_list 


VPN 用户列表 , 格式为 user1,user2,user3……。 

说明 

1. 如果不指定 user_list 参数 , 则从用户组中删除所有的 VPN 用户。 

2. 如果用户组正在使用 , 则禁止从用户组中删除用户。 

权限 


V 

模式 


范例 

范例 . 删除用户组 test 中的 VPN 用户 user1 和 user2。 

NokiaIPSO-VN:root-system-vpn]unset group test user user1,user2 

相关命令 

命令名称 

描述信息 

group user 添加 VPN 用户到用户组中。 


unset ippool 

unset ippool 

使用 unset ippool 命令删除 VPN 用户地址池。 

命令 

unset ippool [ippool_name] 

语法 

ippool_name 


说明 

1. 如果不指定 ippool_name 参数 , 则删除所有的地址池。 

2. 如果地址池正在使用 , 则禁止删除。 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

ippool 添加 VPN 用户地址池。 



unset user,group 

使用 unset user,group 命令删除 VPN 用户或用户组。 

命令 

unset {user [user_name] | group [group_name]} 

语法 

user_name 

group_name 



说明 

1. 如果不指定 user_name, group_name 参数 , 则删除所有的 VPN 用户或用户组。 

2. 如果删除用户组 , 则同时删除用户组中的所有 VPN 用户。 

3. 如果 VPN 用户或用户组正在使用 , 则禁止删除。 

权限 


V 

模式 


范例 

范例 1. 删除 VPN 用户 test1。 

NokiaIPSO-VN:root-system-vpn]unset user test1 

范例 2. 删除用户组 test2, 同时删除用户组中的所有 VPN 用户。 

NokiaIPSO-VN:root-system-vpn]unset group test2 

相关命令 

命令名称 

描述信息 

unset group user 从用户组中删除 VPN 用户。 


user enable,disable 

user enable,disable 

使用 user enable,disable 命令启用或禁用 VPN 用户。 

命令 

user user_name {enable | disable} 

语法 

user_name 



• enable— 表示启用 VPN 用户 

• disable— 表示禁用 VPN 用户 

权限 


V 

模式 


相关命令 

命令名称 

描述信息 

user ike-id 添加 VPN 用户。 



user ike-id fqdn,user-fqdn,asn1-dn,key-id 

使用 user ike-id fqdn,user-fqdn,asn1-dn,key-id 命令添加 VPN 用户 , 指定 

其 IKE ID 类型为 fqdn,user-fqdn,asn1-dn, 或 key-id。添加成功后该用户可以通过 VPN 

隧道访问内部网络。 

命令 

user user_name ike-id {fqdn | user-fqdn | asn1-dn | key-id} ike {enable | disable} 

user user_name ike-id {fqdn | user-fqdn | asn1-dn | key-id} ike type {xauth | l2tp | all} 

password auth_key assigned-ip {any | ip_address | ippool_name} [dns1 dns1_ip_address 

[dns2 dns2_ip_address]] [wins1 wins1_ip_address [wins2 wins2_ip_address]] {enable | 

disable} 

语法 

user_name 

fqdn | user-fqdn | 

asn1-dn | key-id 

ike 

xauth | l2tp | all 

auth_key 

any | ip_address | 

ippool_name 

dns1_ip_address 


wins1_ip_address 




• fqdn— 表示将 ike 参数设置为域名 

• user-fqdn— 表示将 ike 参数设置为电子邮件地址 

• asn1-dn— 表示将 ike 参数设置为固定的格式。例如 C=CN, 

ST=Guangdong,L=Guangzhou,O=abc,OU=Security,CN=test, 

emailAddress=test@abc.com。其中 C 代表国家 , ST 代表省 

份 ,L 代表城市 ,O 代表公司 ,OU 代表部门 ,CN 代表用户名 , 

emailAddress 代表用户的邮件地址 

• key-id— 表示将 ike 参数设置为字符串 

VPN 用户的 IKE ID, 格式为 WORD, 只能由数字、字 

母、下划线组成。 

• xauth— 可扩展认证 

• l2tp— 第二层隧道协议 

• all— 表示同时具备 xauth 和 l2tp 属性 

认证口令 , 格式为 WORD。 

• any— 表示用户地址是动态分配的 , 无需指定 

• ip_address— 用户的私有地址 , 格式为 x.x.x.x 

• ippool_name— 地址池名称 , 格式为 WORD 

主要 DNS 服务器 IP 地址 , 格式为 x.x.x.x。 

备用 DNS 服务器 IP 地址 , 格式为 x.x.x.x。 

主要 WINS 服务器 IP 地址 , 格式为 x.x.x.x。 

备用 WINS 服务器 IP 地址 , 格式为 x.x.x.x。 

• enable— 表示指定用户状态属性为可用 

• disable— 表示指定用户状态属性为禁用 


user ike-id fqdn,user-fqdn,asn1-dn,key-id 

说明 

DNS 服务器 IP 地址和 WINS 服务器 IP 地址最多可分别指定两个。 

权限 


V 

模式 


范例 

范例 1. 启用 VPN 用户 test1, 指定其 IKE ID 类型为 fqdn, 状态属性为可用。 

NokiaIPSO-VN:root-system-vpn]user test1 ike-id fqdn www.abc.com enable 

范例 2. 启用 VPN 用户 test2, 指定其 IKE ID 类型为 user-fqdn, 认证口令是 abcde,, 

DNS 服务器 IP 地址是 192.168.1.120, WINS 服务器 IP 地址是 192.168.1.160, 状态属性 

为禁用。 

NokiaIPSO-VN:root-system-vpn]user test2 ike-id user-fqdn test2@abc.com 

type xauth password abcde assigned-ip any dns1 192.168.1.120 wins1 

192.168.1.160 disable 

相关命令 

命令名称 

描述信息 

user enable,disable 启用或禁用 VPN 用户。 



user ike-id ipv4-address 

使用 user ike-id ipv4-address 命令添加 VPN 用户 , 指定其 IKE ID 类型为 

ipv4-address。添加成功后该用户可以通过 VPN 隧道访问内部网络。 

命令 

user user_name ike-id ipv4-address ipv4 {enable | disable} 

user user_name ike-id ipv4-address ipv4 type {xauth | l2tp | all} password auth_key 

assigned-ip {any | ip_address | ippool_name} [dns1 dns1_ip_address [dns2 dns2_ip_address]] 

