本端发送echo报文建立BFD会话，对链路进行检测。对端不建立BFD会话，只需把收到的echo报文转发回本端。如果在检测时间内没有收到对端转发回的echo报文，则认为会话down。

4 NQA

NQA（Network Quality Analyzer，网络质量分析）通过发送探测报文，对链路状态、网络性能、网络提供的服务及服务质量进行分析，并为用户提供标识当前网络性能和服务质量的参数，如时延、抖动时间、TCP连接建立时间、FTP连接建立时间和文件传输速率等。利用NQA的分析结果，用户可以及时了解网络的性能状况，针对不同的网络性能进行相应处理并对网络故障进行诊断和定位。

5 双机热备

双机热备功能可以在通信线路或设备产生故障时提供备用方案，当其中一个网络节点发生故障时，另一个网络节点可以接替故障节点继续工作，从而实现设备的双机热备（High Availability，高可靠性）部署。

双机热备通过RBM（Remote Backup Management，远端备份管理）协议管理多个VRRP备份组状态的切换或者调整动态路由协议的开销值等，选举出双机热备中每台设备的主备业务状态。双机热备通过RBM协议备份设备间的关键配置信息和业务表项等，从而保证用户业务数据的不间断传输。需要两台软硬件环境完全相同的设备进行双机热备组网。

日志设置 （客户用来看日志信息都有啥操作开放了对应对功能 又有相关的日志）

会话日志

是为满足网络管理员安全审计的需要，对用户的访问信息、用户的IP地址信息、用户的网络流量信息等进行记录，并可采用流日志或快速日志的方式输出。存活时间或收发数目达到一定阈值的会话才会以日志的形式进行记录并输出，该阈值包括流量阈值和时间阈值两种。同时配置了时间阈值和流量阈值的情况下，只要有一个阈值到达，就会输出相应的会话日志，并将所有的阈值统计信息清零。必须在接口上开启会话日志功能，才能生成会话日志。

NAT会话日志

NAT会话日志是为了满足管理员安全审计的需要，对NAT会话（报文经过设备时，源或目的信息被NAT进行过转换的连接）信息进行的记录，包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。NAT会话日志支持流日志和快速日志两种输出方式，缺省为流日志。

有如下三种情况可以触发设备生成NAT会话日志：

· 新建NAT会话。

· 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及删除NAT会话时，都可能导致NAT会话被删除。

· 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时，当前存在的NAT会话信息将被记录并生成日志。NAT活跃流日志仅支持通过流日志输出方式发送到日志主机，若需要发送NAT活跃流日志则需要配置流日志主机并取消勾选“输出快速日志”。

NAT444用户日志

NAT444用户日志是为了满足对互联网用户进行溯源的需要，在NAT444地址转换中，对每个用户的私网IP地址进行端口块分配或回收时，都会输出一条基于用户的日志，记录私网IP地址和端口块的映射关系。在进行用户溯源时，只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息，即可确定私网IP地址。NAT444用户日志仅支持快速日志输出方式。

有如下两种情况可以触发设备输出NAT444用户日志：

· 端口块分配：端口块静态映射方式下，在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志；端口块动态映射方式下，在为某私网IP地址分配端口块或增量端口块时输出日志。

· 端口块回收：端口块静态映射方式下，在某私网IP地址的最后一个连接拆除时输出日志；端口块动态映射方式下，在释放端口块资源（并删除端口块表项）时输出日志。

开启此功能后，NAT资源用尽时输出日志信息。在NO-PAT动态映射中，NAT资源是指公网IP地址；在EIM模式的PAT动态映射中，NAT资源是指公网IP地址和端口；在NAT444地址转换中，NAT资源是指公网IP、端口块和端口块中的端口。对于NAT444资源用尽日志，必须开启快速日志功能，否则无法产生NAT444资源用尽日志信息。

AFT会话日志

为了满足网络管理员安全审计的需要，可以开启AFT会话日志功能，以便对AFT连接（AFT连接是指报文经过设备时，源或目的地址进行过AFT转换的连接）信息进行记录。AFT会话日志仅支持流日志。当新建或删除AFT会话时会触发输出AFT会话日志。

开启黑名单日志功能后，当增加黑名单、删除黑名单、扫描攻击防范动态添加黑名单、黑名单老化被删除时会有相应的日志输出，日志的内容主要包括黑名单的源IP地址、DS-Lite隧道对端地址、VPN实例名称、添加或删除的原因以及老化时间等。

配置日志缓冲区和日志文件

设备可以为黑名单和攻击防范模块创建单独的日志缓冲区和日志文件，用来分别存储这些业务模块的日志。只有在基本配置页面的系统日志中开启将系统日志输出到日志缓冲区功能后，才能将各个业务模块的日志输出到各自独立的日志缓冲区和日志文件中。

