(一)背景资料
“工欲善其事,必先利其器。”
为帮助我们更好的理解华为HCNA/HCNP认证课程的知识,更好的掌握华为ICT相关产品的配置与管理,华为提供了一款免费的,界面友好,操作简单,具备极高仿真度的设备模拟器——eNSP,不仅可以模拟单台设备的特性操作,还能够组网进行实战演练。
eNSP是图形化网络仿真平台,该平台通过对真实网络设备的仿真模拟,帮助广大ICT从业者和客户快速熟悉华为数通系列产品,了解并掌握相关产品的操作和配置、提升对企业ICT网络的规划、建设、运维能力,从而帮助企业构建更高效,更优质的企业ICT网络。
本次实验使用华为eNSP版本V100R002C00B510,实验内容参考华为认证课程HCNP-Security CISN的实验手册。
(二)实验目的
- 掌握telnet server配置,实现远程登录。
- 掌握stelnet server配置,实现ssh登录。
- 掌握sftp server配置,实现文件上传下载。
- 掌握web配置,用浏览器登录防火墙,查看日志,导出日志。
(三)实验条件
- 一台CPU支持VT技术,内存4GB以上的计算机;
- 安装eNSP模拟器B510版,导入USG6000V镜像;
- 终端工具:telnet,SecuretyCRT,Putty,XShell等。
(四)网络拓朴图
打开ENSP软件,按如下拓朴图创建实验环境,设置地址:
- ctrl地址,192.168.0.0/24
- lan地址,192.168.10.0/24
(五)配置思路
- 根据拓朴图,设置接口的IP地址,设置接口的安全区域。
- 启动登录服务。
- 设置登录用户及密码。
(六)配置步骤
(1)Console密码修改
通过Console登录,是设备厂商最常用、最直接的方法,在eNSP软件里,在第一次登录USG6000V时就要求设置Console登录密码,但是,有些情况下还是需要修改初次设定的密码。以下为修改Console密码的相关命令,以初始密码修改为[Admin1234]为例:
system-view //进入系统视图
[FW1]user-interface console 0 //进入console0的用户配置接口
[FW1-ui-console0]authentication-mode password //使用密码验证模式
[FW1-ui-console0]set authentication password cipher Admin1234 //设置密码为Admin1234
Info: The password of CON0 will be changed. Please verify the old password.
Please enter old password: //提示输入旧密码
Info: Succeeded in changing the password.
[FW1-ui-console0]quit //退出用户配置接口,回到系统视图
[FW1]quit //退出系统视图,回到用户视图
save //保存配置
(2)telenet配置过程
以下为配置telnet用户[vtyadmin],并设置密码为[admin@123]的过程:
system-view //进入系统视图
[FW1]interface GigabitEthernet 1/0/1 //进入GE1/0/1接口配置
[FW1-GigabitEthernet1/0/1]ip address 192.168.0.3 24 //配置接口的地址及掩码
[FW1-GigabitEthernet1/0/1]service-manage telnet permit //允许telnet
[FW1-GigabitEthernet1/0/1]service-manage ping permit //允许ping
[FW1-GigabitEthernet1/0/1]quit //退出接口配置视图,回到系统视图
[FW1]firewall zone trust //进入trust安全域配置
[FW1-zone-trust]add interface GigabitEthernet 1/0/1 //把GE1/0/1加入到trust安全域
[FW1-zone-trust]quit //退出安全域配置视图,回到系统视图
[FW1]telnet server enable //启用telnet服务
[FW1]user-interface vty 0 4 //进入vty0-4的用户配置接口
[FW1-ui-vty0-4]authentication-mode aaa //使用AAA验证模式
[FW1-ui-vty0-4]user privilege level 3 //配置用户访问的命令级别为3
[FW1-ui-vty0-4]protocol inbound telnet //配置管理员使用的使用协议为telnet
[FW1-ui-vty0-4]idle-timeout 5 //配置闲置断连的时间
[FW1-ui-vty0-4]quit //退出用户配置接口,回到系统视图
[FW1]aaa //进入AAA配置视图
[FW1-aaa]manager-user vtyadmin //创建用户vtyadmin
[FW1-aaa-manager-user-vtyadmin]password cipher admin@123//配置用户密码
[FW1-aaa-manager-user-vtyadmin]service-type telnet //配置服务类型
[FW1-aaa-manager-user-vtyadmin]quit //退出用户管理视图,回到AAA视图
[FW1-aaa]bind manager-user vtyadmin role system-admin //绑定管理员角色
[FW1-aaa]quit //退出AAA视图,回到系统视图
[FW1]quit //退出系统视图,回到用户视图
save //保存配置
打开CMD,输入telnet 192.168.0.3,出于安全原因,第一次telnet登录到USG6000V后,系统要求修改telnet用户的密码,系统自动断开,重新连接,成功登录,如下图:
(3)SSH登录配置
SSH 为 Secure Shell 的缩写,为建立在应用层基础上的安全协议,是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
PuTTY 是一个Telnet、SSH、rlogin、纯TCP以及串行接口连接软件。
putty.exe 32位 ,
putty.exe 64位
PSFTP 是PuTTY SFTP客户端,用于本地与服务器间安全传输文件(使用SSH连接)。
psftp.exe 32位 ,
psftp.exe 64位
Xshell 是一个最常用的安全终端模拟器,可以使用它远程登陆其他系统服务器,达到远程控制终端的目的。
Xshell 6 下载 ,
Xshell 5 下载
WinSCP 是一个Windows环境下使用SSH的开源图形化SFTP客户端。
WinSCP 下载
SecureCRT是一款支持SSH(SSH1和SSH2)的终端仿真程序。
SecureCRT 下载
以下为创建帐户sshadmin,密码为 admin@123 ,并配置可以sftp,stelnet登录的过程
system-view //进入系统视图
Enter system view, return user view with Ctrl+Z.