[wins1 wins1_ip_address [wins2 wins2_ip_address]] {enable | disable} 

语法 

user_name 

ipv4 

xauth | l2tp | all 

auth_key 

any | ip_address | 

ippool_name 







VPN 用户的 IKE ID, 格式为 x.x.x.x。 

• xauth— 可扩展认证 

• l2tp— 第二层隧道协议 

• all— 表示同时具备 xauth 和 l2tp 属性 

认证口令 , 格式为 WORD。 

• any— 表示用户地址是动态分配的 , 无需指定 

• ip_address— 用户的私有地址 , 格式为 x.x.x.x 

• ippool_name— 地址池名称 , 格式为 WORD 

主要 DNS 服务器 IP 地址 , 格式为 x.x.x.x。 

备用 DNS 服务器 IP 地址 , 格式为 x.x.x.x。 

主要 WINS 服务器 IP 地址 , 格式为 x.x.x.x。 

备用 WINS 服务器 IP 地址 , 格式为 x.x.x.x。 

• enable— 表示指定用户状态属性为可用 

• disable— 表示指定用户状态属性为禁用 

说明 

DNS 服务器 IP 地址和 WINS 服务器 IP 地址最多可分别指定两个。 

权限 


V 


user ike-id ipv4-address 

模式 


范例 

范例 . 启用 VPN 用户 test, 指定其 IKE ID 类型为 ipv4-address, 状态属性为可用。 

NokiaIPSO-VN:root-system-vpn]user test ike-id ipv4-address 

192.168.1.10 enable 

相关命令 

命令名称 

描述信息 

user enable,disable 启用或禁用 VPN 用户。 




35 虚拟系统命令 

description 

使用 description 命令为虚拟系统 (Vsys) 添加备注信息。 

命令 

description string 

语法 

string 

备注信息 , 格式为 LINE。 

权限 


V 

模式 

该命令在 Vsys 配置模式下使用。 

范例 

范例 . 为虚拟系统 vsys-2 添加备注信息为 :hello,this is vsys2! 

NokiaIPSO-VN:root-system-vsys-2]description hello,this is vsys-2! 


虚拟系统命令 

hold vlan,channel,ethernet 

使用 hold vlan,channel,ethernet 命令将指定的 VLAN、以太网通道和以太网接 

口添加到虚拟系统中。 

命令 

hold {vlan vlan_id | channel channel_id | ethernet ethernet_name} 

语法 

vlan_id 

channel_id 

ethernet_name 

VLAN ID 列表 , 格式为 INTEGER。 

以太网通道 ID 列表 , 格式为 INTEGER。 

以太网接口名称列表 , 格式为 WORD。 

说明 

1. 添加到虚拟系统中的以太网接口或以太网通道必须是三层设备。 

2. 同步防火墙时 , hold ethernet 命令的配置信息不被同步。 

权限 


V 

模式 


范例 

范例 . 添加接口 vlan2,vlan3,vlan5-10 到虚拟系统 vsys-1。 

NokiaIPSO-VN:root-system-vsys-1]hold vlan 2,3,5-10 

相关命令 

命令名称 

描述信息 

unset hold vlan,channel,ethernet 删除指定的设备。 


manage-ip-address vlan,channel,ethernet 

manage-ip-address vlan,channel,ethernet 

使用 manage-ip-address vlan,channel,ethernet 命令为虚拟系统添加管理 

IP。 

命令 

manage-ip-address ip_address netmask {vlan vlan_id | channel channel_id | ethernet 

ethernet_name} 

语法 

ip_address 

netmask 

vlan_id 

channel_id 

ethernet_name 






说明 

1. 每个虚拟系统只能添加一个管理 IP, 且添加后不能删除 , 只能修改。 

2. 同步防火墙时 , manage-ip-address ethernet 命令的配置信息不被同步。 

权限 


V 

模式 


范例 

范例 . 添加虚拟系统 vsys-1 添加管理 IP 为 192.168.1.111 及子网掩码 255.255.255.0。 

NokiaIPSO-VN:root-system-vsys-1]manage-ip-address 192.168.1.111 

255.255.255.0 vlan 1 



show vsys 

使用 show vsys 命令显示虚拟系统的相关信息。 

命令 

show vsys [vsys_name] 