日志在保存到日志文件前，先保存在日志文件缓冲区，系统将日志文件缓冲区的内容写入日志文件后，缓冲区里的内容会被清空。

信誉日志

包括IP信誉日志、URL信誉日志和域名信誉日志。

开启本功能后，各信誉日志将以快速日志的方式输出到日志主机。本功能的支持情况与设备型号有关，请以设备实际情况为准。日志文件有容量限制，当日志文件的大小达到设置的上限，系统会使用最新日志覆盖最旧日志。本功能的支持情况与设备型号有关，请以设备实际情况为准。

带宽告警日志

功能可对整机入方向的流量进行检测。当入方向流量在持续时间内一直大于或等于带宽告警阈值，则输出带宽告警日志，且之后会每5秒输出一次带宽告警日志；直到入方向流量低于带宽告警阈值后，才停止输出带宽告警日志。带宽告警日志仅支持系统日志。

配置日志用于对管理员在设备上进行的操作进行记录。

设备可以为配置日志模块创建单独的日志缓冲区和日志文件，用来分别存储配置日志。只有在基本配置页面的系统日志中开启将系统日志输出到日志缓冲区功能后，才能将配置日志输出到其独立的日志缓冲区和日志文件中。

日志在保存到日志文件前，先保存在日志文件缓冲区，系统将日志文件缓冲区的内容写入日志文件后，缓冲区里的内容会被清空。

日志文件有容量限制，当日志文件的大小达到设置的上限，系统会使用最新日志覆盖最旧日志。

安全策略日志

开启安全策略内容日志功能后，设备会在每天指定的时间以国家电网日志的格式发送此时所有处于生效状态安全策略的内容日志。

终端识别日志

用户在终端信息发生变更时（比如将原厂商的摄像头换为其他厂商的摄像头）向用户发送日志，提示用户。终端识别日志仅支持以快速日志输出的方式发送到日志主机。

本功能的支持情况与设备型号有关，请以设备实际情况为准。

心跳日志

开启心跳日志功能后，日志服务器将会接收此心跳日志。如果定期接收不到，则认为设备处于宕机状态。

web应用防护日志

本功能用于配置Web应用防护日志的输出方式。目前支持以快速日志方式输出到日志主机，以及邮件方式发送到指定收件人。配置本功能前，请确认Web应用防护配置文件中已开启日志功能。Web应用防护日志支持输出中文日志，且仅攻击名称、攻击分类和攻击分类子类支持为中文。

IP接入日志

开启IP接入日志功能后，设备将会向日志主机发送通过IP地址认证接入的用户登录及退出产生的日志信息。

本功能的支持情况与设备型号有关，请以设备实际情况为准。

MAC接入日志

开启MAC接入日志功能后，设备将会向日志主机发送通过MAC地址认证接入的用户登录及下线产生的日志信息。

带宽管理日志

带宽管理支持对匹配上带宽管理策略的报文记录日志，并以快速日志的方式输出带宽管理日志到日志主机。本功能的支持情况与设备型号有关，请以设备实际情况为准。

负载均衡日志

开启负载均衡调度日志功能后，设备可输出经过链路转发的流量的日志信息。开启负载均衡快速日志输出功能后，设备将把指定内容的日志信息采用快速日志方式发往日志主机。设备支持分别开启服务器负载均衡快速日志输出功能、入链路负载均衡快速日志输出功能、出链路负载均衡快速日志输出功能和DNS透明代理快速日志输出功能。设备支持在HTTP类型的虚服务器页面指定服务器负载均衡快速日志的输出内容。

Context限速日志

开启Context限速日志功能后，当Context接收的广播报文或组播报文因达到限速阈值而被丢弃时会生成Context限速日志。目前仅支持以系统日志方式输出。

零信任日志

开启外部鉴权快速日志输出功能后，设备将把指定内容的日志信息采用快速日志方式发往日志主机。设备支持输出鉴权日志和策略通知日志。鉴权日志用来输出可信访问控制器的鉴权结果，策略通知日志用来输出用户下线和用户权限变更等信息。

报表设置

会话设置

升级中心

定时升级

如果设备可以访问官方网站，可以采用定期自动在线升级方式来对设备上的特征库进行升级。

配置步骤

1.        选择“系统 >升级中心 > 特征库升级”。

2.        在“特征库升级”页面，勾选目标特征库上的<开启定时升级>复选框，进入“XXX特征库定时升级配置”页面。

3.        在进入“XXX特征库定时升级配置”页面，配置特征库定时升级的时间。定时升级配置存在抖动时间（即实际自动升级开始时间的偏差范围），取值为指定的定时升级时间的前后一小时。

