华为防火墙配置1「USG6000V基本配置」

（一）实验简介

“工欲善其事，必先利其器。”

为帮助我们更好的理解华为HCNA/HCNP认证课程的知识，更好的掌握华为ICT相关产品的配置与管理，华为提供了一款免费的，界面友好，操作简单，具备极高仿真度的设备模拟器——eNSP(Enterprise Network Simulation Platform)，不仅可以模拟单台设备的特性操作，还能够组网进行实战演练。

eNSP是图形化网络仿真平台，该平台通过对真实网络设备的仿真模拟，帮助广大ICT从业者和客户快速熟悉华为数通系列产品，了解并掌握相关产品的操作和配置、提升对企业ICT网络的规划、建设、运维能力，从而帮助企业构建更高效，更优质的企业ICT网络。

本次实验使用华为eNSP版本V100R002C00B510，实验内容参考华为认证课程HCNA-Security的实验手册。

（二）实验目的

1. 掌握VRP的命令行操作。
2. 掌握导入USG6000V镜像的方法。
3. 掌握配置防火墙USG6000V的操作方法。

（三）实验条件

1. 一台CPU支持VT技术，内存4GB以上的计算机；
2. 安装eNSP模拟器B510版，导入USG6000V镜像；
3. 终端工具：telnet，SecuretyCRT，Putty，XShell等。

（四）网络地址及拓朴结构

打开ENSP软件，按如下拓朴图创建实验环境，
设置地址:

1. Ctrl地址，192.168.0.0/24；
2. LAN地址，192.168.10.0/24；
3. WAN地址，10.1.1.0/24；
4. DMZ地址，10.10.10.0/24。

配置要求：

1. LAN可以访问WAN,DMZ;
2. WAN可以访问DMZ,不能访问LAN。

实验拓朴图

（五）配置思路

1. 根据拓朴图，设置外围设备PC1,Srv,AR1,Cloud1的IP信息。
2. 设置防火墙各个接口的IP,安全区域。
3. 设置路由协议。
4. 设置安全策略。

（六）配置步骤

1. 用eNSP构建华为的实验环境：

华为模拟器ENSP,是Enterprise Network Simulation Platform（企业网络仿真平台）的英文简称，是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台，能够在没有真实设备的情况下模拟演练，学习华为的网络通信技术。eNSP可是在华为的官网下载，目前最新的版本是V100R002C00B510，如下图：

eNSP V100R002C00B510

安装时要注意，必须同时安装WinPcap,Wireshark,VirtualBox三个软件，才能正常使用：

安装ENSP

使用USG6000V，还要求CPU支持VT技术，并且在计算机的BIOS里，将“Intel (R) Virtualization Technology”设置为“Enabled”：

计算机开启VT技术

首次使用USG6000V时，要求导入USG6000V镜像，镜像文件在官网下载并解压：

导入USG6000V镜像

2. 配置PC1的网络信息：

PC1的网络信息

3.配置Srv的网络信息：

SRV服务器的网络信息

4. 配置AR1的网络信息，通过CLI配置：

    <Huawei>system-view     //进入管理视图
    [Huawei]sysname AR1     //修改路由器的设备名称
    [AR1]interface GigabitEthernet 0/0/0    //进入接口视图
    [AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24        //配置接口IP
    [AR1-GigabitEthernet0/0/0]quit      //返回系统视图
    [AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1       //配置默认路由
    [AR1]quit       //返回用户视图
    <AR1>save       //保存配置

5. 配置Cloud1的网络信息：

为实现真实环境与模拟设备的连接，可通过eNSP工具中的云朵，把各种网络技术连接起来的计算机网络环境，目前可实现的功能包括：仿真设备之间建立映射关系、绑定网卡与仿真设备之间进行通信，以及通过开放UDP端口方式与外部程序进行通信。
由于USG6000V的接口GE 0/0/0 默认IP是192.168.0.1，为便于连接，先在真实计算机上通过VirtualBox全局设置，创建一个新的Host-Onley网卡，并设置IP为192.168.0.2/24（注意，要重启计算机后，才能被云朵识别到新增加的网卡。）切记！切记！切记！先保存再重启。

