作者杨春刚一、Cloud1配置1. 端口创建类型选择千兆口绑定信息尤为关键。需要添加两条绑定一条用于 Cloud1 与电脑本机通信绑定电脑本机的网卡使用端口号1的192.168.56.1即 eNSP 自带的虚拟网卡。另一条用于虚拟机中添加的相关设备之间互相通信使用UDP。2. 端口映射端口类型与上面对应出入口分别分配。勾选双向通道点击增加在映射表中即可看到已添加的映射记录。3. 连接防火墙和Cloud1使用铜线Copper连接防火墙和 Cloud1。防火墙接口选择GE0/0/0Cloud1 接口只能选择GE0/0/2因为配置 Cloud1 时 UDP 绑定在端口2若添加更多 UDP 端口此处可选接口相应增加。二、配置防火墙system-view# 进入系统视图interface GigabitEthernet0/0/0# 进入0/0/0接口ipaddress192.168.56.2255.255.255.0# 配置IP地址与Cloud1绑定的本机IP同网段undoshutdown# 开启当前接口quit# 退出接口视图displayipinterface brief# 查看接口配置状态确认G0/0/0接口已完成 IP 配置且状态均为up。此时在本机192.168.56.1ping 192.168.56.2应能通信正常。三、防火墙查看会话display firewall session table# 查看当前所有会话display firewall session table protocol icmp# 只查看ICMPping的会话display firewall session tablesource192.168.56.1# 只查看来自特定源IP的会话在本机ping 192.168.56.2时可查看到 ping 的会话及方向。在本机telnet 192.168.56.2时可看到两条会话及方向。四、防火墙抓包Debug方式适用设备示例华为 USG5500。不同型号命令可能有差异请注意甄别。1. 创建 ACL只匹配 ICMP 协议SRGsystem-view[SRG]acl number3000[SRG-acl-adv-3000]rule permit icmp[SRG-acl-adv-3000]quit[SRG]quit作用创建 ACL 3000只识别 ICMPping协议后续抓包仅抓取此 ACL 匹配的流量。2. 开启终端输出SRGterminal debuggingSRGterminal monitor3. 用 ACL 过滤抓包SRGdebuggingippacket acl30004. 本地电脑开始持续 pingping192.168.56.2-t5. 防火墙查看抓包结果在终端中可以看到从本地电脑发来的数据包以及防火墙返回的响应包。6. 立即关闭抓包重要SRGundo debugging allSRGundo terminal debuggingSRGundo terminal monitor⚠️注意此方法使用防火墙内置 Debug 抓包会消耗防火墙 CPU。测试完毕后必须立即关闭否则可能导致防火墙卡死。该方法适合快速确认数据是否到达防火墙不适合对数据包进行详细分析。本文档基于 eNSP 模拟环境编写供网络学习与测试参考。