H3C-SecBlade-II-防火墙板卡开局指导.doc

《H3C-SecBlade-II-防火墙板卡开局指导.doc》由会员分享，可在线阅读，更多相关《H3C-SecBlade-II-防火墙板卡开局指导.doc（18页珍藏版）》请在课桌文档上搜索。

1、1 产品简介与基本工作原理1.1 产品简介H3C SecBladeII防火墙插卡采用H3C公司最新的硬件平台和体系架构,是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备.SecBlade 防火墙插卡采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的同时,交换机的原有业务处理不会受到任何影响.1.2 基本工作原理SecBladeII插卡与交换机通过内部10GE总线进行通信.其工作原理如下：图1 SecBladeII与交换机的报文转发 如上图,S9500第2号槽位上接入SecBladeII,3号槽位为普通业务口,g3/0/1和g3/0/2接口运行业务,SecBladeII

2、和S9500内部数据交互口在S9500系统上表现为int Ten-GigabitEthernet 2/1/1,在SecBladeII上表现为Ten-GigabitEthernet 0/0.数据包的转发过程如下：(1) 数据包通过业务板g3/0/1送给S9500；(2) S9500通过与SecBladeII的内部总线int Ten-GigabitEthernet 2/1/1trunk送给SecBladeII的Ten-GigabitEthernet 0/0或者子接口.(3) SecBladeII进行相关防火墙功能处理后,通过Ten-GigabitEthernet 0/0或者子接口送回S9500；(

3、4) S9500做相关处理后通过业务口g3/0/2正常转发. 2 版本配套与硬件安装2.1 版本配套H3C SecBladeII插卡目前包括的单板类型为LSB1FW2A0用于H3C S9500系列以太网交换机、LSQ1FWBSC0用于H3C S7500E系列以太网交换机和IM-FW用于H3C SR8800系列路由器,其对应的软硬件配套关系如下：SecBladeIIS7500ES9500SR88SECBLADEII-CMW520-R3102P10与以上S7500E-CMW5.20-E6200与以上S9500-CMW520-F2130与以上SR8800-CMW520-R3229-SI与以上2.2

4、硬件安装SecBladeII的硬件安装与S7500E/S9500/SR8800其它单板相同,支持热插拔.安装完成后,S7500E/S9500/SR8800能识别单板如果不能识别,请仔细对照2.1版本配套：S9500dis deviceSlot No.Brd Type Brd Status Subslot Num Sft Ver 0 LSB1SRP1N6 Master 0 S9500-CMW520-F2129P01 1 NONE Absent 0 None 2 LSB1GT12C0 Normal 3 S9500-CMW520-F2129P01 3 NONE Absent 0 None 4 LSB

5、1FW2A0 Normal 0 S9500-CMW520-F2129P01 5 LSB1XP2B0 Normal 0 S9500-CMW520-F2129P01 6 LSB1F32GB0 Normal 2 S9500-CMW520-F2129P01.dis deviceSlot No. Brd Type Brd Status SubCard Num Sft Ver 0 SR02SRP1E3 Master 0 SR8800-CMW520-R3229 1 NONE Absent Absent None 2 SPE-1010 Normal 1 SR8800-CMW520-R3229 3 NONE A

6、bsent Absent None 4 NONE Absent Absent None 5 NONE Absent Absent None6 IM-FW Normal 1 SR8800-CMW520-R32292.3 网络连接2.3.1 SecBladeII接口介绍图2 SecBladeII接口介绍SecBladeII自带1个console口、4个千兆外部接口int G0/1intG0/4,其中G0/3和G0/4为光电复用接口和1个10GE的内部接口interface Ten-GigabitEthernet 0/0.4个外部千兆口主要用于管理,不推荐运行业务.10GE的内部接口用于与交换机交互

7、数据,运行业务,其基本的报文转发流程见图1.&说明：S7500E/S9500系列交换机上的SecBladeII防火墙的前面板颜色为黑色,而SR8800系列路由器上的防火墙板卡前面板为白色.除此外,外部接口和位置完全相同.第 3 页 共 18 页.2.3.2 SecBladeII与S7500E/S9500/SR8800业务线缆连接在插入SecBladeII后,一般情况下,S7500E/S9500/SR8800使用其他业务单板提供对外业务,S7500E/S9500/SR8800和防火墙的交互通过内部的10GE接口来完成.不推荐使用SecBladeII自带GE口处理业务,自带外部四个GE口只用来进行

