0、前言
也是工作需要,需要用到eNSP模拟器。该模拟器需要VirtualBox,还要指定版本,我笔记本已经安装VMware,所以我就想在VMware的虚拟机中安装eNSP,也成功运行。不过在运行华为防火墙USG6000V的时候网络不稳定,端口up/down的,还有启动显示星号问题、搞的人很烦。所以今天就一边装一边记录一边解决一下。
首先还是准备工作,我用的虚拟环境VMware® Workstation 17 Pro,客户操作系统Win10 企业版LTSC。
安装文件准备:
VLC不是必须的,可以不装。
下载地址: https://forum.huawei.com/enterprise/zh/thread/580934378039689216?page=15&wd=&eqid=a6b15f4b002bfa4c0000000564e4a798 安装前,关闭Win10 防火墙、关闭内存隔离、关闭hyper-v,再做个快照。
一、开始安装
VirtualBox安装
一路默认,下一步就可以完成。不再赘述。
安装 WinPcap
也是一路默认下一步。
安装 Wireshark
也是一路默认下一步。
eNSP安装
也是一路默认下一步。
可以看到满足安装条件,注意提示的路径设置问题。
二、设置/避坑
1、首先第一个问题虚拟机CPU、内存资源尽量给大一点;我没有测试临界点;8g内存应该可以;
2、启动一直显示星号问题原因有很多,我遇到的原因是网络原因,好像我把桥接用的网卡禁用掉就会一直型号,即使虚拟防火墙和这个网卡没有任何关系都会异常。
3、网上说遇到接口down,或者显示#号启动该过程有个解决办法是添加一个HOST-ONLY的网卡,我测试了一下好像可以。但是我需要的是USG6000v防火墙通过cloud与物理网络环境联通。也就是说我通过别的主机可以登录到防火墙web界面。
所以这个办法不适合我。
这个办法是在主机网络管理器里添加host-only网卡,关闭dhcp。感兴趣的可以测试一下。
4、我的解决办法是设置vfw_usg的网卡,添加桥接网卡。
网卡3默认是空白,添加虚拟机桥接网卡。选本机网卡。
当点击确定的时候可能会提示没有权限。这时候关闭vbox,以管理员身份打开,进行设置。
5、cloud设置
在拓扑里添加cloud;
按上图设置,就是说添加第二个端口选择本机的桥接网卡。
5、启动防火墙
启动防火墙后,默认账户:admin/Admin@123
进入inter g 0/0/0;
设置ip地址;
启用管理;
这时候就可以通过局域网其他主机管理该防火墙了。
不过有个小问题,就是我在虚拟机内ping不通防火墙管理地址。
防火墙上也不能ping通其他地址。
不过其他主机能ping通防火墙。
说的比较拗口,用图来说明吧。
就是以上设置以后,win10 虚拟机ping不通防火墙的192.168.1.55,但是物理主机、服务器1、服务器2,都可以ping通并能打开web页面。网上也有说这是某些原因导致,可以解决,不过我没有深究,因为这时候我想要的效果就达到了。
至于防火墙ping不通自身的问题可以通过执行命令:
undo ip binding vpn-instance default
执行完毕以后接口ip就空了,需要重新设置。
三、防火墙设置
首先打开管理员的管理方式权限。
其次打开接口管理权限;
其实在执行service-manage all permit 的时候已经打开,这里确认一下。
刚才只是打开相关权限,其实比如ssh服务并没有启动。
web界面好像不能启动,因为设置页面确定按钮是灰色的。
需要通过命令行的方式启用。
[USG6000V1]ssh user sshuser
[USG6000V1]ssh user sshuser service-type stelnet
[USG6000V1]ssh user sshuser authentication-type password
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa
[USG6000V1-aaa]manager-user sshuser
[USG6000V1-aaa-manager-user-sshuser]password cipher [密码]
[USG6000V1-aaa-manager-user-sshuser]service-type ssh
[USG6000V1-aaa-manager-user-sshuser]level 3
[USG6000V1-aaa-manager-user-sshuser]q
[USG6000V1-aaa]q
[USG6000V1]stelnet server enable
这时候使用ssh工具就可以登录。
四、其他设置
准备工作做好已有就配置相关的联动信息。
比如在网络安全设备上配置syslog告警信息上报服务器。
接收日志服务器为SOAR联动服务器,这里是192.168.1.11。
在SOAR 设备上添加防火墙信息。
这时候想办法触发安全设备告警信息。可以在SOAR上看到接受到告警。
这时候观察防火墙的安全策略。
可以看到成功生成阻断策略。
五、总结
至此配置完成,好像使用host-only网卡的方式可以互相ping通,我这种方式ping不通,但实际上已经可以使用。估计也有相应解决办法。