语法 

vsys_name 

Vsys 名称 , 格式为 WORD。 

说明 

如果不指定 vsys_name 参数 , 将显示所有虚拟系统的信息。 

权限 


V V V 

模式 


范例 

范例 . 显示 vsys-1 的相关所有信息。 

NokiaIPSO-VN:root>show vsys vsys-1 


Name LinkNum State Max-Resource 

root 1000000 enable 100% 

vsys1 200000 enable 20% 

2 500000 enable 50% 


unset hold vlan,channel,ethernet 

unset hold vlan,channel,ethernet 

使用 unset hold vlan,channel,ethernet 命令删除虚拟系统中指定的以太网接 

口、以太网通道和 VLAN。 

命令 

unset hold {ethernet ethernet_name | channel channel_id | vlan vlan_id} 

语法 

vlan_id 

channel_id 

ethernet_name 

VLAN ID 列表 , 格式为 INTEGER。 



说明 

同步防火墙时 , unset hold ethernet 命令的配置信息不被同步。 

权限 


V 

模式 


范例 

范例 . 将 vlan2,vlan3,vlan5-10 从虚拟系统 vsys-1 中删除。 

NokiaIPSO-VN:root-system-vsys-1]unset hold vlan2,3,5-10 

相关命令 

命令名称 

描述信息 

hold vlan,channel,ethernet 添加指定的设备。 



unset vsys 

使用 unset vsys 命令删除一个已存在的虚拟系统。 

命令 

unset vsys vsys_name 

语法 

vsys_name 


权限 


V 

模式 


范例 

范例 . 删除虚拟系统 vsys-1。 

NokiaIPSO-VN:root-system]unset vsys vsys-1 

相关命令 

命令名称 

描述信息 

vsys 进入 Vsys 配置模式。 

vsys resource-limit 添加一个 Vsys 并为其分配最大资源百分比。 


vsys 

vsys 

使用 vsys 命令进入 Vsys 配置模式。 

命令 

vsys vsys_name 

语法 

vsys_name 


权限 


V 

模式 


范例 

范例 . 进入虚拟系统 vsys-1 配置模式。 

NokiaIPSO-VN:root-system]vsys vsys-1 

相关命令 

命令名称 

unset vsys 

描述信息 

删除一个 Vsys。 

vsys resource-limit 添加一个 Vsys 并为其分配最大资源百分比。 



vsys enable,disable 

使用 vsys enable,disable 命令启用或者禁用一个虚拟系统。 

命令 

vsys vsys_name {enable | disable} 

语法 

vsys_name 



• enable— 启用一个虚拟系统 

• disable— 禁用一个虚拟系统 


权限 


V 

模式 


范例 

范例 . 启用虚拟系统 vsys-1。 

NokiaIPSO-VN:root-system]vsys vsys-1 enable 


vsys resource-limit 

vsys resource-limit 

使用 vsys resource-limit 命令添加一个虚拟系统并设定资源分配的最大百分比。 

命令 

vsys vsys_name resource-limit num 

语法 

vsys_name 

Vsys 的名称 , 格式为 WORD。 

resource-limit 为 Vsys 分配最大资源。 

num 

Vsys 最大资源百分比 , 格式为 INTEGER。 

说明 

1. 当 Vsys 已经存在时 , 该命令会修改 Vsys 的资源最大百分比。 

2. 添加的 Vsys 缺省状态为 “ 启用 ”。 

权限 


V 

模式 


范例 

范例 . 创建虚拟系统 vsys-1 并为其分配最大 50% 的系统资源。 

NokiaIPSO-VN:root-system]vsys vsys-1 resource-limit 50 

相关命令 

命令名称 

unset vsys 

描述信息 

删除一个 Vsys。 

vsys 进入 Vsys 的配置模式。 




36 安全域命令 

show zone 

使用 show zone 命令显示安全域的信息。 

命令 

show zone [zone_name] 

语法 

zone_name 


说明 

不指定 zone_name 参数 , 表示显示所有安全域的信息。 

权限 


V V V V V 

模式 


范例 

范例 . 显示安全域 zoneA 的信息。 

NokiaIPSO-VN:root>show zone zoneA 


Zone name : zoneA 

RefCount: 1 

Index : 4 


安全域命令 

Remark : 

Include : 

相关命令 

命令名称 

描述信息 

unset zone 删除安全域。 

zone 创建安全域。 


unset zone 

unset zone 

使用 unset zone 命令删除安全域。 

命令 

unset zone [zone_name] 

