acg1000-BE配置备份和升级

可以，也可以通过web备份配置文件的。

ACG1000-BE 配置备份、特征库升级回退、外网端口映射故障 完整解答
一、问题 1：CRT 导出配置文本 = 完整备份？Web 配置是否全部包含？
结论
纯 CRT 复制 display current-configuration 文本 ≠ 完整备份，存在风险，Web 页面大部分业务配置会包含，但证书、本地用户、日志文件、特征库、系统补丁、设备文件、隐藏参数不会导出。
1. 两种备份方式对比
方式 1：命令行复制文本（你当前做法）
包含：接口、路由、NAT、策略、域、QoS、审计、基础功能命令行配置；
缺失：
Web 本地账号 / 密码、SSL 证书、导入的密钥文件；
日志文件、本地缓存、黑名单、黑白名单库；
特征库版本、补丁包、自定义模板、页面定制文件；
部分 Web 专属可视化配置（少数后台非命令行参数）。
适用：应急看配置、核对参数，不能当作故障恢复唯一备份。
方式 2：标准完整备份（推荐，恢复首选）
ACG1000-BE（V7）支持 配置文件整机备份（Web + 命令行双方式），备份文件为 .cfg，包含全量配置 + Web 数据 + 账号 + 证书，故障可一键恢复。
（1）Web 界面完整备份（最直观）
登录设备 Web 管理页 → 系统 > 设备维护 > 配置文件管理
选择 备份当前配置，点击下载，将 .cfg 文件存到本地电脑；
建议命名：ACG1000-BE_全配置_日期.cfg。
（2）命令行完整备份（CRT 操作）
bash
运行
# 1. 先保存当前运行配置到设备存储
save

# 2. 把设备配置文件导出到 TFTP/FTP 服务器（推荐TFTP）
tftp 服务器IP put flash:/startup.cfg

# 3. 补充：导出日志/特征库相关文件（可选）
tftp 服务器IP put flash:/logfile/
备份建议
日常运维：优先下载 .cfg 配置文件（完整备份）；
额外再复制一份 display current-configuration 文本做对照；
重大变更（升级、改策略、改 NAT）前必须做完整备份。
二、问题 2：病毒库在线升级 + 提前回退方案（保留旧版、故障一键回滚）
当前病毒库：20170821，授权有效，目标：在线升级 + 预存回退版本，升级失败安全回滚。
核心说明
ACG1000 V7 自带 特征库自动备份 + 版本回退机制，升级前无需手动下载旧库，设备会自动保留上一可用版本，支持一键回退。
步骤 1：升级前检查（必做）
bash
运行
# 1. 确认IPS/AV授权有效
display license

# 2. 查看当前病毒库版本
display virus-database version

# 3. 测试连通升级服务器（必须通）
ping update.h3c.com

# 4. 确认DNS、NTP正常（时间错误会导致特征库校验失败）
display dns server
display clock
步骤 2：在线升级（两种方式）
方式 1：命令行在线升级
bash
运行
# 手动触发在线升级病毒库
virus-database update online

# 等待执行完成，查看升级进度
display virus-database update status
方式 2：Web 在线升级
系统 > 升级中心 > 特征库升级 → 找到防病毒库 → 点击「在线升级」。
步骤 3：回退方案（重点，升级失败 / 异常直接执行）
设备默认自动留存升级前的旧病毒库（20170821），两种回退方式：
1）命令行一键回退（推荐）
bash
运行
# 回退到【上一个版本】（就是你现在的20170821）
virus-database rollback previous

# 极端场景：回退到出厂默认库（慎用）
# virus-database rollback factory

# 回退后必须激活DPI引擎（关键，否则不生效）
inspect activate

# 验证版本是否回退成功
display virus-database version
2）Web 界面回退
系统 > 升级中心 > 特征库升级 → 防病毒库右侧点击 版本回退 → 选择「回退至上一版本」→ 确认，自动重载引擎。
额外兜底方案（网络差 / 在线升级失败）
如果在线升级不稳定，改用本地离线升级，提前下载新旧两个版本 bin 包：
官网下载：当前旧库 + 最新病毒库 .bin；
TFTP 上传到设备 flash；
本地升级：virus-database update file flash:/病毒库文件名.bin；
故障时直接加载旧 bin 包覆盖。
三、问题 3：外网端口映射（NAT Server）外网无法访问，内网正常
先梳理故障特征
内网访问映射地址：正常
公网 IP + 端口 外网访问：异常不通
历史正常，现在突然失效，典型为 NAT 策略、安全策略、会话、路由、端口冲突、黑名单 问题。
完整排查 + 修复步骤（按优先级执行）
1. 检查端口映射配置（NAT Server）
bash
运行
# 查看所有端口映射规则
display nat server

# 确认：公网IP、端口、内网IP、端口、协议 配置无误
# 标准示例（对照）：
nat server protocol tcp global 公网IP 外网端口 inside 内网IP 内网端口 no-reverse
常见错误：端口重复占用、协议写错（TCP/UDP）、no-reverse 缺失。
2. 检查域间安全策略（最常见原因）
端口映射流量：外网(outer) → 内网(inner)，必须有入方向安全策略放行。
bash
运行
# 查看安全策略
display security-policy ip

