1. 华为防火墙USG6309E初体验从拆箱到上电第一次拿到USG6309E时这个黑色金属机箱给我的感觉就是专业。作为华为面向中小企业推出的下一代防火墙它比普通交换机重不少正面8个千兆电口和2个SFP光口的组合非常醒目。这里分享几个新手容易忽略的物理细节管理接口位置右侧的MGMT口和Console口很容易被忽略建议先用标签标记出来电源冗余设计双电源接口但只配一个电源适配器后期扩容要注意散热风向风扇是前进后出机柜安装时要留足散热空间上电后指示灯的状态很重要电源灯常亮表示供电正常SYS灯闪烁表示系统启动中端口灯亮起表示链路连通注意首次启动约需3-5分钟期间不要断电。我遇到过因断电导致系统损坏的情况最后只能返厂修复。2. 两种登录方式详解总有一种适合你2.1 MGMT网管口登录实战用网线连接MGMT口时我发现几个常见问题电脑IP必须设为192.168.0.x网段但很多人会忘记子网掩码要设255.255.255.0浏览器必须用HTTPS协议直接输http会报错默认密码adminhuawei.com要注意大小写登录后建议立即做三件事修改默认密码设置管理员账号备份初始配置# 修改密码的CLI命令 [USG]aaa [USG-aaa]local-user admin password cipher NewPassword20232.2 Console口登录的坑点排查用SecureCRT连接时这些参数必须匹配波特率9600数据位8停止位1无校验常见问题解决方案如果乱码检查流控设置要全部取消无响应尝试更换USB转串口线登录失败确认没有输错默认密码3. 基础网络配置从VLAN划分到路由设置3.1 VLAN规划的最佳实践根据办公网典型需求我推荐这种划分方案VLAN ID用途IP网段对应端口10办公区192.168.1.0/24G0/0/1-620服务器区192.168.2.0/24G0/0/730访客网络192.168.3.0/24预留配置时要特别注意# 创建VLANif时必须开启服务管理 [USG]interface Vlanif 10 [USG-Vlanif10]service-manage all permit # 比ping permit更全面3.2 路由配置的智能组合实际项目中我推荐混合使用静态路由和OSPF外网出口用静态路由内网互联用OSPF关键配置片段# 静态路由配置示例 [USG]ip route-static 0.0.0.0 0 202.96.128.1 # OSPF特殊配置 [USG-ospf-1]default-route-advertise always # 发布默认路由4. 防火墙特有配置安全区域的奥秘4.1 区域划分的黄金法则安全区域是防火墙的核心概念我的划分原则是Untrust所有外网接口Trust内网用户区域DMZ服务器区域配置示例# 将WAN口加入untrust区域 [USG]firewall zone untrust [USG-zone-untrust]add interface GigabitEthernet 0/0/0 # VLANif必须单独加入区域 [USG-zone-trust]add interface Vlanif 104.2 服务管理的隐藏技巧除了基本的ping permit还有这些实用配置# 允许特定协议 [USG-Vlanif10]service-manage http permit [USG-Vlanif10]service-manage https permit # 临时开放所有服务调试用 [USG-Vlanif10]service-manage all permit5. 实战问题排查手册5.1 网络不通的排查流程按照这个顺序检查物理链路端口指示灯状态IP配置ifconfig查看地址路由表display ip routing-table安全策略display firewall session table5.2 常见错误解决方案问题1能ping通但无法上网检查NAT策略是否配置确认DNS设置正确问题2部分应用无法访问检查应用层网关(ALG)配置查看是否有深度包检测限制6. 进阶配置建议6.1 安全策略的合理规划建议采用最小权限原则配置策略# 示例只允许办公网访问HTTP [USG]security-policy [USG-policy-security]rule name Office_to_Web [USG-policy-security-rule-Office_to_Web]source-zone trust [USG-policy-security-rule-Office_to_Web]destination-zone untrust [USG-policy-security-rule-Office_to_Web]action permit6.2 配置备份与恢复定期备份很重要# 导出配置 save config.cfg # 恢复配置 startup saved-configuration config.cfg在实际项目中我习惯在每次重大变更前都备份配置。有次误操作导致配置丢失幸亏有备份文件十分钟就恢复了业务。
