（一）實驗簡介

“工欲善其事揪胃，必先利其器璃哟。”

為幫助我們更好的理解華為HCNA/HCNP認(rèn)證課程的知識只嚣，更好的掌握華為ICT相關(guān)產(chǎn)品的配置與管理沮稚，華為提供了一款免費的，界面友好册舞，操作簡單，具備極高仿真度的設(shè)備模擬器——eNSP(Enterprise Network Simulation Platform)障般，不僅可以模擬單臺設(shè)備的特性操作调鲸，還能夠組網(wǎng)進(jìn)行實戰(zhàn)演練。

eNSP是圖形化網(wǎng)絡(luò)仿真平臺挽荡，該平臺通過對真實網(wǎng)絡(luò)設(shè)備的仿真模擬藐石，幫助廣大ICT從業(yè)者和客戶快速熟悉華為數(shù)通系列產(chǎn)品，了解并掌握相關(guān)產(chǎn)品的操作和配置定拟、提升對企業(yè)ICT網(wǎng)絡(luò)的規(guī)劃于微、建設(shè)逗嫡、運維能力，從而幫助企業(yè)構(gòu)建更高效株依，更優(yōu)質(zhì)的企業(yè)ICT網(wǎng)絡(luò)驱证。

本次實驗使用華為eNSP版本V100R002C00B510，實驗內(nèi)容參考華為認(rèn)證課程HCNA-Security的實驗手冊恋腕。

（二）實驗?zāi)康?/h3>

1. 掌握VRP的命令行操作抹锄。
2. 掌握導(dǎo)入USG6000V鏡像的方法。
3. 掌握配置防火墻USG6000V的操作方法荠藤。

（三）實驗條件

1. 一臺CPU支持VT技術(shù)伙单，內(nèi)存4GB以上的計算機(jī)；
2. 安裝eNSP模擬器B510版哈肖，導(dǎo)入USG6000V鏡像吻育；
3. 終端工具：telnet，SecuretyCRT淤井，Putty扫沼，XShell等。

（四）網(wǎng)絡(luò)地址及拓樸結(jié)構(gòu)

打開ENSP軟件庄吼，按如下拓樸圖創(chuàng)建實驗環(huán)境缎除，
設(shè)置地址:

1. Ctrl地址，192.168.0.0/24总寻；
2. LAN地址器罐，192.168.10.0/24；
3. WAN地址渐行，10.1.1.0/24轰坊；
4. DMZ地址，10.10.10.0/24祟印。

配置要求：

1. LAN可以訪問WAN,DMZ;
2. WAN可以訪問DMZ,不能訪問LAN肴沫。

實驗拓樸圖

（五）配置思路

1. 根據(jù)拓樸圖，設(shè)置外圍設(shè)備PC1,Srv,AR1,Cloud1的IP信息蕴忆。
2. 設(shè)置防火墻各個接口的IP,安全區(qū)域颤芬。
3. 設(shè)置路由協(xié)議。
4. 設(shè)置安全策略套鹅。

（六）配置步驟

1. 用eNSP構(gòu)建華為的實驗環(huán)境：

華為模擬器ENSP,是Enterprise Network Simulation Platform（企業(yè)網(wǎng)絡(luò)仿真平臺）的英文簡稱站蝠，是一款由華為提供的免費的、可擴(kuò)展的卓鹿、圖形化操作的網(wǎng)絡(luò)仿真工具平臺菱魔，能夠在沒有真實設(shè)備的情況下模擬演練，學(xué)習(xí)華為的網(wǎng)絡(luò)通信技術(shù)吟孙。eNSP可是在華為的官網(wǎng)下載澜倦，目前最新的版本是V100R002C00B510聚蝶，如下圖：

eNSP V100R002C00B510

安裝時要注意，必須同時安裝WinPcap,Wireshark,VirtualBox三個軟件藻治，才能正常使用：

安裝ENSP

使用USG6000V碘勉，還要求CPU支持VT技術(shù)，并且在計算機(jī)的BIOS里栋艳，將“Intel (R) Virtualization Technology”設(shè)置為“Enabled”：