语法 

zone_name 


说明 

不指定 zone_name 参数 , 表示删除所有安全域。 

权限 


V 

V 

模式 


范例 

范例 . 删除安全域 zoneA。 

NokiaIPSO-VN:root-system]unset zone zoneA 

相关命令 

命令名称 

描述信息 

show zone 显示安全域。 

zone 创建安全域。 

zone description 添加安全域的描述信息。 



unset zone based-layer2 

使用 unset zone based-layer2 命令删除安全域中的二层设备。 

命令 

unset zone zone_name based-layer2 l2_interface_name 

语法 

zone_name 

l2_interface_name 


二层设备名称 , 格式为 WORD。 

权限 


V 

V 

模式 


范例 

范例 . 删除安全域 zoneB 中的二层设备 eth1。 

NokiaIPSO-VN:root-system]unset zone zoneB based-layer2 eth1 

相关命令 

命令名称 

描述信息 

zone based-layer2 在安全域中添加二层设备。 




使用 unset zone based-layer3 命令删除安全域中的三层设备。 

命令 

unset zone zone_name based-layer3 l3_interface_name 

语法 

zone_name 



三层设备名称 , 格式为 WORD。 

权限 


V 

V 

模式 


范例 

范例 . 删除安全域 zoneA 中的三层设备 vlan1。 

NokiaIPSO-VN:root-system]unset zone zoneA based-layer3 vlan1 

相关命令 

命令名称 

描述信息 

zone bsaed-layer3 在安全域中添加三层设备。 



zone 

使用 zone 命令创建安全域。 

命令 

zone zone_name 

语法 

zone_name 


说明 

每个 Vsys 下最多可以创建 30 个安全域。 

权限 


V 

V 

模式 


范例 

范例 . 创建安全域 zoneA。 

NokiaIPSO-VN:root-system]zone zoneA 

相关命令 

命令名称 

描述信息 

show zone 显示安全域信息。 


zone description 添加安全域的描述信息。 


zone based-layer2 


使用 zone based-layer2 命令在指定的安全域中添加二层设备。 

命令 

zone zone_name based-layer2 vlan vlan_id l2_interface_name 

语法 

zone_name 

vlan_id 



VLAN 标识 , 格式为 INTEGER。 

二层设备名称 , 格式为 WORD。 

说明 

1. 如果指定的二层设备属于不同 VLAN, 则不能被划入相同的安全域。 

2. 三层设备和二层设备不能划入相同的安全域。 

权限 


V 

V 

模式 


范例 

范例 . 添加二层设备 eth1 到安全域 zoneA 中 , 该设备属于 VLAN 3。 

NokiaIPSO-VN:root-system]zone zoneA based-layer2 vlan 3 eth1 

相关命令 

命令名称 

描述信息 

unset zone based-layer2 删除安全域中的二层设备。 




使用 zone based-layer3 命令在指定的安全域中添加三层设备。 

命令 

zone zone_name based-layer3 l3_interface_name 

语法 

zone_name 



三层设备名称 , 格式为 WORD。 

说明 

1. VLAN 可以作为一个整体和其他三层设备共同成为一个安全域 , 此时 VLAN 内部不能 

再划分安全域。 

2. 三层设备和二层设备不能划入相同的安全域。 

权限 


V 

V 

模式 


范例 

范例 . 添加三层设备 vlan1 到安全域 zoneB 中。 

NokiaIPSO-VN:root-system]zone zoneB based-layer3 vlan1 

相关命令 

命令名称 

描述信息 

unset zone based-layer3 删除安全域中的三层设备。 


zone description 

zone description 

使用 zone description 命令添加安全域的描述信息。 

命令 

zone zone_name description infomation 

语法 

infomation 

zone_name 

描述信息 , 格式为 LINE。 


权限 


V 

V 

模式 


范例 

范例 . 添加安全域 zoneA 的描述信息 infomationA。 

NokiaIPSO-VN:root-system]zone zoneA description infomationA 

相关命令 

命令名称 

描述信息 


zone 添加安全域。 




37 安全域绑定命令 

policy zone-binding 

使用 policy zone-binding 命令设置安全域绑定的类型。 

命令 

policy zone-binding zone_name {zone-ip | zone-mac} 

语法 

zone_name 


zone-ip 绑定类型 , 表示安全域和 IP 地址绑定。 

zone-mac 绑定类型 , 表示安全域和 MAC 地址绑定。 

权限 


V 

V 

模式 


范例 

范例 . 设置安全域 test 的绑定类型为安全域和 IP 地址绑定。 

NokiaIPSO-VN:root-system]policy zone-binding test zone-ip 


安全域绑定命令 

相关命令 

命令名称 

描述信息 

show policy zone-binding 显示安全域绑定策略。 

unset policy zone-binding 删除安全域内所有指定的绑定策略。 


policy zone-binding zone-ip 

policy zone-binding zone-ip 

使用 policy zone-binding zone-ip 命令添加指定的安全域和 IP 地址绑定策略。 

配置成功后 , 指定的安全域只能允许或拒绝指定的 IP 地址的数据包通过防火墙。 

命令 

policy zone-binding zone_name zone-ip {permit-address | refuse-address} start_ipaddr 

[end_ipaddr] 

语法 

zone_name 

start_ipaddr 

end_ipaddr 


起始 IP 地址 , 格式为 x.x.x.x, 范围是 IPV4LIST。 

终止 IP 地址 , 格式为 x.x.x.x, 范围是 IPV4LIST。 

权限 


V 

V 

模式 


范例 

范例 . 添加安全域 test1 和 IP 地址 192.168.130-192.168.150 的绑定策略 , 允许符合该策略 

的数据包通过防火墙。 

NokiaIPSO-VN:root-system]policy zone-binding test1 zone-ip permitaddress 

192.168.1.130 192.168.1.150 

相关命令 

命令名称 

unset policy zone-binding 

zone-ip 

描述信息 

删除指定的安全域和 IP 地址绑定策略。 




policy zone-binding zone-mac 

使用 policy zone-binding zone-mac 命令添加指定的安全域和 MAC 地址绑定策 

略。配置成功后 , 指定的安全域只能允许或拒绝指定的 MAC 地址的数据包通过防火 

墙。 

命令 

policy zone-binding zone_name zone-mac {permit-address | refuse-address} start_mac 

[end_mac] 

语法 

zone_name 

start_mac 

end_mac 


起始 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH, 范围是 

MACLIST。 

终止 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH, 范围是 

MACLIST。 

权限 


V 

V 

模式 


范例 

范例 . 添加安全域 test2 和 MAC 地址的绑定策略 , 允许 MAC 地址范围 B0:30:EB:77:E8 

:55-23:B0:30:EB:77:E8: 96 的数据包通过防火墙。 

NokiaIPSO-VN:root-system]policy zone-binding test2 zone-mac permitaddress 

B0:30:EB:77:E8:55 B0:30:EB:77:E8:96 

相关命令 

命令名称 

描述信息 



zone-mac 

删除指定的安全域和 MAC 地址的绑定策略。 


show policy zone-binding 

show policy zone-binding 

使用 show policy zone-binding 命令显示安全域绑定策略。 

命令 

show policy zone-binding [zone_name] 

语法 

zone_name 


说明 

不指定 zone_name 参数 , 表示显示所有安全域绑定策略。 

权限 


V V V 

模式 


范例 

范例 . 显示安全域 zoneA 的安全域绑定策略。 

NokiaIPSO-VN:root>show policy zone-binding zoneA 


ZoneName is zoneA 

Bind type is Zone-Mac binding 

Permit MAC Address List: 

32:57:FA:C3:22:51 - 32:57:FA:C3:23:00 

Refuse MAC Address List: 

