настройка huawei secospace usg2000 настройка

Настройка сетевого оборудования компании HUAWEI (коммутация, статическая маршрутизация)

HUAWEI – одна из крупнейших китайских компаний в сфере телекоммуникаций. Основана в 1988 году.

Компания HUAWEI достаточно недавно вышла на российский рынок сетевого оборудования уровня Enterprise. С учётом тенденции тотальной экономии, на нашем предприятии очень остро встал вопрос о подборе достойной замены оборудованию Cisco.
В статье я попытаюсь рассмотреть базовые аспекты настройки сервисов коммутации и маршрутизации оборудования HUAWEI на примере коммутатора Quidway серии 5300.

Глобальные команды, режимы работы, cходства и различия с CLI CISCO.

Оборудование HUAWEI, построенное на базе операционной системы VRP, имеет cisco-like интерфейс командной строки. Принципы остаются теми же самыми, меняется только синтаксис.
В CLI оборудования HUAWEI существуют 2 режима командного интерфейса:

1. system-view – аналог цисковского режима конфигурирования conf t. В этом режиме приглашение командной строки выглядит как [Switch].
2. user-view – аналог цисковского непривилегированного режима. Режим приглашения выглядит так: .

В отличие от непривилегированного режима Cisco из user-view доступны многие функции, в частности можно ресетнуть запущенные процессы. Подключения по telnet и ssh так же доступны только из user-view.
После некоторых претензий со стороны компании Cisco Systems, в ОС VRP были заменены часть служебных слов. Таблица соответствия некоторых служебных слов CLI представлена ниже.

Cisco	HUAWEI
show	display
running-configuration	current-configuration
clear	reset
configure terminal	system-view
write	save
quit	exit
no	undo

Основные команды:

• system-view – переход из user-view в привилегированный режим system-view;
• save – запись текущих настроек в энергонезависимую память устройства;
• display current-configuration – вывод текущего файла конфигурации
• display current-configuration configuration XXXX – вывод настроек секции XXXX.
• display this – вывод конфигурации текущей секции;
• quit – выход из текущей секции в родительскую.

Настройка vlan интерфейсов, режимы работы физических портов коммутатора

Создание vlan

Для создания vlan как сущности, на коммутаторе в режиме system-view выполняется команда vlan XXX, где XXX – номер vlan.

Vlan создан. Так же командой description можно задать описание или название vlan. В отличие от Cisco имя не является обязательным атрибутом при создании vlan.

Для передачи созданых vlan в пределах локальной сети используется протокол GVRP. Включается он командой gvrp в режиме system-view.

Так же gvrp должен быть разрешён на интерфейсе:

Совместимости с Cisco VTP (vlan transfer protocol) нет и быть не может.

Создание vlan интерфейса.

В отличие от Cisco, маску можно писать сокращённо. Очень удобно.
Думаю, что комментарии излишни.

Режимы работы портов

Собственно, ничего нового. Существуют два основных режима работы порта: access и trunk.
Режим trunk
Настройка порта:

В отличие от коммутаторов Cisco, по-умолчанию, все vlan запрещены и их необходимо принудительно разрешить командой port trunk allow-pass vlan.
Нетэггированный native vlan на порту включается командой:

Настройка eth-trunk

Настройка STP

Для тестирование STP были соединены коммутаторы Cisco 2960 и HUAWEI Quidway S5328C-EI.
Для включения STP на коммутаторе необходимо в режиме system-view ввести команду

По умолчанию, приоритет коммутатора HUAWEI, так же как и коммутатора Cisco равен 32768.
Просмотр информации о текущем состоянии портов:

Видно, что один из портов заблокирован, т. к. приоритет коммутатора Cisco оказался больше.
Просмотр глобальной информации об STP:

Изменим приоритет коммутатора HUAWEI. Сделаем его наименьшим: 4096.

Посмотрим, что порт разблокировался:

Статическая маршрутизация

Статические маршруты прописываются точно так же, как на оборудовании Cisco:

Просмотр таблицы маршрутизации:

На этом всё.
Если уважаемое сообщество заинтересуется материалом, планирую продолжить освещать настройку оборудования HUAWEI. В следующей статье рассмотрим настройку динамической маршрутизации.

