防火墙通过命令行方式上线

背景信息

防火墙支持通过命令行方式，在本地手工配置华为乾坤云平台的URL/IP和端口号信息，最终完成上线。

防火墙上如何使能云管理模式，以及设置华为乾坤云平台对接参数的操作过程如下。

除此之外，还需要保证防火墙与华为乾坤云平台能够互通，才能完成上线。

V600款型防火墙目前不支持通过命令行方式上云，请通过其他方式上云。

前提条件

• 请确认华为乾坤云平台上已创建站点并添加设备。
• 请确认设备款型和版本能够在华为乾坤云平台上线。
  • 设备款型和版本支持情况，请参考《华为乾坤云管理网络配套款型表》（若无权限访问，请联系华为渠道获取）。
  • 如果版本不匹配，请参考单产品升级指导书完成版本升级。

操作步骤

1. 查看防火墙工作模式。
   1. 通过Console方式登录防火墙设备。
      

      您可以在《华为安全产品缺省帐号与密码》（企业网、运营商）文档中获取各种缺省帐号与密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。为确保帐号安全，建议首次登录后修改缺省密码。

   2. 执行命令system-view，进入系统视图。
   3. 在系统视图下执行命令display firewall run-mode，查看当前防火墙工作模式。

2. （可选）切换云管理模式。

   若当前防火墙工作在传统模式下，需在系统视图下执行命令firewall run-mode cloud-manage，切换到云管理模式。执行此命令后，设备会提示清除设备的配置并重新启动。重启完毕，即切换到了云管理模式。

3. 配置防火墙接入Internet。

   请根据网络服务商提供的信息选择接入Internet的方式。不同的接入Internet方式对应不同的参数。

   表1 接入Internet方式

   前提条件	接入方式
   如果网络服务商提供DHCP Server，您可以自动获取IP地址。 说明： 缺省情况下，防火墙接口下的DHCP Client功能处于关闭状态。	DHCP
   如果您从网络服务商处获得一个固定的IP地址或者IP地址段。	静态IP地址
   如果您从网络服务商处获得一个用户名和密码。	PPPoE
   如果您通过4G接口连接运营商网络。	LTE

   • 采用DHCP方式接入Internet：
     1. 在系统视图下执行命令interface interface-type interface-number，进入上行接口的接口视图。
     2. 执行命令ip address dhcp-alloc，开启DHCP Client功能。

        缺省情况下，接口下DHCP Client功能处于关闭状态。

     3. 执行命令save，保存配置。
   • 采用静态IP地址方式接入Internet：
     1. 在系统视图下执行命令interface interface-type interface-number，进入上行接口的接口视图。
     2. 执行命令gateway ip-address，配置防火墙设备的默认网关，此处IP地址是运营商提供的地址。
     3. 执行命令ip address ip-address { mask | mask-length }，配置防火墙设备的IP地址和子网掩码，此处IP地址是运营商分配的公网地址。
     4. 将防火墙的上行接口加入非安全区域。
        1. 执行命令quit，退回到系统视图。
        2. 执行命令firewall zone untrust，创建非安全区域，并进入非安全区域视图。
        3. 执行命令add interface interface-type interface-number，将防火墙的上行接口加入到非安全区域。
        4. 执行命令quit，退回到系统视图。
        5. 执行命令ip route-static ip-address { mask | mask-length } ip-address，配置防火墙到华为乾坤云平台南向的静态路由。
           

           确保配置完成后可以在防火墙上Ping通云管理平台。

        6. 执行命令save，保存配置。
   • 采用PPPoE方式接入Internet：
     1. 配置Dialer接口。
        1. 在系统视图下执行命令dialer-rule dialer-number { { ip | ipv6 } { deny | permit } | { acl | acl6 } acl-number }，配置拨号控制列表。
        2. 执行命令interface dialer number，创建Dialer接口并进入Dialer接口视图。
        3. 执行命令link-protocol ppp，配置接口封装的链路层协议为PPP。
        4. 执行命令dialer user username，配置拨号用户名。
        5. 执行命令dialer bundle number，指定Dialer接口使用的Dialer bundle。
     2. 在Dialer接口视图下配置Dialer接口的IP地址。
        • 配置Dialer接口的IPv4地址：
          • 直接配置IP地址：

            执行命令ip address ip-address { mask | mask-length }，配置Dialer接口的IP地址。

          • 配置由对端分配IP地址：

            执行命令ip address ppp-negotiate，配置本端接口接受PPP协商产生的由对端分配的IP地址。

        • 配置Dialer接口的IPv6地址：

          执行命令ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }，配置接口的IPv6地址。

     3. 配置接口上启用PPPoE Client功能。
        1. 执行命令quit，退回到系统视图。
        2. 执行命令interface interface-type interface-number，进入接口视图。
        3. 执行命令pppoe-client dial-bundle-number number [ no-hostuniq ] [ idle-timeout seconds [ queue-length packets ] ] [ ipv4 | ipv6 ]，指定PPPoE会话所对应的Dialer bundle。
        4. 执行命令quit，退回到系统视图。
        5. 执行命令ip route-static 0.0.0.0 0 { nexthop-address | interface-type interface-number } [ preference preference ]，配置到PPPoE Server的静态路由。
     4. 执行命令save，保存配置。

4. 配置防火墙注册上线。
   1. 在系统视图下执行命令api call-home host hostname { domain domain-name | ip ip-address } port port-number [ source-ip source-ip-address ] [ vpn-instance vpn-instance-name ] ，配置防火墙注册到华为乾坤云平台的IP地址（139.9.137.139）/域名（device.qiankun-saas.huawei.com）以及端口号（10020）等。推荐优先使用domain域名方式上云。
   2. 执行命令api call-home connect [ host hostname ]，发起请求连接华为乾坤云平台。
   3. 执行命令display api call-home connection status，查看防火墙上线情况。

后续操作

用户可登录华为乾坤云平台，检查防火墙状态。如果状态为“正常”，说明防火墙已成功注册上线。