為幫助我們更好的理解華為HCNA/HCNP認(rèn)證課程的知識(shí)，更好的掌握華為ICT相關(guān)產(chǎn)品的配置與管理，華為提供了一款免費(fèi)的，界面友好，操作簡(jiǎn)單，具備極高仿真度的設(shè)備模擬器——eNSP(Enterprise Network Simulation Platform)，不僅可以模擬單臺(tái)設(shè)備的特性操作，還能夠組網(wǎng)進(jìn)行實(shí)戰(zhàn)演練。

eNSP是圖形化網(wǎng)絡(luò)仿真平臺(tái)，該平臺(tái)通過對(duì)真實(shí)網(wǎng)絡(luò)設(shè)備的仿真模擬，幫助廣大ICT從業(yè)者和客戶快速熟悉華為數(shù)通系列產(chǎn)品，了解并掌握相關(guān)產(chǎn)品的操作和配置、提升對(duì)企業(yè)ICT網(wǎng)絡(luò)的規(guī)劃、建設(shè)、運(yùn)維能力，從而幫助企業(yè)構(gòu)建更高效，更優(yōu)質(zhì)的企業(yè)ICT網(wǎng)絡(luò)。

本次實(shí)驗(yàn)使用華為eNSP版本V100R002C00B510，實(shí)驗(yàn)內(nèi)容參考華為認(rèn)證課程HCNA-Security的實(shí)驗(yàn)手冊(cè)。

（二）實(shí)驗(yàn)?zāi)康?/h3>

1. 掌握VRP的命令行操作。
2. 掌握導(dǎo)入U(xiǎn)SG6000V鏡像的方法。
3. 掌握配置防火墻USG6000V的操作方法。

（三）實(shí)驗(yàn)條件

1. 一臺(tái)CPU支持VT技術(shù)，內(nèi)存4GB以上的計(jì)算機(jī)；
2. 安裝eNSP模擬器B510版，導(dǎo)入U(xiǎn)SG6000V鏡像；
3. 終端工具：telnet，SecuretyCRT，Putty，XShell等。

（四）網(wǎng)絡(luò)地址及拓樸結(jié)構(gòu)

打開ENSP軟件，按如下拓樸圖創(chuàng)建實(shí)驗(yàn)環(huán)境，
設(shè)置地址:

1. Ctrl地址，192.168.0.0/24；
2. LAN地址，192.168.10.0/24；
3. WAN地址，10.1.1.0/24；
4. DMZ地址，10.10.10.0/24。

配置要求：

1. LAN可以訪問WAN,DMZ;
2. WAN可以訪問DMZ,不能訪問LAN。

實(shí)驗(yàn)拓樸圖

（五）配置思路

1. 根據(jù)拓樸圖，設(shè)置外圍設(shè)備PC1,Srv,AR1,Cloud1的IP信息。
2. 設(shè)置防火墻各個(gè)接口的IP,安全區(qū)域。
3. 設(shè)置路由協(xié)議。
4. 設(shè)置安全策略。

（六）配置步驟

1. 用eNSP構(gòu)建華為的實(shí)驗(yàn)環(huán)境：

華為模擬器ENSP,是Enterprise Network Simulation Platform（企業(yè)網(wǎng)絡(luò)仿真平臺(tái)）的英文簡(jiǎn)稱，是一款由華為提供的免費(fèi)的、可擴(kuò)展的、圖形化操作的網(wǎng)絡(luò)仿真工具平臺(tái)，能夠在沒有真實(shí)設(shè)備的情況下模擬演練，學(xué)習(xí)華為的網(wǎng)絡(luò)通信技術(shù)。eNSP可是在華為的官網(wǎng)下載，目前最新的版本是V100R002C00B510，如下圖：

eNSP V100R002C00B510

安裝時(shí)要注意，必須同時(shí)安裝WinPcap,Wireshark,VirtualBox三個(gè)軟件，才能正常使用：

安裝ENSP

使用USG6000V，還要求CPU支持VT技術(shù)，并且在計(jì)算機(jī)的BIOS里，將“Intel (R) Virtualization Technology”設(shè)置為“Enabled”：