источник

Huawei USG 6300. Базовая настройка файервола из коробки

Идея написать эту статью возникла после того, как я попытался найти хоть какую-то информацию по настройке файерволов от Huawei в интернете. В русскоязычном сегменте я не нашел ничего, в англоязычном, в основном, устаревшие данные по предыдущим моделям и отсылки к документации (которая, к слову, есть на сайте производителя в открытом доступе и достаточно подробная).

При наличии опыта работы с файерволами других производителей документации должно быть достаточно, чтобы запустить и работать с Huawei USG, но по опыту я знаю, что к мануалам обращаются, когда все варианты уже испробованы. Поэтому одна из целей этой статьи – сэкономить время при первичной пусконаладке этого относительно нового оборудования. Конечно, в одной статье не удастся охватить весь функционал, тем не менее, основные начальные кейсы по настройке тут будут рассмотрены. Инженеры могут использовать статью как шпаргалку по инсталляции сетевого оборудования, так как те базовые настройки, которые будут тут описаны, как правило, придется делать во всех инсталляциях.

Источник

В статье не будет сравнения с конкурентами и вообще минимум маркетинга, это будет история про администрирование. Упомяну только, что основные конкуренты Huawei USG — это Cisco ASA, CheckPoint, FortiNet и др. Возможно, повышенный интерес в последнее время к китайскому оборудованию, в частности к оборудованию защиты информации, связан с темой «импортозамещения» перечисленных выше американских вендоров.

Линейки Huawei USG и краткие характеристики

Huawei USG – это устройства защиты информации нового поколения, или так называемые NGFW (Next Generation FireWall). В отличие от средств защиты предыдущего поколения NGFW способен делать глубокий анализ пакетов (вплоть до L7), инспектировать трафик на уровне приложений, имеет интегрированный IPS, а также может взаимодействовать с другими подобными устройствами, получая от них информацию о потенциальных атаках, направленных в свою сторону. Также обладает несложным механизмом DLP (обнаружение утечек информации).

Серия USG 6300 – это младшая серия устройств, ориентированная на малый и средний бизнес. Краткие характеристики приведены в таблице ниже.

Перечисленные в таблице устройства серии 6300 предназначены для монтажа в стойку 19 дюймов. При написании этой статьи использовалось устройство Huawei USG 6320, выполненное в настольном варианте:

Его краткие характеристики следующие:
Интерфейсы: 8GE
Питание: AC Adapter
Firewall throughput: 2 Gbit/s
IPS throughput: 700 Mbit/s
IPS+AV throughput: 700 Mbit/s
Concurrent sessions: 500,000
VPN Throughput (IPSec): 400Mbit/s

Основное отличие Huawei USG6320 от стоечных вариантов этой серии – то, что в него нельзя поставить жесткий диск, который используется в основном для содержания логов и формирования на их основе отчетов на базе устройства из WEB-интерфейса. В остальном все устройства серии (и даже более старшей серии 6600) работают под управлением одной операционной системы VRP. То есть по крайней мере на момент написания статьи файл «прошивки» для серий 6300 и 6600 один и тот же.

Первое включение устройства

Подключаемся по консольному порту со стандартными параметрами (9600 baud, без контроля четности), включаем питание и начинается загрузка:

В самом начале загрузки я на всякий случай сброшу устройство к заводским настройкам. Также этот шаг будет вам полезен, если вы имеете дело с не новым устройством, которое уже настраивалось, и пароль на консоль не известен.

Для того, чтобы зайти BootRom menu, нужно нажать Ctrl+B на начальном этапе загрузки. Пароль по умолчанию для входа в BootRom на большинстве сетевых устройств Huawei: O&m15213 (первая буква – О, а не ноль). Вот так выглядит главное меню BootRom:

Выбираем пункт меню 6 для сброса к заводским настройкам и далее пункт меню 0 для перезагрузки.
После окончания загрузки устройство выведет приглашение для ввода логина и пароля для управления через консольный порт. Так как мы вернулись к заводским настройкам, то логин и пароль по умолчанию на консоль будут:

Командная строка Huawei USG

Командная строка Huawei USG очень похожа на командную строку Cisco за исключением небольших нюансов. У Cisco есть три командных режима CLI:

• пользовательский режим (значок >);
• привилегированный режим (значок #, вход по команде enable);
• режим глобальной конфигурации (вход по команде configure terminal из привилегированного режима).