8、管理.2.4 SecBladeII的管理SecBladeII集成强大的WEB管理功能,大部分配置都能通过WEB完成,同时,支持命令行,命令行主要提供简单的配置、信息查看、故障诊断.推荐使用WEB方式进行配置.2.4.1 WEB方式管理SecBlade防火墙出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录防火墙的Web界面.默认的Web登录信息包括：l 用户名：h3cl 密码：h3cl 验证码：按照提示输入l SecBladeII的G0/1口默认IP地址：/24采用Web方式登录防火墙的步骤如下：(1) 连接设备和PC用以太网线将PC和设备的以太网口G0/1相连.(2) 为PC

9、配置IP地址,保证能与设备互通修改IP地址为,例如.(3) 启动浏览器,输入登录信息在PC上启动浏览器建议使用IE5.0与以上版本,在地址栏中输入:/后回车,即可进入设备的Web登录页面,如图3 所示.输入用户名h3c、密码h3c和验证码后,单击按钮即可登录.图3 Web登录界面2.4.2 命令行方式管理如图2,SecBladeII自带console口,可以用串口线对SecBladeII进行管理,其串口参数与管理H3C主网络设备设置相同.3 防火墙基础配置3.1 防火墙的几个基本概念3.1.1 虚拟设备虚拟设备是一个逻辑概念,一台防火墙设备可以逻辑上划分为多个部分,每一个部分可以作为一台单独的

10、防火墙虚拟设备.每个虚拟设备之间相互独立,业务单独控制,一般情况下不允许相互通信,这就是所谓的虚拟防火墙.3.1.2 安全区域防火墙作为网络安全设备,按照业务的重要性高低,将网络分为若干个安全区域,安全区域以防火墙接口为边界.引入安全区域的概念之后,安全管理员将安全需求相同的接口进行分类划分到不同的区域,能够实现策略的分层管理.图4 防火墙安全区域缺省情况下,一个防火墙或者虚拟有4个业务安全区域：Local、Trust、DMZ、Untrust,其安全级别分别是100、85、50、5.还有一个特殊的管理区域Management,安全级别为100.如图4,把G0/1G0/3分别加入Trust、Un

11、trust、DMZ区域,其含义是：以防火墙为边界,G0/1G0/3接口外的区域分别属于Trust、Untrust、DMZ区域,注意不包括防火墙接口本身,防火墙本身所有接口G0/1G0/3加入Management域的接口除外,都属于Local区域.默认Local区域可以被任何区域访问,也即防火墙的自身接口是对所有区域开放的.3.1.3 会话所谓流Flow,是一个单方向的概念,根据报文所携带的三元组或者五元组唯一标识.根据IP层协议的不同,流分为四大类：l TCP流：通过五元组唯一标识l UDP流：通过五元组唯一标识l ICMP流：通过三元组 + ICMP type + ICMP code唯一标识

12、l RAW IP流：不属于上述协议的,通过三元组标识所谓会话Session,以一个双向的概念,一个会话通常关联两个方向的流,一个为会话发起方Initiator,另外一个为会话响应方Responder.通过会话所属的任一方向的流特征都可以唯一确定该会话,以与方向.对于TCP/UDP/ICMP/RAW IP流,首包进入防火墙时开始创建会话,后续相同的流或者返回报文可以匹配该会话.以TCP 三次握手为例：图5 会话建立如图5 trust区域的192.168.0.2:1564访问untrust区域的202.0.0.2的23端口,首包syn报文开始创建一个双向会话192.168.0.2:1564202.

13、0.0.2:23,后续SYN_ACK和ACK报文都匹配到此会话后,完整的会话创建完成.后续数据流如果匹配到此会话则放行通过.3.2 防火墙的基本工作流程图6 防火墙的基本工作流程& 注意：防火墙缺省下,高级别区域能访问低级别区域,低级别区域不能访问高级别区域.此缺省规则不能更改.3.3 防火墙的基本配置图7 SecBladeII基本图如图7 ,创建两个子接口ten-g0/0.1和ten-g0/0.2,分别属于trust和untrust区域.(1) 创建子接口ten-g0/0.1和ten-g0/0.2,系统管理接口管理添加图8 创建子接口ten-g0/0.1图9 创建子接口ten-g0/0.2(

