作者:杨春刚
一、Cloud1配置
1. 端口创建
- 类型选择千兆口,绑定信息尤为关键。
- 需要添加两条 绑定:
- 一条用于 Cloud1 与电脑本机通信,绑定电脑本机的网卡(使用端口号1的
192.168.56.1,即 eNSP 自带的虚拟网卡)。 - 另一条用于虚拟机中添加的相关设备之间互相通信,使用 UDP。
- 一条用于 Cloud1 与电脑本机通信,绑定电脑本机的网卡(使用端口号1的
2. 端口映射
- 端口类型与上面对应,出入口分别分配。
- 勾选双向通道 ,点击增加,在映射表中即可看到已添加的映射记录。
3. 连接防火墙和Cloud1
- 使用铜线(Copper) 连接防火墙和 Cloud1。
- 防火墙接口选择
GE0/0/0,Cloud1 接口只能选择GE0/0/2(因为配置 Cloud1 时 UDP 绑定在端口2,若添加更多 UDP 端口,此处可选接口相应增加)。
二、配置防火墙
bash
system-view # 进入系统视图
interface GigabitEthernet 0/0/0 # 进入0/0/0接口
ip address 192.168.56.2 255.255.255.0 # 配置IP地址(与Cloud1绑定的本机IP同网段)
undo shutdown # 开启当前接口
quit # 退出接口视图
display ip interface brief # 查看接口配置状态- 确认
G0/0/0接口已完成 IP 配置,且状态均为 up。 - 此时在本机(
192.168.56.1)ping 192.168.56.2,应能通信正常。
三、防火墙查看会话
bash
display firewall session table # 查看当前所有会话
display firewall session table protocol icmp # 只查看ICMP(ping)的会话
display firewall session table source 192.168.56.1 # 只查看来自特定源IP的会话- 在本机
ping 192.168.56.2时,可查看到 ping 的会话及方向。 - 在本机
telnet 192.168.56.2时,可看到两条会话及方向。
四、防火墙抓包(Debug方式)
适用设备示例:华为 USG5500。不同型号命令可能有差异,请注意甄别。
1. 创建 ACL,只匹配 ICMP 协议
bash
<SRG> system-view
[SRG] acl number 3000
[SRG-acl-adv-3000] rule permit icmp
[SRG-acl-adv-3000] quit
[SRG] quit作用:创建 ACL 3000,只识别 ICMP(ping)协议,后续抓包仅抓取此 ACL 匹配的流量。
2. 开启终端输出
bash
<SRG> terminal debugging
<SRG> terminal monitor3. 用 ACL 过滤抓包
bash
<SRG> debugging ip packet acl 30004. 本地电脑开始持续 ping
bash
ping 192.168.56.2 -t5. 防火墙查看抓包结果
在终端中可以看到从本地电脑发来的数据包以及防火墙返回的响应包。
6. 立即关闭抓包(重要!)
bash
<SRG> undo debugging all
<SRG> undo terminal debugging
<SRG> undo terminal monitor⚠️ 注意 :此方法使用防火墙内置 Debug 抓包,会消耗防火墙 CPU。测试完毕后必须立即关闭,否则可能导致防火墙卡死。该方法适合快速确认数据是否到达防火墙,不适合对数据包进行详细分析。
本文档基于 eNSP 模拟环境编写,供网络学习与测试参考。