計(jì)算機(jī)開啟VT技術(shù)

首次使用USG6000V時(shí)，要求導(dǎo)入U(xiǎn)SG6000V鏡像，鏡像文件在官網(wǎng)下載并解壓：

導(dǎo)入U(xiǎn)SG6000V鏡像

2. 配置PC1的網(wǎng)絡(luò)信息：

PC1的網(wǎng)絡(luò)信息

3.配置Srv的網(wǎng)絡(luò)信息：

SRV服務(wù)器的網(wǎng)絡(luò)信息

4. 配置AR1的網(wǎng)絡(luò)信息，通過CLI配置：

    <Huawei>system-view     //進(jìn)入管理視圖
    [Huawei]sysname AR1     //修改路由器的設(shè)備名稱
    [AR1]interface GigabitEthernet 0/0/0    //進(jìn)入接口視圖
    [AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24        //配置接口IP
    [AR1-GigabitEthernet0/0/0]quit      //返回系統(tǒng)視圖
    [AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1       //配置默認(rèn)路由
    [AR1]quit       //返回用戶視圖
    <AR1>save       //保存配置

5. 配置Cloud1的網(wǎng)絡(luò)信息：

為實(shí)現(xiàn)真實(shí)環(huán)境與模擬設(shè)備的連接，可通過eNSP工具中的云朵，把各種網(wǎng)絡(luò)技術(shù)連接起來的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，目前可實(shí)現(xiàn)的功能包括：仿真設(shè)備之間建立映射關(guān)系、綁定網(wǎng)卡與仿真設(shè)備之間進(jìn)行通信，以及通過開放UDP端口方式與外部程序進(jìn)行通信。
由于USG6000V的接口GE 0/0/0 默認(rèn)IP是192.168.0.1，為便于連接，先在真實(shí)計(jì)算機(jī)上通過VirtualBox全局設(shè)置，創(chuàng)建一個(gè)新的Host-Onley網(wǎng)卡，并設(shè)置IP為192.168.0.2/24（注意，要重啟計(jì)算機(jī)后，才能被云朵識(shí)別到新增加的網(wǎng)卡。）切記！切記！切記！先保存再重啟。

新增Host-Onley網(wǎng)卡#2

下面將介紹在仿真設(shè)備之間建立映射關(guān)系的使用方法：
(1) 向工作區(qū)中添加“云朵“。
(2) 雙擊“云朵”圖標(biāo)，打開“云朵”配置界面。

云朵配置

至此，物理實(shí)體計(jì)算機(jī)已經(jīng)能連接eNSP模擬器中的USG6000V防火墻：

實(shí)體計(jì)算機(jī)PING通USG6000V

6.配置USG6000V

打開USG6000V的CLI配置界面，首次登錄，要求設(shè)置密碼，本次實(shí)驗(yàn)的密碼設(shè)為"admin@123"