14、2) 将子接口ten-g0/0.1和ten-g0/0.2分别加入trust、untrust区域以将ten-g0/0.1加入trust区域为例,ten-g0/0.2加入untrust域步骤类似,系统配置安全域管理：对trust域进行操作,将ten-g0/0.1加入：做了上述操作后,从高级别区域如trust能访问低级别区域如untrust,反方向不能访问.4 透明模式基本转发配置二层转发4.1 组网需求二层转发是指利用一种特殊的方式来实现将二层报文上送到SecBlade板卡,常见的部署场景是：用户VLAN最初终结在S9500上,例如VLAN102的网关VIF102配置在S95上.但此时用户要求将V

15、LAN102的报文上送到防火墙上进行过滤,但网关还是放在S95上.此时我们就可以使用二层转发方式来实现：将S95上的VIF102改为VIF103,但地址不变；用户VLAN102报文上送SecBlade,SecBlade完成换VLAN标签的动作,即将VLAN102更改为VLAN103；然后报文终结在S95上的VIF103上.如图：PC1和PC2分别属于S9500的VLAN102和VLAN103,其IP地址分别为10.0.0.1/24和10.0.0.253/24,/24,需要通过SecBlade实现：PC1可以访问网关、PC1可以ping通PC2.4.2 典型配置4.2.1 命令行下的配置1. S

16、9500的配置#vlan 102 to 103/创建所需VLAN#interface Vlan-interface103/VLAN102的网关#interface GigabitEthernet2/1/12 port link-mode bridge port access vlan 102#interface GigabitEthernet2/1/13 port link-mode bridgeport access vlan 103#interface Ten-GigabitEthernet6/1/1 port link-mode bridge/10GE接口工作在桥模式port link-

17、type trunk port trunk permit vlan 1 102 to 103/将所需VLAN上送到SecBlade#2. Secblade的配置#vlan 102 to 103/创建所需VLAN#vlan 1000 /SecBlade内部转发所需VLAN#interface Ten-GigabitEthernet0/0 port link-mode bridge/10GE接口工作在桥模式 port link-type trunk port trunk permit vlan 102 to 103#interface Ten-GigabitEthernet0/0.102/用于接收

18、VLAN102报文port link-mode bridge port access vlan 1000/所属vlan为1000#interface Ten-GigabitEthernet0/0.103/用于接收VLAN103报文 port link-mode bridge port access vlan 1000/所属vlan为10000#4.2.2 WEB配置(1) 创建子接口ten-g0/0.102、ten-g0/0.103参考图8、图9.(2) 进入WEB管理界面后,单击系统管理安全域管理,编辑trust安全域,将ten-GigabitEthernet0/0.102加入该域,注意所属

19、VLAN为1000；同样的操作,将ten-GigabitEthernet0/0.103加入untrust安全域,所属VLAN也是1000.(3) 然后通过WEB页面配置trust与untrust之间的策略通过面向对象ACL来实现可实现安全过滤.下面是允许从untrust到trust的所有主动访问：4.3 工作流程经过交换机流量的来源和目的属于不同VLAN跨VLAN二层转发时,具体过程如下以报文从PC1转发到PC2为例：(1) PC1报文进入交换机,交换机对报文加上VLAN102 Tag标签,因为报文目的属于另一个VLAN 103,不能直接查MAC地址表转发,因此报文由Trunk口发送至防火墙插

20、卡.(2) 防火墙子接口ten-g0/0.102收到VLAN102的报文,发现其VLAN tag与子接口号ten-g0/0.102相同,去掉报文中的Tag标签此处为SecBlade的一个特殊处理：即VLAN标签和子接口编号相同时,即去掉VLAN标签,加上防火墙VLAN的Tag标签VLAN 1000,之后对报文进行相关处理防火墙的各种安全功能.(3) 防火墙插卡去掉报文中防火墙VLAN的Tag标签VLAN1000,加上出方向子接口ten-g0/0.103对应VLAN的Tag标签VLAN103出方向子接口可以通过查MAC地址表确定后把报文发送至交换机.(4) 交换机在对应的VLAN中转发报文.4.

