虚拟机中安装华为eNSP模拟器运行USG6000防火墙

0、前言

        也是工作需要，需要用到eNSP模拟器。该模拟器需要VirtualBox，还要指定版本，我笔记本已经安装VMware，所以我就想在VMware的虚拟机中安装eNSP，也成功运行。不过在运行华为防火墙USG6000V的时候网络不稳定，端口up/down的，还有启动显示星号问题、搞的人很烦。所以今天就一边装一边记录一边解决一下。

        首先还是准备工作，我用的虚拟环境VMware® Workstation 17 Pro，客户操作系统Win10 企业版LTSC。

        安装文件准备：

        VLC不是必须的，可以不装。

        下载地址：  https://forum.huawei.com/enterprise/zh/thread/580934378039689216?page=15&wd=&eqid=a6b15f4b002bfa4c0000000564e4a798          安装前，关闭Win10 防火墙、关闭内存隔离、关闭hyper-v，再做个快照。

 一、开始安装

        VirtualBox安装

        一路默认，下一步就可以完成。不再赘述。

 安装 WinPcap

        

        也是一路默认下一步。

安装 Wireshark 

        

        也是一路默认下一步。

eNSP安装

        

         也是一路默认下一步。

         可以看到满足安装条件，注意提示的路径设置问题。

二、设置/避坑

        1、首先第一个问题虚拟机CPU、内存资源尽量给大一点；我没有测试临界点；8g内存应该可以；

        2、启动一直显示星号问题原因有很多，我遇到的原因是网络原因，好像我把桥接用的网卡禁用掉就会一直型号，即使虚拟防火墙和这个网卡没有任何关系都会异常。

        3、网上说遇到接口down，或者显示#号启动该过程有个解决办法是添加一个HOST-ONLY的网卡，我测试了一下好像可以。但是我需要的是USG6000v防火墙通过cloud与物理网络环境联通。也就是说我通过别的主机可以登录到防火墙web界面。

        所以这个办法不适合我。        

        这个办法是在主机网络管理器里添加host-only网卡，关闭dhcp。感兴趣的可以测试一下。

        4、我的解决办法是设置vfw_usg的网卡，添加桥接网卡。

        网卡3默认是空白，添加虚拟机桥接网卡。选本机网卡。

        当点击确定的时候可能会提示没有权限。这时候关闭vbox，以管理员身份打开，进行设置。

        5、cloud设置

        在拓扑里添加cloud；

        按上图设置，就是说添加第二个端口选择本机的桥接网卡。

        5、启动防火墙

        启动防火墙后，默认账户：admin/Admin@123

        进入inter g 0/0/0；

        设置ip地址；

        启用管理；

        这时候就可以通过局域网其他主机管理该防火墙了。 

        不过有个小问题，就是我在虚拟机内ping不通防火墙管理地址。

        防火墙上也不能ping通其他地址。

        不过其他主机能ping通防火墙。 

        说的比较拗口，用图来说明吧。

        就是以上设置以后，win10 虚拟机ping不通防火墙的192.168.1.55，但是物理主机、服务器1、服务器2，都可以ping通并能打开web页面。网上也有说这是某些原因导致，可以解决，不过我没有深究，因为这时候我想要的效果就达到了。

        至于防火墙ping不通自身的问题可以通过执行命令：

        undo ip binding vpn-instance default

        执行完毕以后接口ip就空了，需要重新设置。

三、防火墙设置

        首先打开管理员的管理方式权限。        

        其次打开接口管理权限； 

        其实在执行service-manage all permit 的时候已经打开，这里确认一下。

        刚才只是打开相关权限，其实比如ssh服务并没有启动。

        web界面好像不能启动，因为设置页面确定按钮是灰色的。

        需要通过命令行的方式启用。

[USG6000V1]ssh user sshuser        

[USG6000V1]ssh user sshuser service-type stelnet         

[USG6000V1]ssh user sshuser authentication-type password         

[USG6000V1]user-interface vty 0 4          
[USG6000V1-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa
[USG6000V1-aaa]manager-user sshuser
[USG6000V1-aaa-manager-user-sshuser]password cipher [密码]
[USG6000V1-aaa-manager-user-sshuser]service-type ssh
[USG6000V1-aaa-manager-user-sshuser]level 3
[USG6000V1-aaa-manager-user-sshuser]q
[USG6000V1-aaa]q
[USG6000V1]stelnet server enable

这时候使用ssh工具就可以登录。

四、其他设置

        准备工作做好已有就配置相关的联动信息。

        比如在网络安全设备上配置syslog告警信息上报服务器。

        接收日志服务器为SOAR联动服务器，这里是192.168.1.11。

        在SOAR 设备上添加防火墙信息。

         这时候想办法触发安全设备告警信息。可以在SOAR上看到接受到告警。

        这时候观察防火墙的安全策略。 

        可以看到成功生成阻断策略。 

五、总结

        至此配置完成，好像使用host-only网卡的方式可以互相ping通，我这种方式ping不通，但实际上已经可以使用。估计也有相应解决办法。