华为ensp模拟器中搭建usg6000防火墙宿主机无法ping通的一种原因
华为ensp模拟器中搭建usg6000防火墙宿主机无法ping通的一种原因
一、问题现象
初来搭建华为的模拟器,整个过程都挺顺畅的,拖拽交换机和路由器设备配置都正常。结果在搭建usg6000防火墙时,按照网上该导入的组件也导入了,该关闭的防火墙也关闭了,该设置的运行权限也做了,防火墙启动后该开启的server服务也开了,虚拟机网卡的dhcp也关闭了等等操作后,都无法从宿主机上ping成功防火墙。后不管我怎么换各软件版本搞依然无法ping通防火墙g0/0/0上的ip地址。经过两天的摸索和不懈努力,终于找到问题所在点。
原来问题在virtualBox上我没有新建一个“VirtualBox Host-Only Network#2”并关联它,而是在cloud一朵云上直接关联“VirtualBox Host-Only Network”。结果出现随便改虚拟网卡ip地址,启动usg6000后又被还原成192.168.56.1,而在线改ip又不一定生效的情况,虽然宿主机arp能看到usg6000的接口ip,但里面display arp却只能看到防火墙自己的,看不到宿主机的ip地址,而且usg6000的g0/0/0接口呈现出一会up一会down的其他网上从没有提到的现象。
当查阅大量网上有关ping不通usg6000的文章后无意间发现大家都关联的#2的网卡,或者是VMware的WMnet2网卡轻而易举的就能ping通和web端打开防火墙界面。遂自己创建了“VirtualBox Host-Only Network#2”,为了在cloud上发现这个网卡,卸载重装了winpcap,再关联这个网卡。最后竟然成功了!时up时down的现象没有了,ip地址被改成默认的问题也没有了。问题就这么简单,却又让我大意!
虽然这个问题跟网上大部分说的宿主机ping不通防火墙的原因不一样,但也有可能其他初学者也会遇到这样的问题。所以整理并分享出来。
二、搭建环境所用的软件版本环境
1、eNSP版本:1.3.00.100 V100R003C00SPC100
2、VirtualBox版本 :5.2.30-130521。后因解决出现ping不通的问题,最后更换5.1.26-117224。结果发现这个版本启动usg6000防火墙速度很挺快,少等待很多“#”,ensp上停止操作也很快,因此就没有再换回去。其实都是可以的,下面的截图则是按照5.1.26的。
3、WinPcap版本:4.1.3
4、wireshark 版本:3.2.6
三、搭建过程
1、打开virtualbox全局设定中的“网络”,增加“VirtualBox Host-Only Network#2”网卡的配置。“VirtualBox Host-Only Network”为默认创建的网卡,一起截图对比下。
2、自定义“VirtualBox Host-Only Network#2”的ip地址为“192.168.10.1”,并关闭DHCP功能。
以下图来源网络,是virtual box 5.2.30版本配置界面,和5.1.26不一样,供参考。
创建完成后在本地网络连接中的状态,可以在运行框中使用快捷命令“ncpa.cpl”打开此界面。
3、如下图按照网上的例子,在ensp中搭建简单的防火墙拓扑架构。
4、最重要的一步,就是在cloud中进行端口绑定和端口映射配置。就是这一步害苦了我。。。以下是两小步的创建过程,记得是“#2”的网卡,不是默认的网卡!
注意:如果配置界面找不到#2的网卡,这是是因为先安装了winpcap,后virtualbox做了新增网卡设置导致无法识别。可以卸载重新winpcap即可显示出来。
5、关于usg6000v的防火墙资源包和导入过程详见网络文章,此处省略该部分介绍。如下图启动usg6000开启相应service功能,配置ip address地址。然后打开cmd此时区ping就发现已经通了。
6、本地浏览器访问防火墙的8443端口也就正常能够打开了。
7、有人会问,电脑端是可以ping通防火墙了,但在防火墙中却ping不通宿主机,甚至连自己的接口ip也ping不通。其实是可以ping通的,只是不是简单的使用ping 192.168.10.1来ping宿主机,因为已经做了端口映射,所以ping需要用下面的命令就可以。
ping -vpn-instance default 192.168.10.1
为什么参数中的string用的是default而不会别的呢,是因为在上图中默认防火墙g0/0/0接口有“ip bing vpn-interface default”配置,其起的名字就是“default”,要保持一致才行。
注意:如果是1.3.00版本的模拟器,需要在接口g0/0/0下配置service-manage all permit命令,或者自己需要开启的服务。因为这个接口默认是管理口,出厂时已经加入到了Trust区域,不需要单独再做策略。
8、至此,宿主机和ensp中的防火墙均能实现互ping。更多有趣的配置和问题的解决办法期待大家的挖掘和分享。