21、4 注意事项(1) SecBlade II XGE口在二层模式下上面配置的子接口的编号和子接口本身所属VLAN的ID不能相同.interface Ten-GigabitEthernet0/0.102port link-mode bridgeport access vlan 1000 /这个编号不能与子接口的编号102相同(2) 接口工作在桥模式下,使用二层子接口实现跨vlan转发,出入报文域由二层子接口所在安全域确定,不受物理口即10GE接口所在安全域的影响.(3) 子接口下面可不配置port access vlan 1000,则该子接口PVID默认为1,不建议使用默认PVID.(4) 命令行

22、子接口下配置的 port access vlan 1000是指报文进入SecBladeII,去掉已有tag如VLAN 102,SecBladeII内部转发用的VLAN tag为vlan1000.5 路由模式基本转发配置三层转发5.1 组网需求内部网络划分VLAN101、102、103,分配划分到Trust、DMZ和Untrust安全区域,S9500作为二层,要求各VLAN网关终结在SecBlade上,SecBlade实现：VLAN间的访问控制；配置内部服务器；访问Internet.5.2 实现方式SecBlade有两种作为VLAN网关的配置方式：三层子接口和VLAN虚接口,但其实现原理本质上一

23、样.在这两种实现方式中,S9500的配置保持不变.9500的配置：#vlan 101 description LAN#vlan 102description DMZ#vlan 103 description WAN#interface GigabitEthernet2/1/11 port link-mode bridge port access vlan 101#interface GigabitEthernet2/1/12 port link-mode bridge port access vlan 102#interface GigabitEthernet2/1/13 port link-

24、mode bridgeport access vlan 103#interface Ten-GigabitEthernet6/1/1 port link-mode bridgeport link-type trunk/10GE接口工作在Trunk模式port trunk permit vlan 1 101 to 103/Trunk所需vlan到SecBlade#5.2.1 三层子接口方式1. 组网图PC1、PC2、PC3分别属于VLAN101、VLAN102、VLAN103,在SecBlade上创建三个三层子接口ten-g0/0.101、ten-g0/0.102、ten-g0/0.103,配置

25、IP地址作为S9500上的VLAN101、VLAN102、VLAN103的网关.2. SecBlade的配置(1) 命令行配置# version 5.20, Release 3102P10#acl number 3000/用于PC1 NAT访问Internet rule 5 deny ip#vlan 1#interface Ten-GigabitEthernet0/0port link-mode route/10GE口工作在路由模式#interface Ten-GigabitEthernet0/0.101/VLAN101的网关 vlan-type dot1q vid 101/接收vlan标签为

26、101的报文 description LAN_Gateway#interface Ten-GigabitEthernet0/0.102/VLAN102的网关 vlan-type dot1q vid 102/接收vlan标签为102的报文 description DMZ_Gateway#interface Ten-GigabitEthernet0/0.103/VLAN103的网关 nat outbound 3000/配置NAT访问Internetnat server protocol tcp global 192.168.103.3 www inside 192.168.102.2 www/配置

27、内部WWW服务器vlan-type dot1q vid 103/接收vlan标签为103的报文 description WAN#(2) Web页面配置将接口Ten-GigabitEthernet0/0.101、Ten-GigabitEthernet0/0.102和Ten-GigabitEthernet0/0.103分别添加到Trust、DMZ和Untrust域.注意：子接口所属VLAN无需配置,也无法配置.在ten-g0/0.3接口上,配置Easy-IP方式的NAT Outbound,用于PC1访问Internet在ten-g0/0.3接口上,配置NAT Server以协议为例配置Web服务器

28、地址对象,注意IP地址为NAT Server映射的inside地址.配置面向对象ACL允许Untrust访问DMZ区的Web服务器3. 工作流程内网PC将网关指向Secblade II上的三层子接口.带相应vlan tag的报文经S9500的10GE口trunk发送到SecBlade II的相应子接口,终结VLAN.报文在SecBlade II各子接口间进行路由转发时候触发域间的面向对象ACL.5.2.2 三层VLAN虚接口方式1. 组网图PC1、PC2、PC3分别属于VLAN101、VLAN102、VLAN103,在SecBlade上创建三个VLAN虚接口vlan-interface 101