[FW1]aaa //进入AAA视图
[FW1-aaa]manager-user sshadmin //创建用户sshadmin
[FW1-aaa-manager-user-sshadmin]service-type ssh //配置用户服务类型
[FW1-aaa-manager-user-sshadmin]password cipher admin@123 //配置用户密码
Info: You are advised to config on man-machine mode.
[FW1-aaa-manager-user-sshadmin]level 3 //配置用户等级
[FW1-aaa-manager-user-sshadmin]quit //退出用户配置视图,返回AAA视图
[FW1-aaa]quit //退出AAA视图,返回系统视图
[FW1]
[FW1]ssh user sshadmin //新建SSH用户
Info: Succeeded in adding a new SSH user.
[FW1]ssh user sshadmin authentication-type password //配置SSH用户的认证方式
[FW1]ssh user sshadmin authorization-cmd aaa //配置SSH用户按命令行授权
Info: Please make sure that the command line authorization method has been set for the user.
[FW1]ssh user sshadmin sftp-directory hda1: //配置SSH用户的SFTP服务授权目录
[FW1]ssh user sshadmin service-type all //配置SSH用户的服务方式,sftp,stelnet同时可用
[FW1]
配置sftp服务可用状态
[FW1]sftp server enable
Info: The SFTP server is already started.
配置stelnet服务可用状态
[FW1]stelnet server enable
Info: The Stelnet server is already started.
(4)sftp操作示例
安全文件传送协议SFTP(Secure File Transfer Protocol)可以为文件传送提供安全的加密/解密技术,基本语法和FTP差不多。SFTP是SSH的一部分,在SSH软件包中,已经包含了一个SFTP的安全文件传输子系统,用它进行加密传输,比FTP有更高的安全性。
下载sftp客户端程序psftp.exe,并在命令行状态下打开。
D:\Downloads>psftp.exe //在命令行状态下运行psftp.exe
psftp: no hostname specified; use "open host.name" to connect
psftp> open 192.168.0.3 //打开防火墙IP
login as: sftp //输入用户
SSH server: User Authentication
Using keyboard-interactive authentication.
Password: //输入密码
Remote working directory is /
psftp> //成功登录sftp服务器
psftp> cd isp //进入服务器ISP目录
Remote directory is now /isp
psftp> lcd d:/ //进入客户机D盘根目录
New local directory is d:\
psftp>get china-educationnet.csv //下载中国教育网的ISP文件
remote:/isp/china-educationnet.csv => local:china-educationnet.csv
psftp> put isp1.csv //上传自定义的ISP文件
local:isp1.csv => remote:/isp/isp1.csv
psftp>
psftp> cd .. //返回服务器根目录
Remote directory is now /
psftp> get vrpcfg.cfg
remote:/vrpcfg.cfg => local:vrpcfg.cfg //下载防火墙的设备配置文件到本地计算机
psftp> put vrpcfg-bak.cfg
local:vrpcfg-bak.cfg => remote:/vrpcfg-bak.cfg //上传的设备配置的备文件到服务器
psftp>
(5)web配置
USG6000v支持Web管理,默认接口是是GE0/0/0,登录地址 https://192.168.0.1:8443 ,可使用常见的浏览器登录:Internet Explorer、Firefox、Chrome等,用户 admin ,密码 Admin@123。本次实验使用GE1/0/1接口,配置的地址是192.168.0.3,登录地址是 https://192.168.0.3:8443。
配置web管理可用状态
[FW1]web-manager enable
Info: Web server has been enabled.
打开浏览器,输入https://192.168.0.3:8443 ,进行登录,第一次登录要求修改密码后再重新登录:
登录成功后,打开“监控>日志>系统日志>系统日志列表>导出”,可以把系统日志导出文件
(七)参考资料
华为模拟器eNSP软件,
华为模拟器eNSP社区,
HCNA-Security 华为认证网络安全工程师,
HCNP-Security 华为认证网络安全资深工程师,
HUAWEI USG6000V V500R001C10SPC100 典型配置案例,
HUAWEI USG6000V V500R001C10SPC100 管理员指南,
HUAWEI USG6000V V500R001C10SPC100 命令参考 ,
华为ICT相关的英文简称 。
PS:
文档由炖冬瓜用Markdown语言编写,输出PDF或HTML。
「炖冬瓜」 一枚混迹IT江湖十载有余的吃货,好吃懒动,成功的从丝瓜进阶为冬瓜。