组网要求：

如所示，某公司拥有多个部门且位于不同网段，各部门均有访问Internet的需求。现要求用户通过三层交换机和防火墙访问外部网络，且要求三层交换机作为用户的网关。

一、eNSP详解视频：

二、IP设置：

1、Switch：vlanif2:192.168.1.1/24，vlanif3:192.168.2.1/24，vlanif100:192.168.100.2/24

2、FW1：GE1/0/1:192.168.100.1/24，GE1/0/2:200.0.0.2/24

AR1:GE0/0/0:200.0.0.1/24,loopback0:3.3.3.3/32

配置思路

1. 配置交换机作为用户的网关，通过VLANIF接口，实现跨网段用户互访。

2. 配置交换机作为DHCP服务器，为用户分配IP地址。

3. 开启防火墙域间安全策略，使不同域的报文可以相互转发。

4. 配置防火墙PAT转换功能，使用户可以访问外部网络。

三、配置步骤：

步骤1 配置交换机

# 配置连接用户的接口和对应的VLANIF接口。

system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 2 3

[Switch] interface gigabitethernet 0/0/2

[Switch-GigabitEthernet0/0/2] port link-type access //配置接口接入类型为access

[Switch-GigabitEthernet0/0/2] port default vlan 2 //配置接口加入VLAN 2

[Switch-GigabitEthernet0/0/2] quit

[Switch] interface gigabitethernet 0/0/3

[Switch-GigabitEthernet0/0/3] port link-type access

[Switch-GigabitEthernet0/0/3] port default vlan 3 

[Switch-GigabitEthernet0/0/3] quit

[Switch] interface vlanif 2

[Switch-Vlanif2] ip address 192.168.1.1 24

[Switch-Vlanif2] quit

[Switch] interface vlanif 3

[Switch-Vlanif3] ip address 192.168.2.1 24

[Switch-Vlanif3] quit

# 配置连接防火墙的接口和对应的VLANIF接口。

[Switch] vlan batch 100

[Switch] interface gigabitethernet0/0/1

[Switch-GigabitEthernet0/0/1] port link-type access

[Switch-GigabitEthernet0/0/1] port default vlan 100 

[Switch-GigabitEthernet0/0/1] quit

[Switch] interface vlanif 100

[Switch-Vlanif100] ip address 192.168.100.2 24

[Switch-Vlanif100] quit

# 配置缺省路由。

[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1 //缺省路由的下一跳是防火墙接口的IP地址192.168.100.1

# 配置DHCP服务器。

[Switch] dhcp enable 

[Switch] interface vlanif 2

[Switch-Vlanif2] dhcp select interface //DHCP使用接口地址池的方式为用户分配IP地址

[Switch-Vlanif2] dhcp server dns-list 8.8.8.8  //配置的DNS-List 114.114.114.114是公用

的DNS服务器地址，是不区分运营商的。在实际应用中，请根据运营商分配的DNS进行配置

[Switch-Vlanif2] quit

[Switch] interface vlanif 3

[Switch-Vlanif3] dhcp select interface

[Switch-Vlanif3] dhcp server dns-list 8.8.8.8 

[Switch-Vlanif3] quit

步骤2 配置防火墙

# 配置连接交换机的接口对应的IP地址。

system-view

[USG6600] interface gigabitethernet 1/0/1

[USG6600-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0 

[USG6600-GigabitEthernet1/0/1] quit

# 配置连接公网的接口对应的IP地址。

[USG6600] interface gigabitethernet 1/0/2

[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0 //配置连接公网接口的IP地址和公网的IP地址在同一网段

[USG6600-GigabitEthernet1/0/2] quit

# 配置缺省路由和回程路由。

[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 //配置静态缺省路由的下一跳指向公网提供的IP地址

200.0.0.1

[USG6600] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2 //配置回程路由的下一跳就指向交换机上行接口的IP地址192.168.100.2