計算機(jī)開啟VT技術(shù)

首次使用USG6000V時恰聘，要求導(dǎo)入USG6000V鏡像，鏡像文件在官網(wǎng)下載并解壓：

導(dǎo)入USG6000V鏡像

2. 配置PC1的網(wǎng)絡(luò)信息：

PC1的網(wǎng)絡(luò)信息

3.配置Srv的網(wǎng)絡(luò)信息：

SRV服務(wù)器的網(wǎng)絡(luò)信息

4. 配置AR1的網(wǎng)絡(luò)信息吸占，通過CLI配置：

    <Huawei>system-view     //進(jìn)入管理視圖
    [Huawei]sysname AR1     //修改路由器的設(shè)備名稱
    [AR1]interface GigabitEthernet 0/0/0    //進(jìn)入接口視圖
    [AR1-GigabitEthernet0/0/0]ip address 10.1.1.2 24        //配置接口IP
    [AR1-GigabitEthernet0/0/0]quit      //返回系統(tǒng)視圖
    [AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1       //配置默認(rèn)路由
    [AR1]quit       //返回用戶視圖
    <AR1>save       //保存配置

5. 配置Cloud1的網(wǎng)絡(luò)信息：

為實現(xiàn)真實環(huán)境與模擬設(shè)備的連接晴叨，可通過eNSP工具中的云朵，把各種網(wǎng)絡(luò)技術(shù)連接起來的計算機(jī)網(wǎng)絡(luò)環(huán)境矾屯，目前可實現(xiàn)的功能包括：仿真設(shè)備之間建立映射關(guān)系兼蕊、綁定網(wǎng)卡與仿真設(shè)備之間進(jìn)行通信，以及通過開放UDP端口方式與外部程序進(jìn)行通信件蚕。
由于USG6000V的接口GE 0/0/0 默認(rèn)IP是192.168.0.1孙技，為便于連接，先在真實計算機(jī)上通過VirtualBox全局設(shè)置排作，創(chuàng)建一個新的Host-Onley網(wǎng)卡牵啦，并設(shè)置IP為192.168.0.2/24（注意，要重啟計算機(jī)后妄痪，才能被云朵識別到新增加的網(wǎng)卡哈雏。）切記！切記衫生！切記裳瘪！先保存再重啟。

新增Host-Onley網(wǎng)卡#2

下面將介紹在仿真設(shè)備之間建立映射關(guān)系的使用方法：
(1) 向工作區(qū)中添加“云朵“罪针。
(2) 雙擊“云朵”圖標(biāo)彭羹，打開“云朵”配置界面。

云朵配置

至此泪酱，物理實體計算機(jī)已經(jīng)能連接eNSP模擬器中的USG6000V防火墻：

實體計算機(jī)PING通USG6000V

6.配置USG6000V

打開USG6000V的CLI配置界面派殷，首次登錄，要求設(shè)置密碼西篓，本次實驗的密碼設(shè)為"admin@123"

