华为 USG6000E-S 防火墙调试方法
一、Console 接入调试
1. 物理连接
- 接口类型:RJ45 Console 口(前面板标注"Console")
- 线缆:标配 Console 线(RJ45 → DB9),如无串口需 USB 转串口适配器
- 参数设置:波特率 115200,数据位 8,停止位 1,无校验,无流控
2. 登录
- 默认用户名/密码:
admin /Admin@123 - 首次登录:V600R007C20 及以上版本首次需注册激活(联系华为获取 License)
- 认证模式切换:V600R007C20+ 输入密码后可能需要选择认证域,默认认证域 default
二、CLI 命令行调试常用命令
1. 基本信息查看
<USG> display version # 系统版本、启动时间、补丁信息
<USG> display device # 硬件设备信息
<USG> display memory # 内存使用率
<USG> display cpu-usage # CPU使用率
<USG> display logbuffer # 日志缓冲
2. 接口与配置查看
<USG> display interface brief # 所有接口状态概览
<USG> display ip interface brief # 三层接口IP地址
<USG> display current-configuration # 当前运行配置
<USG> display saved-configuration # 保存的配置
3. 路由与转发
<USG> display ip routing-table # IPv4路由表
<USG> display fib # 转发信息表
<USG> display firewall session table # 会话表(并发连接数)
4. 安全策略检查
<USG> display security-policy rule all # 所有安全策略规则
<USG> display traffic-policy # 流量策略
<USG> display nat-policy # NAT策略
5. 故障诊断
<USG> display packet-drop # 丢包统计
<USG> display logbuffer # 系统日志
<USG> display trapbuffer # Trap告警
6. 诊断视图(高级调试)
<USG> system-view # 进入系统视图
[USG] diagnose # 进入诊断视图
[USG-diagnose] debugging arp packet # ARP包调试
[USG-diagnose] debugging ip packet # IP包调试
[USG-diagnose] debugging firewall packet # 防火墙包调试
[USG-diagnose] debugging nat packet # NAT包调试
[USG-diagnose] debugging ike # IKE/IPsec调试
[USG-diagnose] terminal debugging # 终端输出调试信息
[USG-diagnose] terminal monitor # 终端监控输出
[USG-diagnose] undo debugging all # 关闭所有调试开关
⚠️ 开启 debugging 会消耗 CPU 资源,生产环境慎用,调试完毕后及时关闭
三、远程抓包(Web 界面)
前提条件
MGMT 口已配置 IP 且可达,已通过 HTTPS 登录 Web 管理界面(默认 https://192.168.0.1:8443)
操作步骤
- 登录 Web 界面 → 监控 → 报文捕获
- 点击新建设置抓包条件:接口、协议(TCP/UDP/ICMP)、源/目的 IP、报文数量(建议 100~500)
- 点击开始捕获
- 导出为 .cap 文件,可用 Wireshark 分析
CLI 远程抓包
<USG> firewall packet-capture start # 开始抓包
<USG> firewall packet-capture stop # 停止抓包
<USG> firewall packet-capture export cap # 导出抓包文件
四、日志采集
1. 本地日志查看
<USG> display logbuffer reverse # 最新日志优先显示
<USG> display logbuffer level 3 # 只看错误级日志(3=Error)
<USG> display logbuffer size 200 # 显示最近200条
2. Syslog 远程日志
[USG] info-center enable
[USG] info-center loghost 192.168.x.x # 指定日志服务器IP
[USG] info-center source default channel loghost log level warning
3. Micro SD 卡日志(适用于有 SD 卡槽的型号)
插入 Micro SD 卡后自动记录调试日志,日志文件位于 SD 卡根目录 log/ 文件夹,即插即用。
五、硬件复位与密码恢复
1. 硬件复位(恢复出厂设置)
前面板标注 RST 的复位孔,用回形针按住 5 秒以上,所有配置清空重启恢复到出厂状态(复位前请确认已备份配置)。
2. 忘记密码 - BootROM 重置
通过 Console 口进入 BootROM 菜单重置密码:
- Console 线连接好(115200-8-N-1)
- 重新上电,3 秒内按 Ctrl+B 进入 BootROM
- 输入 BootROM 密码 O&m15213(注意大小写)
- 选择 Reset Factory Configuration 或 Clear Password
- 重启后默认密码 admin/Admin@123
3. 配置备份
<USG> display current-configuration # 查看配置
<USG> save # 保存配置
<USG> copy startup.cfg backup.cfg # 备份启动配置
六、MGMT 管理口默认参数
| 参数 | 默认值 |
|---|---|
| IP 地址 | 192.168.0.1/24 |
| Web 端口 | 8443 |
| 默认用户名 | admin |
| 默认密码 | Admin@123 |
| 默认开启 | ✅ 默认开启,上电即可管理 |
⚠️ MGMT 口需将 PC 设置为同网段(如 192.168.0.100/24)才能访问。
参考资料
- 华为 USG6000E 系列 V600R007C20 及以上版本 CLI 通用
- 诊断视图
diagnose 需要在system-view下输入 - 远程调试建议使用 MGMT 口 Web 界面(更安全方便)
- 生产环境不建议长时间开启 debugging,用完即关