63:35:2D:86:EF:95 - 63:35:2D:86:EF:A0 



相关命令 

命令名称 

描述信息 

policy zone-binding zone-ip 添加指定的安全域和 IP 地址绑定的策略。 

policy zone-binding zone-mac 添加指定的安全域和 MAC 地址绑定的策略。 


zone-ip 


zone-mac 

删除指定的安全域和 IP 地址的绑定策略。 

删除指定的安全域和 MAC 地址的绑定策略。 




使用 unset policy zone-binding 命令删除安全域内所有指定的绑定策略。 

命令 

unset policy zone-binding zone_name {zone-ip | zone-mac} 

语法 

zone_name 


zone-ip 绑定类型 , 表示安全域和 IP 地址绑定。 

zone-mac 绑定类型 , 表示安全域和 MAC 地址绑定。 

权限 


V 

V 

模式 


范例 

范例 . 删除安全域 test 中的所有 IP 地址绑定策略。 

NokiaIPSO-VN:root-system]unset policy zone-binding test zone-ip 

相关命令 

命令名称 

描述信息 




unset policy zone-binding zone-ip 

使用 unset policy zone-binding zone-ip 命令删除指定的安全域和 IP 地址绑 

定策略。 

命令 

unset policy zone-binding zone_name zone-ip {permit-address | refuse-address} 

start_ipaddr [end_ipaddr] 

语法 

zone_name 

start_ipaddr 

end_ipaddr 


起始 IP 地址 , 格式为 x.x.x.x, 范围是 IPV4LIST。 

终止 IP 地址 , 格式为 x.x.x.x, 范围是 IPV4LIST。 

权限 


V 

V 

模式 


范例 

范例 . 删除安全域 test3 和 IP 地址 192.168.130-192.168.150 的绑定策略。 

NokiaIPSO-VN:root-system]unset policy zone-binding test3 zone-ip 

permit-address 192.168.1.130 192.168.1.150 

相关命令 

命令名称 

描述信息 

policy zone-binding zone-ip 添加指定的安全域和 IP 地址绑定策略。 



unset policy zone-binding zone-mac 

unset policy zone-binding zone-mac 

使用 unset policy zone-binding zone-mac 命令删除指定的安全域和 MAC 地 

址绑定策略。 

命令 

unset policy zone-binding zone_name zone-mac {permit-address | refuse-address} 

start_mac [end_mac] 