4.        单击<确定>，此特征库定时升级时间即可配置成功。

立即升级

当管理员发现官方网站上的特征库服务专区中的特征库有更新时，可以采用立即自动在线升级方式来及时升级特征库版本。

配置步骤

1.        选择“系统 >升级中心 > 特征库升级”。

2.        在“特征库升级”页面，单击目标特征库右边操作中的<立即升级>按钮，会弹出一个提示框，单击<确定>即可。

本地升级

如果设备不能访问官方网站上的特征库服务专区，管理员可以采用本地升级方式，使用本地保存的特征库文件手动离线升级系统上的特征库版本。

特征库文件只能存储在当前主用设备上，否则设备升级特征库会失败。

设备软件包括Boot ROM程序和启动文件，它是设备启动、运行的必备软件，为整个设备提供支撑、管理以及丰富的业务。当设备上存在主控板、接口板、网板和业务板时，主控板、接口板和网板的Boot ROM程序/启动软件包集成在主控板的Boot ROM程序/启动软件包中。系统在升级主控板时会自动升级接口板和网板，不会自动升级业务板。业务板使用独立的启动软件包，这个软件包会和主控板的启动软件包一起发布，需要单独升级

Lcense配置

6 高级虚拟化 IRF

IRF（Intelligent Resilient Framework，智能弹性架构）是一种软件虚拟化技术。它的核心思想是将多台设备连接在一起，进行必要的配置后，虚拟化成一台设备。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力，实现多台设备的协同工作、统一管理和不间断维护。

高级 IRF

特性简介

本文所说的IRF高级设置就是IRF双机热备。IRF双机热备方式是基于IRF技术实现双机热备组网需求。有关IRF的详细介绍，请参见“IRF联机帮助”。

IRF双机热备实现机制主要包括以下两个方面：

· 业务备份：用户选择业务后，IRF双机热备的两台设备间会互相备份指定业务的数据和表项。以便流量切换后，对端设备上有对应的数据和表项，能够快速处理流量。

· 流量迁移：IRF双机热备使用冗余组来触发流量的迁移。冗余组通过和Track联动，能够快速感知上、下行链路是否故障，如果故障，冗余组模块会通知组内所有成员接口和冗余口进行倒换，以便保证倒换后，报文的出接口和入接口仍然在同一台设备上。

IRF双机热备的实现机制如图-1所示：

1.        正常情况下，流量通过Device A转发，Device A上业务的数据和表项实时备份到Device B。

2.        当Track检测到Device A的上行接口故障。

3.        冗余组关闭Device A的下行接口。

4.        流量迁移到Device B上，通过Device B转发。因为Device B已经备份了业务的数据和表项，从而保证了流量迁移后，业务基本不受影响。

管理员

管理员通过SSH、Telnet、FTP、HTTP、HTTPS、终端接入（即从Console口接入）方式登录到设备上之后，可以对设备进行配置和管理。对登录用户的管理和维护主要涉及以下几个部分：

账户管理：对用户的基本信息（用户名、密码）以及相关属性的管理。

角色管理：对用户可执行的系统功能的管理。

密码管理：对用户密码设置控制、密码更新与老化以及用户登录控制等方面进行管理。

维护

SNMP的网络架构

SNMP（Simple Network Management Protocol，简单网络管理协议）是互联网中的一种网络管理标准协议，广泛用于实现管理设备对被管理设备的访问和管理。SNMP具有以下优势：

支持网络设备的智能化管理。利用基于SNMP的网络管理平台，网络管理员可以查询网络设备的运行状态和参数，配置参数值，发现故障，完成故障诊断，进行容量规划和制作报告。

支持对不同物理特性的设备进行管理。SNMP只提供最基本的功能集，使得管理任务与被管理设备的物理特性和联网技术相对独立，从而实现对不同厂商设备的管理。

跨三层MAC学习功能

是指当设备和终端（如PC）之间有三层网络设备时，设备仍然可以学习到终端的MAC地址。

当终端采用动态IP地址访问网络时，使用IP地址作为过滤条件已经无法实现对网络流量的准确匹配和控制，此时需要使用MAC地址作为策略的过滤条件。但是在跨三层网络设备的组网环境中，设备无法直接获取终端的MAC地址，使用跨三层MAC学习功能可以获取终端的MAC地址。

