华三F1000防火墙做配置转换，原来的防火墙是F1000，新防火墙是F1000-AI-90

一、先搞清楚：老 F1000 与 F1000-AI-90 的差异

• 老 F1000：多为 V5 或早期 V7（AK/S 系列），用 对象策略（object-policy）
• F1000-AI-90：V7 最新 AI 版本，默认用 安全策略（security-policy），兼容老配置但格式有差异
• 核心：老配置是对象策略，新设备主推安全策略，必须转换，否则策略不生效

二、最快方案：用「官方配置转换工具」（推荐）

1. 下载工具

• 华三官网 → 服务支持 → 产品支持 → 安全 → F1000-AI-90 → 工具软件 → 下载 「安全产品配置转换工具」H3C
• 作用：自动把老 F1000 的 .cfg 转成 AI-90 兼容格式，包括：
  • 对象策略 → 安全策略
  • 接口 / 域 / NAT / 路由 / 会话 / 黑名单等自动适配
  • 去掉老版本废弃命令

2. 操作步骤（Windows 图形化）

1. 老 F1000 上导出配置：
   plaintext

   <H3C> tftp 192.168.x.x put startup.cfg
   保存为 old_f1000.cfg
2. 打开转换工具 → 导入 old_f1000.cfg → 选择目标设备 F1000-AI-90 → 开始转换 → 生成 new_ai90.cfgH3C
3. 把 new_ai90.cfg 上传到 AI-90：
   plaintext

   <H3C> tftp 192.168.x.x get new_ai90.cfg <H3C> startup saved-configuration new_ai90.cfg <H3C> reboot

三、不用工具：命令行直接转换（适合少量配置）

1. 老设备导出配置

2. 上传到 AI-90 并执行转换

• 说明：
  • startup.cfg：上传的老配置
  • startup_ai90.cfg：转换后新配置
  • 重启后自动生效，策略全部转为安全策略

四、Web 界面导入（最简单，适合新手）

1. 老设备 Web → 系统 → 维护 → 配置文件 → 导出 → 保存为 old.cfg
2. AI-90 Web → 系统 → 维护 → 配置文件 → 上传 old.cfg → 点击 「配置转换」 → 自动转成安全策略 → 应用并重启

五、必须检查的 5 个点（避免翻车）

1. 版本匹配：AI-90 升级到 最新 V7 版本（如 8660P37+），否则老命令可能报错H3C
2. 接口名称：老 F1000 是 G1/0/1，AI-90 是 G1/0/1（一致，不用改）
3. 安全域：老 Trust/Untrust/DMZ 新设备完全兼容
4. NAT 策略：源 NAT / 目的 NAT 自动转换，无需手动改
5. License：AI-90 需要重新导入 对应 License（威胁检测 / URL 过滤等）

六、常见报错处理

• 报错：object-policy 不识别
  → 没做转换，必须用 security-policy switch-from 或工具转换
• 报错：版本不兼容
  → AI-90 升级到最新版本H3C
• 策略丢失
  → 转换前老配置必须 save 保存，不能用临时配置

七、总结（一句话）