# 配置安全策略。

[USG6600] fiàžw†Ãà zone trust //配置trust域

[USG6600-zone-trust] add interface gigabitethernet 1/0/1

[USG6600-zone-trust] quit

[USG6600] fiàžw†Ãà zone untrust //配置untrust域

[USG6600-zone-untrust] add interface gigabitethernet 1/0/2

[USG6600-zone-untrust] quit

# 配置安全策略，允许域间互访。

[USG6600] security-policy

[USG6600-policy-security] rule name policy1

[USG6600-policy-security-rule-policy1] source-zone trust

[USG6600-policy-security-rule-policy1] destination-zone untrust

[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0

[USG6600-policy-security-rule-policy1] action permit

[USG6600-policy-security-rule-policy1] quit

[USG6600-policy-security] quit

# 配置PAT地址池，开启允许端口地址转换。

[USG6600] nat address-group addressgroup1 

[USG6600-address-group-addressgroup1] mode pat

[USG6600-address-group-addressgroup1] route enable

[USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2 //转换的公网IP地址

[USG6600-address-group-addressgroup1] quit

# 配置源PAT策略，实现私网指定网段访问公网时自动进行源地址转换。

[USG6600] nat-policy 

[USG6600-policy-nat] rule name policy_nat1

[USG6600-policy-nat-rule-policy_nat1] source-zone trust

[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust

[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0 //允许进行PAT转换的源IP地址

[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1

[USG6600-policy-nat-rule-policy_nat1] quit

[USG6600-policy-nat] quit

[USG6600] quit

步骤3 检查配置结果

配置PC1的IP地址为192.168.1.2/24，网关为192.168.1.1；PC2的IP地址为192.168.2.2/24，网关为192.168.2.1。配置完成后，PC1和PC2都可以Ping通外网的IP 3.3.3.3，PC1和PC2都可以访问Internet。

四、Switch的主要配置文件：

#

sysname Switch

#

undo info-center enable

#

vlan batch 2 to 3 100

#

dhcp enable

#

interface Vlanif2

 ip address 192.168.1.1 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8

#

interface Vlanif3

 ip address 192.168.2.1 255.255.255.0

 dhcp select interface

 dhcp server dns-list 8.8.8.8

#

interface Vlanif100

 ip address 192.168.100.2 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

 port link-type access

 port default vlan 100

#

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 2

#

interface GigabitEthernet0/0/3

 port link-type access

 port default vlan 3

#

ip route-static 0.0.0.0 0.0.0.0 192.168.100.1

#

return

五、FW1的主要配置文件：

#

sysname FW1

#

undo info-center enable

#

interface GigabitEthernet1/0/1

 undo shutdown

 ip address 192.168.100.1 255.255.255.0

#

interface GigabitEthernet1/0/2

 undo shutdown

 ip address 200.0.0.2 255.255.255.0

#

firewall zone local

 set priority 100

#

firewall zone trust

 set priority 85

 add interface GigabitEthernet0/0/0

 add interface GigabitEthernet1/0/1

#

firewall zone untrust

 set priority 5

 add interface GigabitEthernet1/0/2

#

firewall zone dmz

 set priority 50

#

ip route-static 0.0.0.0 0.0.0.0 200.0.0.1

ip route-static 192.168.0.0 255.255.0.0 192.168.100.2

#

security-policy

 rule name policy1

  source-zone trust

  destination-zone untrust

  source-address 192.168.0.0 mask 255.255.0.0

  action permit

#

nat-policy

 rule name policy_nat1

  source-zone trust

  destination-zone untrust

  source-address 192.168.0.0 mask 255.255.0.0

  action source-nat easy-ip

#

return

六、AR1的主要配置文件：

#

 sysname AR1

#

interface GigabitEthernet0/0/0

 ip address 200.0.0.1 255.255.255.0

#

interface LoopBack0

 ip address 3.3.3.3 255.255.255.255

#

return