前言
本实验使用华为模拟器eNSP中USG6000v完成实验。
实验拓扑
配置过程
一、导入设备包
由于USG6000v模拟器需要导入设备包才能使用,所以需要在华为企业专网下载USG6000v的设备包才能使用,根据自己eNSP的版本下载对应版本的设备包,推荐使用eNSP500或eNSP510。比如我的eNSP版本是510,那么需要进入该链接:eNSP各版本下载链接 进行设备包的下载。
下载设备包需要一个华为账户,注册一个华为账户即可完成下载。
下载完成后是以压缩包的形式存在,需要解压缩,解压缩之后的vfw_usg.vdi文件如下图所示。
进入eNSP,将USG6000v拖出来右键启动,会提示导入设备包,点击浏览选择刚才下好的vfw_usg.vdi文件即可成功导入,导入之后再次右键启动设备。
如果无法正常启动可以查看eNSP中帮助文档中FAQ部分进行错误排查。
说明:如何查看eNSP版本。进入eNSP菜单-->帮助-->关于eNSP,如图所示即可查看到eNSP的版本信息,我使用的就是510。
二、登陆USG6000v
当防火墙可以正常开启后需要输入登陆密码并确认密码,该密码用于你以后登陆该设备的登陆密码。
system-view //进入系统视图
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname FW2 //将设备名修改为FW2
[FW2]三、配置接口IP地址
根据IP地址规划表配置路由器,防火墙以及PC等的IP地址和网关。配置过程略。
设备IP地址网关地址
FW1-G1/0/010.1.13.3/24-
FW1-G1/0/110.1.1.253/24-
FW1-G1/0/610.1.34.3/34-
FW2-G1/0/010.1.14.4/24-
FW2-G1/0/110.1.1.252/24-
FW2-G1/0/610.1.34.4/24-
AR1-G0/0/0100.1.12.1/24-
AR1-G0/0/110.1.13.1/24-
AR1-G0/0/210.1.14.1/24-
AR2-G0/0/0100.1.12.2/24-
AR2-G0/0/1100.1.1.254/24-
PC110.1.1.1/2410.1.1.254
HTTP-Server100.1.1.1/24100.1.1.254 给出FW1的G1/0/1端口的IP地址配置,其他端口配置类似,配置如下:
[FW1]interface GigabitEthernet 1/0/1 //进入G1/0/1端口
[FW1-GigabitEthernet1/0/1]ip address 10.1.1.253 24 //配置IP地址四、配置防火墙安全区域
根据规划表划分防火墙安全区域。
防火墙端口安全区域
FW1-G1/0/0Untrust
FW1-G1/0/1Trust
FW1-G1/0/6DMZ
FW2-G1/0/0Untrust
FW2-G1/0/1Trust
FW3-G1/0/6DMZ配置过程以FW1为例,FW2类似配置,配置如下