新增Host-Onley网卡#2

下面将介绍在仿真设备之间建立映射关系的使用方法：
(1) 向工作区中添加“云朵“。
(2) 双击“云朵”图标，打开“云朵”配置界面。

云朵配置

至此，物理实体计算机已经能连接eNSP模拟器中的USG6000V防火墙：

实体计算机PING通USG6000V

6.配置USG6000V

打开USG6000V的CLI配置界面，首次登录，要求设置密码，本次实验的密码设为"admin@123"

设置USG600V登录密码

以下是用命令行配置USG6000V的过程：

    <USG6000V1>
    <USG6000V1>system-view      //进入管理视图
    [USG6000V1]sysname FW1      //修改防火墙的设备名称
    [FW1]info-center disable    //关闭信息提示
    [FW1]interface GigabitEthernet 1/0/1        //进入接口配置
    [FW1-GigabitEthernet1/0/1]ip address 192.168.10.1 24    //设置IP及子网
    [FW1-GigabitEthernet1/0/1]service-manage ping permit    //此接口允许PING通过
    [FW1-GigabitEthernet1/0/1]quit      //退出接口配置
    [FW1]interface GigabitEthernet 1/0/2
    [FW1-GigabitEthernet1/0/2]ip address 10.10.10.1 24
    [FW1-GigabitEthernet1/0/2]service-manage ping permit 
    [FW1-GigabitEthernet1/0/2]quit
    [FW1]interface GigabitEthernet 1/0/3
    [FW1-GigabitEthernet1/0/3]ip address 10.1.1.1 24
    [FW1-GigabitEthernet1/0/3]service-manage ping permit 
    [FW1-GigabitEthernet1/0/3]quit
    [FW1]
    [FW1]firewall zone trust        //进入安全域配置
    [FW1-zone-trust]add interface GigabitEthernet 1/0/1  //把接口加入到该安全域中
    [FW1-zone-trust]quit    //退出安全域配置
    [FW1]firewall zone dmz 
    [FW1-zone-dmz]add interface GigabitEthernet 1/0/2
    [FW1-zone-dmz]quit
    [FW1]firewall zone untrust 
    [FW1-zone-untrust]add interface GigabitEthernet 1/0/3
    [FW1-zone-untrust]quit
    [FW1]
    [FW1]security-policy        //进入安全策略配置
    [FW1-policy-security]rule name lan_wan_dmz  //创建名为lan_wan_dmz的策略规则
    [FW1-policy-security-rule-lan_wan_dmz]source-zone trust //策略中的源安全域
    [FW1-policy-security-rule-lan_wan_dmz]destination-zone dmz //策略中的目标安全域
    [FW1-policy-security-rule-lan_wan_dmz]destination-zone untrust
    [FW1-policy-security-rule-lan_wan_dmz]action permit     //启动策略规则
    [FW1-policy-security-rule-lan_wan_dmz]quit  //退出策略规则
    [FW1-policy-security]rule name wan_dmz
    [FW1-policy-security-rule-wan_dmz]source-zone untrust 
    [FW1-policy-security-rule-wan_dmz]destination-zone dmz 
    [FW1-policy-security-rule-wan_dmz]action permit 
    [FW1-policy-security-rule-wan_dmz]quit
    [FW1-policy-security]quit
    [FW1]
    [FW1]ip route-static 192.168.10.0 24 192.168.10.2   //配置到LAN的静态路由
    [FW1]ip route-static 10.10.10.0 24 10.10.10.2   //配置到DMZ的静态路由
    [FW1]ip route-static 10.1.1.0 24 10.1.1.2   //配置到WAN的静态路由
    [FW1]
    [FW1]quit       //退出系统视图
    <FW1>save       //保存系统配置

7. 访问测试

(1) 用 PC1 ping AR1，Srv的IP，结果如下图

内网访问结果

(2) 用 AR1 ping Srv，PC1的IP，结果如下图

外网访问结果

（七）参考资料

华为模拟器eNSP软件，
华为模拟器eNSP社区，
HCNA-Security 华为认证网络安全工程师，
HCNP-Security 华为认证网络安全资深工程师，
HUAWEI USG6000V V500R001C10SPC100 典型配置案例，
HUAWEI USG6000V V500R001C10SPC100 管理员指南，
HUAWEI USG6000V V500R001C10SPC100 命令参考 ，
华为ICT相关的英文简称 。

---

PS:
文档由炖冬瓜用Markdown语言编写，输出PDF或HTML。
炖冬瓜 一枚混迹IT江湖十几载的吃货，好吃懒动，成功的从丝瓜进阶为冬瓜。