Hillstone常用配置命令整理

查看命令：show，在配置模式下可以直接使用，但需要打全。

show conf int eth0/0 查看配置文件下的子项，常用的有interface、address、policy、

show conf record：查看配置文件生成的时间

show version：查看系统版本信息、开机时间

show service：查看定义的服务(端口)信息

show reference service xxxx：查看服务xxxx被引用的情况

show admin auth-server：查看管理员登录验证服务器

show aaa-server radius：查看radius服务器的配置

show snat/dnat：查看NAT条目

show ip ospf nei/database/route：查看OSPF的邻接、数据库及路由信息等

unset all：清除所有配置，恢复出厂设置

save(all)：保存配置

reboot：重启系统

管理类：

进入配置模式：conf ，与cisco类似，但不需要带terminal

ntp server 192.168.0.xxx source eth0/0 prefer：定义NTP服务器，指定源端口为eth0/0

ntp enable：打开NTP时间同步

clock zone china：将时区直接设置为中国

console timeout 10：串口管理超时设置为10分钟

ssh timeout 10：ssh 远程登录起时设置为10分钟

logging traffic on：在全局范围内打安全策略、NAT的log记录。具体到哪条策略/NAT进行记录，在策略/NAT配置条目里指定

logging event to buffer severity warnings size 102400：记录event到内存缓冲里，log等级为warning缓冲大小为102400 Byte

logging event to syslog severity warnings：

logging syslog 192.168.0.230 source-interface eth0/0 udp 514

admin user xxxxx：添加系统管理员用户

password xxxxx：定义登录密码

access any：允许任意登录方式，包含：console/http/https/ssh/telnet

privilege RXW：读取/修改配置的权限（RX为只读权限）

admin max-login-failure 5：允许最大5次密码错

admin lockout-duration 5：密码试错后的锁定时间，5分钟

admin host：定义管理控制台IP地址，可设置网段、单机、IP范围，并在指定以上参数后，定义远程登录的方式。

password-policy：管理员密码策略，进入子命令配置项。注：仅可指定长度与复杂度，有效周期没有。

admin complexity 1 指定管理员密码至少包含2大写、2小写、2数字及2符号

admin min-length (4-16) 指定管理员密码的最小长度

snmp-server group xxxxx v3 auth read-view mib2 定义snmp v3读的视图组，write-view未定义

snmp-server engineID Hillstone-test：定义snmp v3的引擎ID

snmp-server user mgmtv3 group xxxxx v3 remote 192.168.0.223 auth sha xxxxxx(key)

snmp-server host 192.168.0.223 version 3：配置远程管理服务器的IP

接口类：

int aggregate1：创建聚合端口1(最多4个)，删除在前面加no即可，但注意删除前必须取消其它接口与聚合接口的绑定、聚合子接口的配置、接口的 IP 地址配置以及接口与 安全域的绑定

lacp enable：启用lacp协议

int aggr

egate1.301：在聚合端口上创建子端口。子端口同时也就是vlan号，注意：子端口的MAC同父端口

int eth0/0 ：在配置模式下，进入接口配置子项，此处也更象Cisco，而不象ScreenOS在一条命令里配置完

aggregate aggregate1：将eth0/0添加到聚合端口1中，注意：进入聚合的物理端口应不属于其他端口及任何安全域。

int eth0/0.1：创建eth0/0下的子端口

manage ping/http/https/ssh/telnet/snmp 等，配置该接口的管理选项

ip address xx.xx.xx.xx/xx：配置IP地址

zone xxxx：配置该接口所属的zone

int redundant1：创建冗余端口，增加成员同聚合端口，在物理端口下输入redundant redundant1，即可添加物理端口至red1

primary eth0/0：指定eth0/0为冗余端口的主端口

int redundant1.1：在冗余端口上创建子端口，这一部分基本上同ScreenOS

安全对象定义及策略类：

address xxxx：定义网络地址对象

ip 192.168.0.0/24：定义该对象的IP地址

description "KKOA Net 192.168.0.0"：对地址对象进行描述，注意描述中有空格的用双引号

host：定义域名对象

range 192.168.0.10 192.168.0.20 ： 定义一个地址范围

rename xxx：重命名对象

member xxx：可以添加另一个地址名做为成员(暂不明确适用场景)

service pubsvc-winrdp：定义服务对象(每个对象可以定义约8个条目)

tcp dst-port 333 src-port 1024 65535 定义tcp服务，目标端口333，源端口范围1024-65535

tcp dst-port 433 src-port 1024 65535 添加第二条端口

policy-global：进入定义访问控制策略

rule from 10.97.0.0/16 to any from-zone trust to untrust service any permit 出站策略

rule id 2 from any to 192.168.3.235/32 from-zone untrust to-zone trust service pubsvc-winrdp permit 入站策略，目的地址直接用IP，目的端口也是外部映射端口，这跟screenos用mip和cisco用内网IP都有所不同。

rule from any to any from-zone App to-zone App service any permit：同zone，不同子网下的互通策略。缺省是阻断的，没有screenos下的全通选项，只能通过策略来打通。

id 2：进入指定id号的策略子命令集

move 3 before 1：将id3策略移到id1前，即调整策略顺序

地址转换及路由：

ip vrouter trust-vr：进入trust-vr (系统缺省带此vrouter，不可删除)

ip route 0.0.0.0 0.0.0.0 eth0/0 192.168.0.3 配置缺省路由，指向下一跳网关

snatrule top from 10.97.0.0/16 to any eif eth0/0 trans-to eif-ip mode dynamicport：出站SNAT，将策略置于top，nat为出站口

snatrule id 3 from grp-Appnet to Any service Any eif eth0/0 trans-to eif-ip mode dynamicport：将一个IP组的出站转为接口IP

snatrule from 10.97.3.18 to any eif eth0/0 trans-to 192.168.0.232 mode dynamicport log：出站SNAT，转为指定IP

dnatrule from any to 192.168.0.235 servi

ce pubsvc-winrdp trans-to 10.97.3.18 port 33 log：进站DNAT，比较直白的写法

snatrule/dnatrule move top/before/after：移动策略位置，系统以先后顺序执行nat操作。

router ospf 进入ospf 配置

router-id 10.97.1.250：指定router-id

network 10.97.1.32/30 area 30 ：指定网段的area

area 30 stub no-summary

area 30 rang

redistribute static type 2 route-map：将静态路由重分布进ospf里，最后的route-map可以关联一个筛选表。route-map的配置条件可以是ACL、interface、metric、

HA相关：

HA Cluster配置

ha link interface interface-name：指定 HA 控制连接接口

ha link data interface interface-name：data – 指定 HA 连接为数据连接。指定后，会话信息将通过 HA 连接接口同步完成。目 前仅支持将物理接口和集聚接口配置为 Data Link 的接口。用户最多可以指定 1 个 HA 数据连接接口。

ha link ip ip-address netmask：HA 连接接口指定完毕，用户需要为 HA 连接接口配置 IP 地址

ha cluster cluster-id ：cluster-id为1-8

ha sync rdo session：启动运行时动态对象的主/备同步

ha group x： x为0-1，与ScreenOS的VSD相同

priority xx：最大254，数值越小优先级越高

preempt：只需要Master上设置争抢模式

monitor track 1：设置failover触发的监控条件

manage ip ip-address：配置备机的管理IP地址

track 1：配置监控条件

int eth0/0 weight xx：指定监控端口，并配置权重值。监控条件还可以配置arp/bandwidth/delay/dns/http/ip/tcp等