В отличие от Cisco командная строка сетевого оборудования Huawei (не только USG, но и коммутаторов и маршрутизаторов) состоит из двух режимов:

• пользовательский режим (также значок >);
• режим System view (значок #, вход по команде system-view из пользовательского режима).

Режим System view объединяет в себе привилегированный режим и режим глобальной конфигурации.

• команда show у Cisco аналогична команде display в ОС VRP от Huawei;
• команда no у Cisco аналогична undo у Huawei.

Таким образом, просмотр текущей рабочей конфигурации (у Cisco это show runn) в Huawei будет:

Так же, как в CLI, Cisco не обязательно вводить команду целиком. Если части команды достаточно для распознания, то команда будет принята, либо можно пользоваться TAB для дописывания.

В первую очередь необходимо установить, какая версия ОС VRP в данный момент управляет устройством, и если это не самая последняя версия, то следует установить самую последнюю. Проверить версию ОС VRP можно командой

у Cisco подобная команда выглядит

В данном случае версия ОС VRP: V100R001C30SPC600PWE. То есть версия 100, релиз 001, подрелиз 30, service pack 600. Также стоит обратить внимание на суффикс PWE – это расшифровывается как Payload without encryption, т.е. наша версия софта, кроме того что она очень старая, к тому же еще не будет поддерживать стойкое шифрование.

Обновление ПО устройства

Текущая версия ПО (по состоянию на март 2017 года) — v500r001c30spc100.

Нет никакого смысла начинать настраивать это устройство со старой версией ПО. Во-первых, у текущей V500 поменялась даже часть CLI, изменился синтаксис некоторых команд, включая команды, относящиеся к security policy.

Во-вторых, отсутствие стойкого шифрования (а именно с такой версией ПО устройство будет поставляться в Россию для упрощения ввоза) подойдет, думаю, не многим.

Поэтому в первую очередь следует обновить ПО VRP Huawei USG до самой свежей версии на текущий момент. Скачать ее можно с сайта производителя, если у вашего логина есть соответствующие права (как правило, они даются партнерам Huawei). Если же свежая версия ПО вам не доступна (вы в любом случае увидите ее на сайте, но не будет возможности ее скачать), следует обратиться к компании, через которую поставлено ваше оборудование или в русскоязычную поддержку Huawei.
Я скачал файл USG6000V500R001C30SPC100.bin ПО VRP с сайта и положил его в папку моего TFTP-сервера с адресом 172.31.31.250.

Младший порт Huawei USG я подключил в свою локальную сеть 172.31.31.0 /24 для того, чтобы загрузить в него новый файл с ПО посредством протокола TFTP. Но для этого нужно прописать IP-адрес из сети. Сделаем это следующим образом:

Адрес прописан. Но при этом окажется, что с USG не пингуется наш tftp-сервер. Все это потому, что по умолчанию политики безопасности на USG включены и действие по умолчанию – deny, т.е. запретить. Для ускорения первичных настроек предлагаю сделать правило по умолчанию permit, и пока устройство не будет выпущено в интернет, это не будет представлять угрозы для него. При этом значительно упростит первичную настройку:

Проверим достижимость TFTP-сервера:

После чего загрузим во флеш-память новую версию ПО с TFTP-сервера командой:

Далее следует сказать загрузчику, что после перезагрузки нужно загружать ПО именно с этого образа, а не с того, что сейчас у нас загружен, для этого даем команду:

Проверим, что при следующей загрузке устройство будет загружаться с нужной нам версией ПО:

После чего сохраняем конфигурацию и перезагружаем устройство:

После перезагрузки проверяем текущую версию ПО:

Как видно, версия у нас теперь самая свежая. С этого момента можно начинать настраивать оборудование.

Настройка интерфейсов и SSH для удаленного управления

Далее настроим SSH для удаленного управления, т.к. по умолчанию включено управление только по HTTPS.