29、、vlan-interface 102、vlan-interface 103,配置IP地址作为S9500上的VLAN101、VLAN102、VLAN103的网关.2. SecBlade的配置(1) 命令行配置#acl number 3000/用于PC1 NAT访问Internet rule 5 deny ip#vlan 1#vlan 101 to 103/创建相应VLAN#interface Vlan-interface101/VLAN101的网关 description LAN_Gateway#interface Vlan-interface102/VLAN102的网关 descriptio

30、n DMZ_Gateway#interface Vlan-interface103/VLAN103的网关 description WAN nat outbound 3000/配置NAT访问Internet nat server protocol tcp global 192.168.103.3 www inside 192.168.102.2 www/配置WWW内部服务器#interface Ten-GigabitEthernet0/0port link-mode bridge/10G接口工作在桥模式 port link-type trunk undo port trunk permit vl

31、an 1 port trunk permit vlan 101 to 103/接收vlan报文#(2) WEB配置将接口Ten-GigabitEthernet0/0所属VLAN101和Vlan-interface 101添加到Trust域；同样将Ten-GigabitEthernet0/0所属VLAN102和Vlan-interface 102添加到DMZ域；将Ten-GigabitEthernet0/0所属VLAN103和Vlan-interface 103分别添加到Untrust域.注意：在VLAN虚接口方式下,配置安全区域时,除了添加相应vlan-interface外,必须添加10GE接

32、口所属VLAN.配置Easy-IP方式的NAT Outbound配置NAT Server以协议为例配置Web服务器地址对象配置面向对象ACL允许从Untrust访问DMZ的Web服务3. 工作流程内网PC将网关指向Secblade II上的三层VLAN虚接口.带相应vlan tag的报文经S9500的10GE口trunk发送到SecBlade II的相应子接口,终结到相应的VLAN Interface.报文在SecBlade II各VLAN虚接口间进行路由转发时候触发域间的面向对象ACL.6 MCE典型应用配置6.1 组网需求MGBP-MPLS VPN组网,S95交换机作为PE,SecBlad

33、e II作为MCE为每个VPN实例提供安全业务.组网示意图如下：S9500上有个vpn-instance test,图中VLAN30下用户属于该VPN实例,SecBladeII划分虚拟设备,各虚拟设备作为MCE单独处理VPN实例的报文,实现VPN实例内的安全过滤.6.2 配置方法(1) SecBlade II与95交换机连接的10GE口划分三层子接口XGE0/0.30,并绑定相应的vpn实例,提供vpn实例VLAN30的三层终结.对每个vpn实例,各自创建一个三层子接口,SecBlade II利用这个三层子接口把收到的各个vpn实例的数据转发给95交换机.(2) SecBlade II可以根据

34、实际情况选择运行OSPF多实例,交换私网路由,并发布到mbgp中去.(3) SecBlade II可以针对每个vpn实例创建相应的虚拟设备,这样每个vpn实例可以独立设计安全策略,攻击防范设置等安全业务.6.2.1 S9500的配置# PE的公网接口,使能mplsinterface Vlan-interface20 mpls mpls ldp# 95交换机和SecBlade II进行vpn实例test数据交互的三层接口interface Vlan-interface4000 description to-SecBlade II ip binding vpn-instance test# 95交

35、换机和SecBlade II连接的10GE口,设置为trunkinterface Ten-GigabitEthernet2/1/1 port link-type trunk port trunk permit vlan all# mbgp配置bgp 65411 undo synchronization group inpeer internal peer 10.65.13.1 group inpeer peer 10.65.13.3 group inpeer # ipv4-family vpnv4 peer inpeer enable peer 10.65.13.1 enable peer 1

36、0.65.13.1 group inpeer peer 10.65.13.3 enable peer 10.65.13.3 group inpeer # ipv4-family vpn-instance jt import-route direct import-route static # ipv4-family vpn-instance test import-route direct import-route static# 公网运行ospfospf 16.2.2 SecBlade II的配置1. 命令行配置：# SecBlade II的10GE口,和95交换机连接interface T

37、en-GigabitEthernet0/0 port link-mode route# 三层子接口,提供vpn实例test的三层终结interface Ten-GigabitEthernet0/0.30 vlan-type dot1q vid 30ip binding vpn-instance test# 三层子接口,SecBlade II利用这个三层子接口把收到的vpn实例test的数据转发给95交换机interface Ten-GigabitEthernet0/0.4000 vlan-type dot1q vid 4000ip binding vpn-instance test# 2. W