設(shè)置USG600V登錄密碼

以下是用命令行配置USG6000V的過程：

    <USG6000V1>
    <USG6000V1>system-view      //進(jìn)入管理視圖
    [USG6000V1]sysname FW1      //修改防火墻的設(shè)備名稱
    [FW1]info-center disable    //關(guān)閉信息提示
    [FW1]interface GigabitEthernet 1/0/1        //進(jìn)入接口配置
    [FW1-GigabitEthernet1/0/1]ip address 192.168.10.1 24    //設(shè)置IP及子網(wǎng)
    [FW1-GigabitEthernet1/0/1]service-manage ping permit    //此接口允許PING通過
    [FW1-GigabitEthernet1/0/1]quit      //退出接口配置
    [FW1]interface GigabitEthernet 1/0/2
    [FW1-GigabitEthernet1/0/2]ip address 10.10.10.1 24
    [FW1-GigabitEthernet1/0/2]service-manage ping permit 
    [FW1-GigabitEthernet1/0/2]quit
    [FW1]interface GigabitEthernet 1/0/3
    [FW1-GigabitEthernet1/0/3]ip address 10.1.1.1 24
    [FW1-GigabitEthernet1/0/3]service-manage ping permit 
    [FW1-GigabitEthernet1/0/3]quit
    [FW1]
    [FW1]firewall zone trust        //進(jìn)入安全域配置
    [FW1-zone-trust]add interface GigabitEthernet 1/0/1  //把接口加入到該安全域中
    [FW1-zone-trust]quit    //退出安全域配置
    [FW1]firewall zone dmz 
    [FW1-zone-dmz]add interface GigabitEthernet 1/0/2
    [FW1-zone-dmz]quit
    [FW1]firewall zone untrust 
    [FW1-zone-untrust]add interface GigabitEthernet 1/0/3
    [FW1-zone-untrust]quit
    [FW1]
    [FW1]security-policy        //進(jìn)入安全策略配置
    [FW1-policy-security]rule name lan_wan_dmz  //創(chuàng)建名為lan_wan_dmz的策略規(guī)則
    [FW1-policy-security-rule-lan_wan_dmz]source-zone trust //策略中的源安全域
    [FW1-policy-security-rule-lan_wan_dmz]destination-zone dmz //策略中的目標(biāo)安全域
    [FW1-policy-security-rule-lan_wan_dmz]destination-zone untrust
    [FW1-policy-security-rule-lan_wan_dmz]action permit     //啟動(dòng)策略規(guī)則
    [FW1-policy-security-rule-lan_wan_dmz]quit  //退出策略規(guī)則
    [FW1-policy-security]rule name wan_dmz
    [FW1-policy-security-rule-wan_dmz]source-zone untrust 
    [FW1-policy-security-rule-wan_dmz]destination-zone dmz 
    [FW1-policy-security-rule-wan_dmz]action permit 
    [FW1-policy-security-rule-wan_dmz]quit
    [FW1-policy-security]quit
    [FW1]
    [FW1]ip route-static 192.168.10.0 24 192.168.10.2   //配置到LAN的靜態(tài)路由
    [FW1]ip route-static 10.10.10.0 24 10.10.10.2   //配置到DMZ的靜態(tài)路由
    [FW1]ip route-static 10.1.1.0 24 10.1.1.2   //配置到WAN的靜態(tài)路由
    [FW1]
    [FW1]quit       //退出系統(tǒng)視圖
    <FW1>save       //保存系統(tǒng)配置

7. 訪問測(cè)試

(1) 用 PC1 ping AR1，Srv的IP，結(jié)果如下圖

內(nèi)網(wǎng)訪問結(jié)果

(2) 用 AR1 ping Srv，PC1的IP，結(jié)果如下圖

外網(wǎng)訪問結(jié)果

（七）參考資料

華為模擬器eNSP軟件，
華為模擬器eNSP社區(qū)，
HCNA-Security 華為認(rèn)證網(wǎng)絡(luò)安全工程師，
HCNP-Security 華為認(rèn)證網(wǎng)絡(luò)安全資深工程師，
HUAWEI USG6000V V500R001C10SPC100 典型配置案例，
HUAWEI USG6000V V500R001C10SPC100 管理員指南，
HUAWEI USG6000V V500R001C10SPC100 命令參考 ，
華為ICT相關(guān)的英文簡(jiǎn)稱 。

PS:
文檔由燉冬瓜用Markdown語言編寫，輸出PDF或HTML。
燉冬瓜 一枚混跡IT江湖十幾載的吃貨，好吃懶動(dòng)，成功的從絲瓜進(jìn)階為冬瓜。