Включим возможность управления посредством сервиса ssh на всех интерфейсах, которые будут у нас участвовать в работе. Пусть GigabitEthernet0/0/7 будет интерфейсом WAN с public IP, а GigabitEthernet0/0/1 будет LAN интерфейсом с сетью 192.168.200.0 /24:

По умолчанию в Huawei USG созданы четыре зоны файервола с предназначенными приоритетами (в скобках): local (100), dmz (50), trust (85), untrust (5). Все очень похоже на то, как это сделано в Cisco ASA – пользователи, находящиеся в одной зоне, имеют одинаковые атрибуты безопасности. Чуть ниже будет более подробно описан механизм работы зон безопасности, а пока просто определим только что настроенные интерфейсы в соответствующие зоны:

Далее конфигурируем шлюз по умолчанию:

Конфигурируем VTY интерфейс для поддержки AAA:

Создадим пользователя userssh, который сможет управлять устройством по SSH:

Генерируем локальную пару ключей rsa:

Включим сервис Secure Telnet (SSH):

Сконфигурируем пользователя userssh в качестве SSH-администратора.

На этом можно считать первичную настройку выполненной и подключить кабели внешнего интернета и локальной сети к соответствующим настроенным интерфейсам

Настройка с помощью WEB-интерфейса

Базовые настройки и апгрейд операционной системы я предпочитаю производить из командной строки, как и большинство другой конфигурации. Тем не менее, многое (не всё) можно было делать и посредством Web-интерфейса, который, на мой взгляд, очень хорошо реализован, не требует Java или клиентской программы (типа ASDM для Cisco ASA). Да и политики безопасности, как мне кажется, гораздо нагляднее и проще создавать через Web-интерфейс.

По умолчанию на устройстве Web-интерфейс включен и разрешен на Management port – на стоечных устройствах этот порт отдельный, а в нашем случае в USG6320 по умолчанию этот порт – самый младший на борту, тот, что мы использовали для обновления ПО. По умолчанию на Management port прописан IP 192.168.0.1 /24, разрешены все виды сервисов, а также включен DHCP, поэтому для противников командной строки можно с самого начала использовать WEB-интерфейс, зная эти параметры по умолчанию. Выглядят они так:

Порт для управления по https – 8443, и так как мы сменили адрес на порту чуть ранее на 172.31.31.86, обратимся к устройству из любого браузера следующим образом:

Вкладка Dashboard web-интерфейса Huawei USG

В первую очередь нужно загрузить купленные лицензии в разделе System -> License Management:

Также можно использовать пробные лицензии, выбрав соответствующий пункт со следующими ограничениями:

Пробная антивирусная и IPS подписки имеют период действия 2 месяца:

Либо при выборе Local manual activation подставляем сгенерированный файл с расширением dat с лицензией, и наши купленные лицензии активируются:

Настройка политик безопасности и обновления сигнатур

Далее предлагаю настроить выход устройства в Интернет и обновление сигнатур через Интернет. Перед тем, как приступить к настройкам, вкратце поясним механизм работы зон безопасности в Huawei USG.

Как сказано выше, по умолчанию сконфигурированы четыре зоны безопасности:

• Untrust (5). Определяет небезопасный сегмент сети, такой как Интернет, имеет наименьший уровень безопасности 5.
• DMZ (50). Определяет сегмент, в котором, как правило, располагаются сервера, к которым необходимо предоставить доступ снаружи. Но в то же время из этой зоны запрещен доступ к более защищенным сегментам сети.
• Trust (85). Определяет защищенный сегмент сети, где, как правило, располагаются рабочие станции пользователей.
• Local (100). Зона самого устройства USG, включая его интерфейсы.

Можно менять приоритеты зон, а также добавлять новые зоны, если необходимо. Это относится ко всем зонам, кроме local – ее приоритет поменять нельзя, а также в нее нельзя добавить какой-либо интерфейс.

Потоки данных в пределах одной зоны безопасности являются доверенными и не требуют настроек политик безопасности. Если же нам нужно настроить прохождение потоков данных из одной зоны в другую, то необходимо будет настроить политику безопасности (security policy), учитывая направления трафика по следующим правилам.

• Входящий трафик (Inbound): пересылается трафик из зоны более низкого приоритета в зону с более высоким приоритетом.
• Исходящий трафик (Outbound): пересылается трафик из зоны более высокого приоритета в зону с более низким приоритетом.

Направление трафика определяется по направлению первого пакета.