语法 

zone_name 

start_mac 

end_mac 


起始 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH, 范围是 

MACLIST。 

终止 MAC 地址 , 格式为 HH:HH:HH:HH:HH:HH, 范围是 

MACLIST。 

权限 


V 

V 

模式 


范例 

范例 . 删除安全域 test4 和 MAC 地址的绑定策略。 

NokiaIPSO-VN:root-system]unset policy zone-binding test4 zone-mac 

permit-address B0:30:EB:77:E8:55 B0:30:EB:77:E8:96 

相关命令 

命令名称 

描述信息 

policy zone-binding zone-mac 添加指定的安全域和 MAC 地址绑定策略。 





术语表 

A 

AES -- Advanced Encryption Standard, 高级加密标准。用来加密和认证信息。 

AH -- Authentication Header, 认证头协议。用于验证 IP 数据包的真实性和完整性的方 

法。 

ARP -- Address Resolution Protocol, 地址解析协议。用来映射一个硬件地址或 MAC 

地址到一个 IP 地址。 

C 

CA -- Certificate Authority, 证书权威机构。用来负责签发和吊销证书的第三方机构。 

CLI -- Command Line Interface, 命令行接口。基于命令行方式管理防火墙的一种服务 

接口。 

CRL -- Certificate Revocation List, 证书吊销列表。 

D 

DES -- Data Encryption Standard, 数据加密标准。 

DER -- Distinguished Encoding Rules, 高级编码规则。 

DHCP -- Dynamic Host Configuration Protocol, 动态主机配置协议。通过 DHCP 功 

能 , 可以为网络内的主机动态指定 IP 地址。 

DNAT -- Destination Network Address Translation, 目的网络地址转换。用于在外部 

网络中定义一系列的合法地址 , 采用动态分配的方法映射到内部网络。 

DNS -- Domain Name System, 域名系统。用于将域名转换为对应的 IP 地址。 

DSA -- Digital Signature Algorithm, 数字签名算法。非对称密码算法 , 它可以产生一 

个数字签名 , 而存在形式为一对大数。 

DVMRP -- Distance Vector Multicast Routing Protocol, 距离矢量多播路由协议。是一 

种互联网路由协议 , 为互联网络的主机组提供了一种面向无连接信息组播的有效机制。 

E 


ESP -- Encapsulating Security Payload, 封装安全载荷协议。由 AH 扩展而来 , 它的工 

作方式是将整个 IP 数据包 , 包括报头和有效载荷一起压缩 , 装入一个新的数据包 , 并为 

它生成一个新的 IP 报头。 

F 

FQDN -- Fully Qualifiled Domain Name, 完全合格域名。 

H 

HTTPS -- Secure Hypertext Transfer Protocol, 安全超文本传输协议。 HTTP 的一种 

SSL 加密版本。 

I 

ICMP -- Internet Control Message Protocol, 互联网控制消息协议。网络层协议 , 主 

要用于在主机与路由器之间传递控制信息 , 包括报告错误、交换受限控制和状态信息 

等。 

IGMP -- Internet Group Management Protocol, 组管理协议。用于 IP 主机向任意一个 

直接相邻的路由器报告他们的组成员情况。 

IKE -- Internet Key Exchange, 互联网密钥交换协议。用于交换和管理在 VPN 中使用 

的加密密钥。 

IP -- Internet Protocol, 网际协议。 

L 

L2TP -- Layer 2 Tunneling Protocol, 第二层隧道协议。 

M 

MAC -- Media Access Control, 介质访问控制子层协议。该协议位于 OSI 七层协议中 

数据链路层的下半部分 , 主要负责控制与物理层连接的物理介质。 

MTU -- Maximum Transmission Unit, 最大传输单元。是指一种通信协议的某一层上面 

所能通过的最大数据报大小。 

N 

NAT -- Network Address Translation, 网络地址转换。是一种把内部私有网络地址 

(IP 地址 ) 翻译成合法网络 IP 地址的技术。其目的之一是解决 IPv4 地址不足问题 ; 其 

二可隐藏报文原始地址。 

NTP -- Network Time Protocol, 网络时间协议。一种通过向时间服务器发送请求来校 

对主机时间的协议。 

p 

PIM -- Protocol Independent Multicast, 独立多播协议。PIM 可利用各种单播路由协议 

建立的单播路由表完成 RPF 检查功能。 

R 


RA -- Registration Authority, 注册审批机构。是 CA 的一个授权代理 , 负责证书的注册 

和发放 CRL。 

RADIUS -- Remote Authentication Dial In User Service, 远程拨入用户认证服务。一 

种分布式的客户端 / 服务器系统 , 用来对访问进行验证 , 拒绝未经授权的访问。 

Root Vsys -- 根虚拟防火墙系统 , 又称为 Root 系统 , 是系统缺省的 Vsys, 在它的基础 

上可以划分出其他 Vsys。通常又把它称为 Vsys0 或者物理防火墙。 

RSA -- 一种基于陷门 (Trapdoor) 功能概念的加密算法 , 适用于公共密钥加密和数字 

签名。 

S 

SNAT -- Source Network Address Translation, 源网络地址转换。用于将内部网络中 

的每个主机永久映射成外部网络中的某个合法的地址。 

SNMP -- Simple Network Management Protocol, 简单网络管理协议。一种广泛使用 

的应用于管理网络设备的通信协议。 

SSH -- Secure Shell Protocol, 安全外壳协议。是一种为远程登录会话和其他网络服务 

提供安全性的协议 , 利用 SSH 协议可以有效防止远程管理过程中的信息泄露。 

SSL -- Secure Scoket Layer, 安全套接子层。位于应用层和 TCP/IP 之间 , 提供透明加 

密的数据通信。 

T 

TCP -- Transmission Control Protocol, 传输控制协议。是一种面向连接的、可靠的、 

基于字节流的运输层通信协议。 

Telnet -- 远程登录协议。基于 rfc854、rfc855。是 TCP / IP 网络 ( 例如 Internet) 的登 

录和仿真程序。主要功能是允许用户登录进入远程主机系统。 

TFTP -- Trivial File Transfer Protocol, 简单文件传输协议。用于在客户机与服务器之 

间进行简单的文件传输。 

U 

UDP -- User Datagram Protocol, 用户数据报协议。是 ISO 参考模型中一种无连接的 

传输层协议 , 提供面向事务的简单不可靠信息传送服务。 

V 

VFRP -- Virtual Firewall Redundancy Protocol, 虚拟防火墙冗余协议。允许用户配置 

两台安全设备 , 在一台设备无法正常使用的情况下 , 另一台设备可接管它继续运转。对 

于用户来说 ,“ 多安全 ” 设备就是一个虚拟的防火墙。 

VLAN -- Virtual Local Area Network, 虚拟局域网。是指在交换局域网的基础上 , 采用 

网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。 

VPN -- Virtual Private Network, 虚拟专用网络。可通过加密的通讯协议 , 在连接在 

Internet 上的位于不同位置的两个或多个企业内部网之间建立一条专有的通讯线路。 

Vsys -- 虚拟系统。将物理防火墙在逻辑上虚拟为多个防火墙的实现方式 , 其中每个虚 

拟出来的防火墙都有各自独立的安全控制策略。 


X 

XAUTH -- Extended Authentication, 可扩展认证。 

Xmodem -- 一种使用拨号调制解调器的个人计算机通信中广泛使用的异步文件运输协 

议。以 128 字节块的形式传输数据 , 并且每个块都使用一个校验和过程来进行错误检 

测。 

Z 

Zmodem -- Xmodem 文件传输协议的一种增强形式 , 不仅能传输更大的数据 , 而且错误 

率更小。 


索引 

A 

alert-config local-syslog 25 

alert-config mail* 27 

alert-config snmp-trap* 29 

alert-config syslog* 31 

arp timeout* 45 

arp* 43 

attack-defense tcp-syn-cookie* 61 

attack-defense threshold* 62 

attack-defense* 59 

auth 141 

auth password 142 

auto advertise on,off 169 

aux com2 enable,disable 75 

aux com2 poll-interval 77 

B 

backup 83 

banner* 439 

bind gateway tunnel 170 

bind tunnel tunnel-interface* 501, 533 

C 

cam-table timeout* 93 

cam-table* 91 

channel 171 

clear session* 367 

config check 143 

config sync 144 

config sync auto 145 

console timeout* 440 

copy backup 85 

copy backup internal 86 

copy config internal 99 

copy config internal to active 101 

copy config to 102 

copy log 411 

copy technical-support file 431 

copy vpn-user file* 543 

create user file* 545 

D 

debug clear 113 

debug dump byte 114 

debug dump complex 115 

debug dump hook 116 

debug dump session 117 

debug file 118 

debug match 119 

debug show 121 

debug start 123 

debug stop 124 

delete backup 87 

delete config 103 

delete patch 421 

