实验环境
本章介绍华为HCNA安全实验所使用的设备、本书所涉及实验拓扑以及实验台操作。
本章要点
- 华为HCNA安全实验设备介绍
- 华为HCNA安全实验拓扑以及实验台操作
1.1 华为安全实验物理设备
为保证实验操作具参考价值以及可复制性,同时最大程度地还原企业生产环境真实应用,本手册未使用华为eNSP模拟器,使用了全物理设备构建本书的环境。
1.1.1 华为HCNA安全实验设备类型
实验环境使用华为USG 6320防火墙,华为S5720s-28P交换机,华为RH2285系列服务器,使用设备的详细配置如表1-1-1所示。
表1-1-1 华为HCNA安全实验设备
设备名称 | 型号 | 配置 | 实验环境命名 |
防火墙 | USG 6320 | 2Gps FW+APP,1G full threats,Desk,8GE | HFW1\HFW2\HFW3 |
防火墙 | USG 6370 | 4Gps FW+APP,2G full threats,1U,8GE+SFP | HFW4 |
交换机 | S5720s-28P | 24个以太网接口 | HSW1\HSW2 |
服务器 | RH2285 | E5 2403/24GB内存/256G SSD | ESXi-10.92.10.50/24 |
1.1.2 华为HCNA安全实验设备介绍
本实验指南主要涉及华为USG系列防火墙操作,华为交换机以及服务器介绍请参考华为官方网站。
- 华为USG 6320防火墙介绍
华为USG 6320防火墙为桌面型1U产品,可安装至19英寸标准机柜,设备提供1个以及Console接口以及8个10/100/1000M自适应接口,编号为G0/0/0-G0/0/7,其中G0/0/0/为带内管理口,默认IP地址为192.168.0.1/24,设备采用固定接口,不支持扩展模块以及外置硬盘,设备外观如图1-1-1所示。
图1-1-1 华为USG 6320防火墙
- 华为USG 6370防火墙介绍
华为USG 6370防火墙为标准1U产品,可安装至19英寸标准机柜,设备提供固定接口以及可扩展接口,固定接口为1个MGMT管理接口以及1个Console接口,8个10/100/1000M自适应接口,编号为G0/1-G0/7,默认IP地址为192.168.0.1/24,设备提供2个WSIC扩展插槽以及外置硬盘,设备外观如图1-1-2以及1-1-3所示。
图1-1-2 华为USG 6370防火墙(正面)
图1-1-3 华为USG 6370防火墙(背面)
1.2 华为安全实验拓扑以及实验台操作
为保证华为HCNA安全各模块实验操作,作者构建了完整的拓扑,同时使用固定公网IP接入互联网以便更好的验证效果。
1.2.1 华为HCNA安全实验拓扑
华为HCNA安全实验涉及到防火墙、PC客户端都操作,为保证实验的真实性以及有效性,实验环境部署3台华为USG 6320防火墙,1台华为USG 6370防火墙,分别使用中国电信、中国联通公网固定IP地址,同时使用华为RH2285服务器安装ESXi 6.0系统,提供多台PC客户端以及Server服务器端用于各种测试。
图1-2-1 华为HCNA安全实验拓扑
1.2.2 华为HCNA安全实验台操作
本实验指南所使用设备托管于IDC机房,需通过远程桌面登录IDC管理设备进行实验操作,具体操作如下:
第1步,使用远程桌面登录IDC机房Windows 7操作主机,操作主机已经安装实验所需软件,包括VMware vSphere Client客户端、SecureCRT客户端以及浏览器等,如图1-2-2所示。
图1-2-2 华为HCNA安全实验台操作之一
第2步,使用VMware vSphere Client客户端登录安全实验所使用ESXi主机,实验用基础虚拟机均已安装,如有额外需要可自行安装,如图1-2-3所示。
图1-2-3 华为HCNA安全实验台操作之二
第3步,查看ESXi主机网络划分,可根据实验拓扑进行调整,如图1-2-4所示。
图1-2-4 华为HCNA安全实验台操作之三
第4步,所有实验操作通过名为“HW-Inside_WIN7_10.1.10”虚拟机进行操作,单击右键,选择“打开控制台”,如图1-2-5所示。
图1-2-5 华为HCNA安全实验台操作之四
第5步,登录名为“HW-Inside_WIN7_10.1.10”虚拟机控制台,虚拟机已安装好实验所用软件,如图1-2-6所示。
图1-2-6 华为HCNA安全实验台操作之五
第6步,使用SecureCRT客户端连接到TS-2511终端服务器控制台,该控制台同时连接所有设备Console口,如图1-2-7所示。
图1-2-7 华为HCNA安全实验台操作之六
第7步,输入用户名admin,密码bdnetlab1.1登录终端服务控制台,如图1-2-8所示。
图1-2-8 华为HCNA安全实验台操作之七