Напомню, что мы уже настроили интерфейсы и подключили к GigabitEhternet0/0/7 кабель от провайдера, а к GigabitEthernet0/0/1 кабель от нашей локальной сети. Если попробовать пинговать что-то снаружи (зона untrust) непосредственно с нашего устройства (зона local), то мы увидим следующую картину:

Все пакеты потеряны, несмотря на то, что маршрут по умолчанию настроен и устройство подключено к провайдеру. В подобной ситуации обычный роутер получил бы ICMP отклик обратно и картина была бы другой. Но в нашем случае работает механизм работы зон безопасности, описанный выше, и имеет место инициирование потока данных из зоны с приоритетом 100 (local) в зону с приоритетом 5 (untrust), поэтому нам необходимо настроить политику безопасности (outbound security policy), чтобы разрешить хождение пакетов в обоих направлениях. В случае применения исходящей политики по отношению к трафику в направлении LOCAL → UNTRUST, наше устройство будет создавать в таблице сессий новую запись после каждой инициации новой сессии в этом направлении. Запись будет содержать исходящий (source) и места назначения (destination) IP-адреса, соответствующие номера портов и тип протокола.

Если пакеты, которыми обменивается клиент из зоны LOCAL, и сервер в зоне Untrust соответствуют записи в таблице сессий, файервол обрабатывает пакеты на основе исходящей политики безопасности без повторной проверки направления передачи пакетов. То есть в нашем случае мы должны получить ICMP ECHO от адреса 8.8.8.8.

Настроим политику в разделе Policy, нажав кнопку Add с названием policy_to_Inet:

После применения политики проверим ее работоспособность, запустив ping на адрес 8.8.8.8 нашего устройства:

В разделе System → Update Center попробуем обновить сигнатуры IPS и антивируса, нажав Update immediately напротив, например, Antivirus Signature Database:

Через некоторое время в колонке Status увидим, что загрузка баз не удалась по причине того, что доменное имя сервера обновлений (sec.huawei.com) не удалось разрешить. Действительно, для того, чтобы имена разрешались, необходимо прописать DNS-сервер в разделе Network -> DNS, нажав кнопку Add:

После прописывания DNS-сервера все получилось:

После этого все сигнатуры будут обновляться согласно своему времени в разделе Scheduled Update Time, в данном случае каждый день в 6:38 утра.

Настройка NAT/PAT для выхода локальной сети в интернет

Настроим выход в Интернет для локальной сети 192.168.200.0 /24 (наша зона trust) посредством PAT. Так как в данном случае направление трафика будет из зоны с большим приоритетом (trust) в сторону зоны, меньшим приоритетом (untrust), необходимо настроить outbound policy security. Здесь абсолютно такое же правило, как мы уже делали для зоны local. Можно настроить новое правило, а можно, если все остальные параметры будут такими же, добавить в уже созданную policy_to_Inet еще одну Source Zone, в нашем случае trust:

В разделе Content Security добавим преднастроенный профиль default в подраздел Antivirus и профиль strict в подраздел Intrusion Preventions.

После чего создадим NAT policy для зоны trust для выхода в Интернет, «маскируясь» внешним IP-адресом:

После этого пользователи из сети 192.168.200.0 /24 смогут выходить в Интернет.

Базовую настройку Huawei USG можно считать завершенной. Выполнена модернизация ПО VRP устройства до самой последней версии, настроен SSH для удаленного управления посредством командной строки, настройка обновления сигнатур через Интернет и выход в Интернет пользователей из доверенной зоны.

Еще раз стоит отметить очень хорошее руководство по настройке (в написании этой статьи использовался документ HUAWEI USG6000&USG9500 V500R001C30SPC200 & NGFW Module V500R002C00SPC200 Product Documentation). Кроме описанных функций мной были настроены туннели IPsec site-to-site, SSL VPN для подключения удаленных пользователей, интеграция с Microsoft Active Directory для авторизации удаленных пользователей SSL-VPN и Single Sign On для пользователей домена (выход в Интернет пользователей домена без дополнительной авторизации) и другое.

Надеюсь, эта статья будет полезна для тех, кто рассматривает в качестве UTM/NGFW/Firewall устройства для замены аналогичных устройств известных американских вендоров.

источник