配置文件

配置文件概述

配置文件是用来保存配置的文件。配置文件主要用于：

· 保存当前配置，以便设备重启后，这些配置能够继续生效。

· 使用配置文件，用户可以非常方便地查阅配置信息。

· 当网络中多台设备需要批量配置时，可以将相同的配置保存到配置文件，再上传/下载到所有设备，在所有设备上执行该配置文件来实现设备的批量配置。

出厂配置

设备在出厂时，通常会带有一些基本的配置，称为出厂配置。它用来保证设备在没有配置文件或者配置文件损坏的情况下，能够正常启动、运行。

启动配置

设备启动时运行的配置即为启动配置。如果没有指定启动配置文件或者启动配置文件损坏，则系统会使用出厂配置作为启动配置。

当前配置

系统当前正在运行的配置称为当前配置。它包括启动配置和设备运行过程中用户进行的配置。当前配置存放在设备的临时缓存中，如果不保存，设备运行过程中用户进行的配置在设备重启后会丢失。

备份当前配置

备份当前配置功能主要用于备份设备当前的配置信息，以便在需要时对设备配置进行回滚。

本功能支持将设备配置信息备份在设备本地或者远端服务器上（FTP服务器、TFTP服务器），可立即备份也可周期性自动备份。

配置回滚

配置回滚功能主要用于通过配置备份文件将设备回滚至备份时的配置状态。

配置回滚功能支持从本地或者服务器上（FTP/TFTP）获取配置文件对设备配置进行回滚，若从服务器上获取配置文件，需指定时间进行配置回滚。

配置指南

备份当前配置

1.        选择“系统 > 维护 > 配置文件”。

2.        单击<备份当前配置>按钮。

3.        配置备份信息，具体内容如下表所示：

表-1 备份信息

4.        单击<确定>按钮，可完成备份设备当前配置操作。

配置回滚

1.        选择“系统 > 维护 > 配置文件”。

2.        单击<配置回滚>按钮。

3.        选择回滚文件来源：

○          本地：点击回滚文件对应的“回滚”链接即可将设备配置回滚至指定文件。

○          服务器：配置如下参数，然后单击<确定>按钮即可从服务器上获取配置文件进行配置回滚。

表-2 配置回滚（回滚文件来源于服务器）

使用限制和注意事项

· 恢复出厂配置后，设备当前的配置将会全部丢失。

· 若采用备份至服务器方式或从服务器上获取配置文件对设备进行配置回滚，需保证当前设备可正常访问服务器的FTP/TFTP服务。

· 在高可靠性的双机热备组网环境中，配置回滚完成后，需要在主管理设备的高可靠性功能页面单击<手工同步配置信息>按钮，将主管理设备上的配置信息手工批量备份到从管理设备，以保证主备设备的配置信息一致。

重启

重启功能用于远程重新启动设备并重新引导系统文件，在重启设备前建议保存设备配置，以免配置丢失。

诊断中心（测试这一块的）

配置指导

路由模式

路由模式使用设备网关的路由功能。在该模式下，接入互联网的配置方式有三种，请根据网络服务提供商提供给您的信息选择具体的配置。

· WAN口配置

WAN口接入互联网的三种方式如下表所示：

表-1 接入互联网方式说明

○          选择指定IP地址的方式接入互联网时，WAN口各配置项参数的说明如下表所示。

表-2 指定IP地址方式

○          选择通过DHCP自动获取IP地址的方式接入互联网时，WAN口配置项参数的说明如下表所示。

表-3 通过DHCP自动获取IP地址方式

○          选择通过PPPoE的方式接入互联网时，WAN口各配置项参数的说明如下表所示。

表-4 PPPoE方式

· LAN口配置

LAN口各配置项参数的说明如下表所示：

表-5 LAN口配置

· 安全配置

入侵防御功能用于实现保护企业信息系统和网络免遭攻击的目的。

入侵防御功能需要License，请购买并正确安装License。

本功能的支持情况与设备型号有关，请以设备实际情况为准。

· 广域网加速

广域网加速功能用于在带宽受限的情况下保护企业内部重要数据的传输。

本功能的支持情况与设备型号有关，请以设备实际情况为准。

· 一键流控

本功能用于对WAN口的期望带宽以及各应用的最大带宽和保证带宽进行限制。

其中，接口的期望带宽需要根据运营商实际分配的带宽进行配置。

本功能的支持情况与设备型号有关，请以设备实际情况为准。

· 连接安全云

安全云是一个安全设备的管理平台，可将用户的安全设备纳管，仅仅通过安全云即可实现对一系列安全设备下发配置、修改配置、查看状态等功能，即通过安全云可以实现安全设备的快速部署、安全能力的差异化部署、及安全状态的可视化功能。本功能用于配置安全云的域名，使设备可以连接到安全云。本功能的支持情况与设备型号有关，请以设备实际情况为准。

透明模式

透明模式不改变原有的网络结构，被配置为WAN口或LAN口的接口会成为二层接口。透明模式下各配置项参数的说明如下表所示：

表-6 透明模式配置项