38、EB配置：(1) 创建虚拟设备test,系统管理虚拟设备管理虚拟设备配置创建.(2) 把绑定vpn实例test的三层子接口g0/0.30、g0/0.4000加入虚拟设备test,系统管理虚拟设备管理接口成员.(3) 虚拟设备test上创建两个安全域test_unstrust、test_trust,级别分别为25、100,系统管理安全区域管理创建.(4) 把三层子接口g0/0.30和g0/0.4000加入test_untrust、test_trust,系统管理安全区域管理,对test_untrust和test_trust两个区域进行操作,分别将接口加入. 这样,就可以在虚拟设备test里面单独对

39、g0/0.30和g0/0.4000进行安全管理了.6.3 工作流程SecBlade II上的10GE三层子接口XGE0/0.30和XGE0/0.4000,95交换机上的vlan-interface4000都绑定vpn实例test.vpn实例test的私网报文通过95交换机Vlan 30的接口进入,通过交换机上的10GE口trunk二层转发到SecBlade II的10GE的三层子接口XGE0/0.30上.SecBlade II再通过10GE的三层子接口XGE0/0.4000把报文转发回95交换机.95交换机根据私网路由打上mpls外网标签和私网标签发送出去.7 自带GE口的业务应用SecBla

40、deII采用GE口单独运行业务,相当于一个独立的防火墙,不保护S9500的数据.此功能可以和上面保护S9500报文组网方式一起使用.7.1 inline转发7.1.1 组网需求图10 inline转发组网图如图,要求SecBladeII作为透明模式,将从g0/3收到的报文通过g0/4转发出去,同时,将g0/4收到的报文从g0/3口转发.7.1.2 典型配置(1) 将g0/3和g0/4接口改成二层方式,以g0/3为例,系统管理接口管理,选择g0/3,操作修改,将工作模式改成二层模式.(2) 进入WEB管理界面后,单击网络管理InlineInline转发,配置策略ID为1,将端口GigabitEt

41、hernet0/3和GigabitEthernet0/4设置为同一转发组.(3) 将GigabitEthernet0/3加入trust安全域,将GigabitEthernet0/4加入untrust安全域；7.1.3 工作流程配置inline转发后,报文的转发不再根据MAC表进行,配置在的同一组的一对接口,直接相互转发.7.2 普通防火墙应用SecBladeII可以利用自带的4个GE口,当成独立的防火墙使用.插卡面板上的4个 GE口也可以进行二三层的转发,可以设置为二层端口,进行二层转发或者配合interface vlan接口进行路由,也可以设置为三层端口,进行三层转发.但对于Secblade

42、II 插卡,不推荐这样组网.相关的组网需求与配置可参见F1000E相关文档.8 SecBladeII的基本维护8.1 版本维护8.1.1 设置设备启动时加载的版本boot-loader file f1000e.bin main /设置启动的应用程序文件名 This command will set the boot file. Continue? Y/N:y dis boot-loader /显示启动的应用程序文件名 The boot file used this time:cfa0:/f1000e.bin attribute: main The boot file used next tim

43、e:cfa0:/f1000e.bin attribute: main The boot file used next time:cfa0:/F1000E.BIN attribute: backup 8.1.2 下载版本到CF卡可以在命令行下,通过TFTP、FTP两种方式下载版本到SecBladeII的CF卡,SecBladeII作为client,PC作为server.以TFTP为例：1. 搭建升级环境l SecBlade II防火墙作为TFTP Client,PC作为TFTP Server.l 用以太网线将SecBlade II防火墙的管理口g0/1和PC相连.l 配置Client和Serve

44、r的IP地址为同一网段.本例中：设置ServerPC的IP地址为192.168.0.1；设置Client的IP地址为192.168.0.10.设置完成后可以使用ping命令来检验两端是否连接成功.2. 下载版本tftp 192.168.0.10 get f1000e.bin f1000e.binThe file main.bin exists. Overwrite it? Y/N:yVerifying server file. Deleting the old file, please wait. File will be transferred in binary modeDownloading file from remote TFTP server, please wait.|TFTP: 10867848bytes received in 512.615 secondFile downloaded successfully.8.1.3 重启设备 设备将重新加载f1000e.bin,新版本生效.8.2 配置维护8.2.1 配置文件组成配置文件均保存在CFA0:/中,现有配置文件包括如下两个部分,