第8步,输入别名hfw1登录防火墙Console口,如图1-2-9所示。
图1-2-9 华为HCNA安全实验台操作之八
第9步,如果终端服务控制台没有反应,可以打开浏览器,登录PDU,通过关闭电源再打开电源的方式重启防火墙,如图1-2-10所示。
图1-2-10 华为HCNA安全实验台操作之九
第10步,防火墙重新启动,终端服务控制台显示启动信息,如图1-2-11所示。
图1-2-11 华为HCNA安全实验台操作之十
第11步,对HFW1防火墙进行初始配置,配置带内管理接口,以便访问。
Username:admin #默认用户名为admin
Password: #默认密码为Admin@123,已修改为Huawei@123 NOTICE:This is a private communication system. Unauthorized access or use may lead to prosecution. <BDNETLAB-HFW1>system-view #进入system-view视图 [BDNETLAB-HFW1]display current-configuration interface G0/0/0 #查看G0/0/0配置信息 16:53:50 2018/07/12 # interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 192.168.0.1 255.255.255.0 dhcp select interface dhcp server ip-range 192.168.0.1 192.168.0.254 dhcp server mask 255.255.255.0 service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-manage snmp permit service-manage telnet permit anti-ddos flow-statistic enable anti-ddos syn-flood source-detect alert-rate 100 # return [BDNETLAB-HFW1]interface G0/0/0 #进入接口配置 [BDNETLAB-HFW1-GigabitEthernet0/0/0]ip address 10.1.1.1 24 #配置接口IP地址 [BDNETLAB-HFW1-GigabitEthernet0/0/0]display this interface GigabitEthernet0/0/0 alias GE0/MGMT ip address 10.1.1.1 255.255.255.0 dhcp select interface dhcp server ip-range 192.168.0.1 192.168.0.254 dhcp server mask 255.255.255.0 dhcp server gateway-list 192.168.0.1 service-manage http permit service-manage https permit service-manage ping permit service-manage ssh permit service-manage snmp permit service-manage telnet permit anti-ddos flow-statistic enable anti-ddos syn-flood source-detect alert-rate 100 # return |
第12步,在“HW-Inside_WIN7_10.1.10”虚拟机控制台使用PING命令检查与HFW1防火墙的连通性,如图1-2-12所示。
图1-2-12 华为HCNA安全实验台操作之十一
第13步,使用浏览器登录HFW1防火墙,输入用户名密码,如图1-2-13所示。
图1-2-13 华为HCNA安全实验台操作之十二
第14步,成功登录HFW1防火墙,如图1-2-14所示。
图1-2-14 华为HCNA安全实验台操作之十三
第15步,HFW1防火墙主面板显示,如图1-2-15所示。
图1-2-15 华为HCNA安全实验台操作之十四
至此,通过登录虚拟机,配置防火墙IP地址,已实现对防火墙的基本访问控制,其他防火墙基础配置操作可参考上述操作流程。
1.3 本章小结
本章介绍了实验指南所使用的物理设备、拓扑以及实验台操作,在基础实验部分通常使用1台华为USG 6320防火墙,后续进阶实验部分会使用到多台华为USG 6320防火墙,熟悉基础操作是实验非常重要的环节,如果读者实验环境有限,可访问华为官方网站下载eNSP软件进行模拟。