設(shè)置USG600V登錄密碼

以下是用命令行配置USG6000V的過程：

    <USG6000V1>
    <USG6000V1>system-view      //進(jìn)入管理視圖
    [USG6000V1]sysname FW1      //修改防火墻的設(shè)備名稱
    [FW1]info-center disable    //關(guān)閉信息提示
    [FW1]interface GigabitEthernet 1/0/1        //進(jìn)入接口配置
    [FW1-GigabitEthernet1/0/1]ip address 192.168.10.1 24    //設(shè)置IP及子網(wǎng)
    [FW1-GigabitEthernet1/0/1]service-manage ping permit    //此接口允許PING通過
    [FW1-GigabitEthernet1/0/1]quit      //退出接口配置
    [FW1]interface GigabitEthernet 1/0/2
    [FW1-GigabitEthernet1/0/2]ip address 10.10.10.1 24
    [FW1-GigabitEthernet1/0/2]service-manage ping permit 
    [FW1-GigabitEthernet1/0/2]quit
    [FW1]interface GigabitEthernet 1/0/3
    [FW1-GigabitEthernet1/0/3]ip address 10.1.1.1 24
    [FW1-GigabitEthernet1/0/3]service-manage ping permit 
    [FW1-GigabitEthernet1/0/3]quit
    [FW1]
    [FW1]firewall zone trust        //進(jìn)入安全域配置
    [FW1-zone-trust]add interface GigabitEthernet 1/0/1  //把接口加入到該安全域中
    [FW1-zone-trust]quit    //退出安全域配置
    [FW1]firewall zone dmz 
    [FW1-zone-dmz]add interface GigabitEthernet 1/0/2
    [FW1-zone-dmz]quit
    [FW1]firewall zone untrust 
    [FW1-zone-untrust]add interface GigabitEthernet 1/0/3
    [FW1-zone-untrust]quit
    [FW1]
    [FW1]security-policy        //進(jìn)入安全策略配置
    [FW1-policy-security]rule name lan_wan_dmz  //創(chuàng)建名為lan_wan_dmz的策略規(guī)則
    [FW1-policy-security-rule-lan_wan_dmz]source-zone trust //策略中的源安全域
    [FW1-policy-security-rule-lan_wan_dmz]destination-zone dmz //策略中的目標(biāo)安全域
    [FW1-policy-security-rule-lan_wan_dmz]destination-zone untrust
    [FW1-policy-security-rule-lan_wan_dmz]action permit     //啟動策略規(guī)則
    [FW1-policy-security-rule-lan_wan_dmz]quit  //退出策略規(guī)則
    [FW1-policy-security]rule name wan_dmz
    [FW1-policy-security-rule-wan_dmz]source-zone untrust 
    [FW1-policy-security-rule-wan_dmz]destination-zone dmz 
    [FW1-policy-security-rule-wan_dmz]action permit 
    [FW1-policy-security-rule-wan_dmz]quit
    [FW1-policy-security]quit
    [FW1]
    [FW1]ip route-static 192.168.10.0 24 192.168.10.2   //配置到LAN的靜態(tài)路由
    [FW1]ip route-static 10.10.10.0 24 10.10.10.2   //配置到DMZ的靜態(tài)路由
    [FW1]ip route-static 10.1.1.0 24 10.1.1.2   //配置到WAN的靜態(tài)路由
    [FW1]
    [FW1]quit       //退出系統(tǒng)視圖
    <FW1>save       //保存系統(tǒng)配置

7. 訪問測試

(1) 用 PC1 ping AR1愈腾，Srv的IP，結(jié)果如下圖

內(nèi)網(wǎng)訪問結(jié)果

(2) 用 AR1 ping Srv岂津，PC1的IP，結(jié)果如下圖

外網(wǎng)訪問結(jié)果

（七）參考資料

華為模擬器eNSP軟件悦即，
華為模擬器eNSP社區(qū)吮成，
HCNA-Security 華為認(rèn)證網(wǎng)絡(luò)安全工程師橱乱，
HCNP-Security 華為認(rèn)證網(wǎng)絡(luò)安全資深工程師，
HUAWEI USG6000V V500R001C10SPC100 典型配置案例粱甫，
HUAWEI USG6000V V500R001C10SPC100 管理員指南泳叠，
HUAWEI USG6000V V500R001C10SPC100 命令參考 ，
華為ICT相關(guān)的英文簡稱 茶宵。

PS:
文檔由燉冬瓜用Markdown語言編寫危纫，輸出PDF或HTML。
燉冬瓜 一枚混跡IT江湖十幾載的吃貨乌庶，好吃懶動种蝶，成功的從絲瓜進(jìn)階為冬瓜。