delete system 423 

delete technical-support 432 

delete user file* 546 

delete vpn certificate* 473 

description 172, 565 

dns* 441 

dvmrp cache-lifetime* 245 

dvmrp metric* 246 

dvmrp on,off* 247 

dvmrp pim* 248 

dvmrp prune-lifetime* 249 

dvmrp route* 250 

dvmrp ttl* 252 

E 

election 146, 151 

encrypt 147 

event-track 148 

event-track ethernet 149 

F 

floating ip address* 173 

flow control on,off 175 

G 

generate certificate-request* 475 

Nokia IPSO-VN 命令行参考手册 Index - 599

group external auth-server* 548 

group user* 549 

group* 547 

H 

ha 150 

halt 357, 449 

hold ethernet 176 

hold ethernet,channel 177 

hold vlan,channel,ethernet 566 

hostname* 442 

hotstandby switch 151 

I 

igmp-snooping interface-flags* 254 

igmp-snooping version* 255 

igmp-snooping* 253 

import config from tftp 104 

import config from x/zmodem 105 

import ssh authkeys 387 

import vpn certificate* 477 

import vpn user* 550 

interface 152 


ip address 153, 179 

ippool* 552 

ip-track 154 

L 

language* 243 

license download 443 

license import 444 

load config 106 

lock 445 

logging media 412 

logging media switch to 413 

logging policy 414 

M 

mac address 180 

manage-ip-address vlan,channel,ethernet 567 

matching* 337 

mtu 181 

multicast cam-table* 256 

N 

nat-traversal auto enable,disable* 502 

nat-traversal manual enable,disable* 503 

ntp authentication enable,disable* 327 

ntp auto-syn adjust* 330 

ntp auto-syn enable,disable* 331 

ntp auto-syn* 328 

ntp server* 332 

ntp synchronize* 334 

P 

package upgrade 426 

password 446 

patch enable,disable 424 

peer ip address 156 

ping 448 

policy default inter-zone* 125 

policy default intra-zone* 127 

policy dnat 273 

policy dnat enable,disable 275 

policy dnat load-balancing 276 

policy dnat matching 278 

policy dnat number 280 

policy global* 482 

policy inter-zone* 485 

policy intra-zone* 488 

policy ip-filter enable,disable* 213 

policy ip-filter global* 215 

policy ip-filter inter-zone* 218 

policy ip-filter intra-zone* 221 

policy ip-filter log* 224 

policy ip-filter number* 225 

policy ip-filter permit,deny* 226 

policy ip-filter protocol* 227 

policy ip-filter schedule* 229 

policy ip-filter timeout* 231 

policy ip-mac enable,disable* 239 

policy ip-mac* 237 

policy mip enable,disable* 283 

policy mip matching* 284 

policy mip number* 287 

policy mip* 281 

policy multicast allowed-zone* 259 

policy multicast enable,disable* 260 

policy multicast number* 261 

policy multicast* 257 

policy non-ip-filter enable,disable* 307 

policy non-ip-filter global enable,disable* 308 

policy non-ip-filter inter-zone enable,disable* 310 

policy non-ip-filter intra-zone enable,disable* 312 

policy non-ip-filter number* 314 

policy non-ip-filter permit,deny* 315 

policy non-ip-filter protocol* 316 

Index - 600 

Nokia IPSO-VN 命令行参考手册

policy non-ip-filter schedule* 317 

policy number* 491 

policy protocol* 492 

policy route enable,disable* 341 

policy route* 340 

policy session-flood enable,disable* 65 

policy session-flood protocol* 66 

policy session-flood* 63 

policy snat enable,disable* 290 

policy snat matching* 291 

policy snat number* 293 

policy snat* 288 

policy tunnel* 494 

policy zone-binding 585 

policy zone-binding zone-ip* 587 

policy zone-binding zone-mac* 588 

policy* 481 

port mode access,trunk 182 

port trunk native vlan 183 

port vlan 184 

R 

radius server* 449 

reboot 358 

reset 359 

restore from 88 

restore from internal 89 

route load-balancing 349 

route* 347 

rti auto 159 

rti session 157 

rti session default 158 

S 

save config 107 

service 360 

service allow zone 361 

service auth 362 

service root-net-login enable,disable 78 

service telnet,ssh,web port 79 

show alert-config 33 

show alert-config local-syslog 35 

show alert-config mail 36 

show alert-config snmp-trap 37 

show alert-config syslog 38 

show arp 46 

show arp dynamic 48 

show arp proxy 49 

show arp static 50 

show arp timeout 51 

show assetinfo 450 

show attack-defense 68 

show aux 80 

show backup 90 

show banner 452 

show cam-table 94 

show cam-table timeout 96 

show certificate 478 

show config 108 

show config default 109 

show current timezone 129 

show current-config 111 

show dns 453 

show dvmrp interface,neighbor,timer 262 

show dvmrp route,state 263 

show GTB 185 

show ha 160 

show hostname 454 

show igmp-snooping state 265 

show interface 186 

show interface channel 188 

show interface ethernet 190 

show interface tunnel 192 

show interface vlan 194 

show language 244 

show license 455 

show line 456 

show log 415 

show logfile 417 

show patch 428 

show policy default 128 

show policy dnat 294 

show policy ip-filter 232 

show policy ip-filter intra-zone 233 

show policy ip-mac 240 

show policy mip 296 

show policy multicast 266 

show policy non-ip-filter 318 

show policy non-ip-filter global,inter-zone,intrazone 

320 

show policy non-ip-filter intra-zone 322 

show policy route 342 

show policy session-flood 71 

show policy snat 298 

show policy zone-binding 589 

show radius server 457 

show root-net-login 81 