# 必须存在规则：源域outer、目的域inner、对应公网IP/端口、动作pass
# 参考正确配置：
security-policy ip
rule name WAN_to_LAN_Mapping
source-zone outer
destination-zone inner
destination-address 内网主机IP
service 对应端口
action pass
重点：很多人只配内网转外网策略，漏配外网进内网的映射策略。
3. 检查会话表 & 清空异常会话
长期运行会产生僵死会话，导致新流量无法转发：
bash
运行
# 查看映射会话
display session table destination 内网IP

# 清空所有会话（生产可执行，临时中断现有连接）
reset firewall session table
清空后外网重新测试访问。
4. 检查来回路由 & 源进源出
外网访问映射，必须保证回程流量也走 ACG1000：
bash
运行
# 查看公网路由、内网路由
display ip routing-table

# 外网接口开启 源进源出（不对称路由必开）
interface 外网接口
ip last-hop hold
5. 检查黑名单 / 攻击防护拦截
ACG1000 攻击防范、黑名单会封禁外网 IP：
bash
运行
# 查看黑名单
display blacklist

# 查看全局攻击日志、拦截日志
display logbuffer | include deny
display logbuffer | include blacklist
若外网 IP 被拉黑，删除黑名单：
bash
运行
undo blacklist ip 外网访问IP
6. 检查端口冲突 & 应用层拦截
同公网 IP 下多个映射共用同一个端口，冲突失效；
ASPF / 应用识别误拦截：临时关闭测试
bash
运行
undo aspf enable
7. 公网侧基础排查
运营商是否封禁该端口（尤其 80、443、22 等常用端口）；
上层防火墙 / 路由器是否做了二次拦截、ACL 限制。
四、总结 & 运维建议
配置备份
必须以 Web / 命令行导出 .cfg 完整配置 为主，文本配置为辅，变更前必备份。
病毒库升级
直接在线升级即可，设备自动保留旧版本，异常执行 virus-database rollback previous + inspect activate 回退。
端口映射故障
排查顺序：NAT 配置 → 外网入方向安全策略 → 僵死会话 → 黑名单 / 攻击拦截 → 源进源出 → 运营商端口封禁。

一、 关于通过 SecureCRT 会话日志备份配置的完整性

• Web 配置是否包含在内？
  是的。只要您在命令行（CLI）下执行了 display current-configuration 命令，导出的文本中会包含设备当前运行的所有配置，其中也涵盖了在 Web 界面上所做的配置更改。
• 为什么不建议仅用这种方式备份？
  使用 CRT 记录日志本质上只是抓取了终端屏幕的显示内容。这种方式容易夹杂多余的分页符（如 --More--）、命令提示符等干扰信息；且如果存在中文乱码或截断，可能导致配置文件损坏。
• 推荐的正确备份方法：
  建议直接登录 ACG1000-BE 的 Web 管理界面，进入 “系统管理 > 系统设定 > 配置文件”，将当前的完整配置文件导出并保存到本地电脑。这是最安全、标准的做法。若习惯使用 CLI，可使用 display current-configuration | no-more 配合 CRT 的“会话记录”功能来避免分页符干扰。

二、 病毒库在线升级与回退方案

1. 提前备份配置：在进行任何升级操作前，务必先通过上述 Web 界面导出并备份当前的配置文件，以防万一。
2. 确认 License 状态：确保设备的授权（License）处于有效状态。若未授权，将无法进行特征库的在线升级和云端查询功能。
3. 执行在线升级：在 Web 界面的 “系统管理 > 系统设定 > 系统升级” 中，您可以选择点击“立即升级”，或者勾选“定期升级”让设备自动从官方服务器拉取最新特征库。
4. 失败后的安全回退：如果在升级过程中出现网络中断导致升级失败，或者升级后发现误报率较高、业务异常，管理员可以直接在系统的升级页面将病毒特征库回滚到出厂版本或上一版本，从而保障业务的连续性。

三、 端口映射后外网无法访问 Web 界面的排错思路

1. 检查设备内部服务与策略：
   • 确认设备对应接口的 HTTPS/HTTP 服务权限是否被意外关闭，以及是否开启了相应的安全域服务类型。
   • 检查设备的安全策略或访问控制列表（ACL），确认是否有规则限制了特定管理 IP 的访问，或拦截了外部请求。
2. 检查浏览器与网络环境：
   • 首次登录时可能会有安全证书警告，需点击“高级 → 继续访问”。
   • 确认访问电脑的浏览器支持 TLS 1.2，且没有开启代理；同时临时关闭电脑本地的防火墙或杀毒软件进行测试。
3. 排查公网侧限制（最常见原因）：
   • 运营商端口封锁：出于安全合规要求，国内运营商通常会默认封锁 80、443、8080 等常用 Web 端口。如果您使用的是这些端口，请尝试将其修改为 10000~65535 之间的高位端口。
   • 公网 IP 变更：致电宽带运营商确认您的 WAN 口 IP 是否依然是公网 IP（非 100.64 开头的保留地址）。如果变成了动态内网 IP，端口映射将彻底失效，此时需改用内网穿透工具（如 FRP、花生壳等）。