show route 351 

show service 364 

show service port 82, 363 

show session 369 


show session count 371 

show snmp 373 

show snmp community 374 

show snmp usm user 375 

show ssh hostkey 389 

show ssh server authentication 391 

show ssh server ciphers 392 

show ssh server key-regeneration-time 393 

show ssh server login-grace-time 394 

show ssh server protocol 395 

show ssh server server-key-bits 396 

show system info,status,time 458 

show system resource-utilization 459 

show system-list 429 

show technical-support 433 

show timeout 435 

show timezone 130 

show tunnel 504 

show user 460 

show vpn group 553 

show vpn ippool 554 

show vpn policy 495 

show vpn policy global,inter-zone,intra-zone 497 

show vpn user 555 

show vpn-accel 505 

show vpn-debug 506 

show vpn-debug tunnel 508 

show vsys 568 

show zone 575 

shutdown 196 

snmp community read-only,read-write* 376 

snmp contact* 377 

snmp daemon on,off* 379 

snmp location* 378 

snmp usm user authNoPriv* 380 

snmp usm user authPriv* 382 

speed duplex 197 

ssh hostkey 397 

ssh server authentication 398 

ssh server ciphers 399 

ssh server key-regeneration-time 400 

ssh server login-grace-time 401 

ssh server protocol 402 

ssh server server-key-bits 403 

storage mdeia state 420 

storage media 418 

storage media format 419 

system switch 430 

T 

technical-support 434 

time 162 

time benchmark 163 

time daily 164 

time sync 165 

time* 335 

timeout reset* 438 

timeout* 437 

timezone 132 

timezone dst off 133 

timezone dst on default 134 

timezone dst on manual day-day 135 

timezone dst on manual day-week 136 

timezone dst on manual week-day 137 

timezone dst on manual week-week 138 

traceroute 462 

tunnel 198 

tunnel dialup certificate* 509 

tunnel dialup preshared-key* 511 

tunnel enable,disable* 513 

tunnel gateway certificate* 514 

tunnel gateway preshared-key* 516 

tunnel ike dpd disable* 521 

tunnel ike dpd* 520 

tunnel ike lifetime* 528 

tunnel ike phase1 default* 524 

tunnel ike phase1 mode* 522 

tunnel ike phase2 default* 527 

tunnel ike phase2 mode* 525 

tunnel ike* 518 

tunnel manual gateway* 529 

tunnel xauth enable,disable* 532 

U 

unset alert-config mail* 40 

unset alert-config snmp-trap* 41 

unset alert-config syslog* 42 

unset alert-config* 39 

unset arp dynamic channel,ethernet,vlan* 53 

unset arp dynamic* 52 

unset arp proxy vlan,ethernet,channel* 55 

unset arp proxy* 54 

unset arp static channel,ethernet,vlan* 57 

unset arp static* 56 

unset bind gateway 199 

unset cam-table dynamic* 97 

unset cam-table static 98 

unset channel 200 

unset dns* 464 

Index - 602 


unset dvmrp route* 268 

unset floating ip address* 201 

unset group user* 556 

unset GTB 202 

unset hold ethernet 204 

unset hold ethernet,channel 204 

unset hold vlan,channel,ethernet 569 

unset ip address 205 

unset ippool* 557 

unset ip-track 166 

unset license 465 

unset matching* 344 

unset multicast cam-table* 269 

unset ntp server* 336 

unset policy dnat matching* 301 

unset policy dnat* 300 

unset policy global,inter-zone,intra-zone* 499 

unset policy ip-filter timeout,schedule* 236 

unset policy ip-filter* 234 

unset policy ip-mac* 242 

unset policy mip matching* 303 

unset policy mip* 302 

unset policy multicast allowed-zone* 271 

unset policy multicast* 270 

unset policy non-ip-filter global,inter-zone,intrazone* 

324 

unset policy non-ip-filter intra-zone* 325 

unset policy non-ip-filter schedule* 326 

unset policy non-ip-filter* 323 

unset policy protocol* 500 

unset policy route* 346 

unset policy session-flood protocol 73 

unset policy session-flood* 72 

unset policy snat matching* 305 

unset policy snat* 304 

unset policy zone-binding zone-ip* 592 

unset policy zone-binding zone-mac* 593 

unset policy zone-binding* 591 

unset policy* 498 

unset port trunk native 206 

unset port vlan 207 

unset radius server* 463 

unset route load-balancing* 354 

unset route* 352 

unset rti session 167 

unset service 365 

unset shutdown 208 

unset snmp community* 384 

unset snmp usm user 385 

unset tunnel 209 

unset tunnel auto,manual* 534 

unset tunnel* 533 

unset tunnel-interface tunnel* 535 

unset user 466 

unset user allowed-vsys 467 

unset user,group* 558 

unset vlan 210 

unset vpn-debug isakmp 536 

unset vpn-debug isakmp tunnel 537 

unset vsys 570 

unset zone based-layer2* 578 

unset zone based-layer3* 579 

unset zone* 577 

user 468 

user allowed-vsys 470 

user description 471 

user enable,disable* 559 

user ike-id fqdn,user-fqdn,asn1-dn,key-id* 560 

user ike-id ipv4-address* 562 

V 

vfid 168 

vlan 211 

vpn* 538 

vpn-accel on,off* 539 

vpn-debug ipsec 540 

vpn-debug isakmp 541 

vpn-debug isakmp tunnel 542 

vsys 571 

vsys enalbe,disable 572 

vsys resource-limit 573 

vty timeout 472 

W 

web generate ssl-certificate request 404 

web generate ssl-certificate self-signed 406 

web install ssl-certificate 408 

working-type 212 

Z 

zone based-layer2* 581 

zone based-layer3* 582 

zone description* 583 

zone* 580 


Index - 604

Nokia IPSO-VN 命令行参考手册 - Check Point

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?