大家好,又见面了,我是你们的朋友全栈君。
该场景,防火墙作为出口访问 internet,然后接的傻瓜式交换机来连接下面的办公 PC,属于一个简单的 SOHO 环境,一般在防火墙上面应用 DHCP,也通常是这种情况,大点的环境则是交换机或者专门的 DHCP 服务器来做。
1、防火墙初始化配置
2、DHCP 配置(基于全局的配置方式)
3、防火墙策略+NAT 配置,让下面 PC 能够访问 Internet。
4、测试
1、防火墙初始化配置
接口地址配置
[HW-USG]int g0/0/1
[HW-USG-GigabitEthernet0/0/1]ip address 202.100.1.1 24
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]ip address 192.168.1.1 24
接口加入 Zone
[HW-USG]firewall zone untrust
[HW-USG-zone-untrust]add interface g0/0/1
说明:默认情况下 G0/0/0 属于 trust 接口,而 G0/0/1 则不属于任何接口,所以这里必须加入对应的 Zone,这里为 Untrust。
2、DHCP 配置(基于全局的配置方式)
开启 DHCP 服务
[HW-USG]dhcp enable
创建地址池
[HW-USG]dhcp server ip-pool 1
[HW-USG-dhcp-1]network 192.168.1.0 mask 24
[HW-USG-dhcp-1]gateway-list 192.168.1.1
[HW-USG-dhcp-1]dns-list 114.114.114.114
[HW-USG-dhcp-1]domain-name cbc.com
[HW-USG-dhcp-1]expired day 1
[HW-USG]dhcp server forbidden-ip 192.168.1.1 192.168.1.10
说明:这里创建地址池与交换机不一样,类似于 H3C 的方法,另外排除地址是在全局定义的,而不是在地址池内。
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]dhcp select global
调用在接口下。
3、防火墙策略+NAT 配置,让下面 PC 能够访问 Internet。
[HW-USG]policy interzone trust untrust outbound
[HW-USG-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit
说明:如果是 21 系列的话,可能存在默认策略是放行的,但是这里是 55 系列,是需要手工放行流量的,这里定义的是允许
192.168.1.0 的流量从 trust 进来,访问 Untrust 的任何流量都通过。
[HW-USG]nat-policy interzone trust untrust outbound
[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1
说明:这里定义从 trust 来的 192.168.1.0/24,访问 Untrust 的任何流量,做源 NAT 转换,转换的地址是 G0/0/1 的接口地
址,也就是通过这个来访问 internet。
默认路由
[HW-USG]ip route-static 0.0.0.0 0 202.100.1.2
说明:这里配置一条默认路由指向 ISP,访问外网。
4、测试
场景 2 适合在一个小型办公网络内,但是有 2~3 个部门,需要划分 VLAN 跟不同网段,那么这时候防火墙上面就需要通过跟交换机一样配置 trunk,然后起 VLAN 接口来作为网关,并且在接口下配置 DHCP 服务。
实现目标
1、二层交换机配置
2、防火墙配置改变
3、DHCP 配置(基于接口形式)
4、策略与 NAT 配置上网
5、测试
1、二层交换机配置
创建 VLAN
[HW-s2700]vlan batch 2 to 3
PC 接口划入对应 VLAN
[HW-s2700]int e0/0/1
[HW-s2700-Ethernet0/0/1]port link-type access
[HW-s2700-Ethernet0/0/1]port default vlan 2
[HW-s2700-Ethernet0/0/1]stp edged-port enable
与防火墙对接接口配置为 trunk
[HW-s2700-Ethernet0/0/2]int g0/0/1
[HW-s2700-GigabitEthernet0/0/1]port link-type trunk
[HW-s2700-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
2、防火墙配置改变
创建 VLAN
[HW-USG]vlan batch 2 to 3
切换至二层接口
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]portswitch
说明:这里必须把三层口的配置清空,比如 IP 地址等,才可以切换
[HW-USG-GigabitEthernet0/0/0]port link-type trunk
[HW-USG-GigabitEthernet0/0/0]port trunk permit vlan 2 to 3
说明:配置对接交换机的接口为 trunk,并且放行 VLAN 2 与 3 通过,这里的配置与交换机有点区别,跟 H3C 一样。
三层 VLAN 接口配置
[HW-USG]int vlan 2
[HW-USG-Vlanif2]ip address 192.168.2.1 24
[HW-USG-Vlanif2]int vlan 3
[HW-USG-Vlanif3]ip add 192.168.3.1 24
容易忽略的一件事,加入 Zone!说明,这里加入三层接口即可,二层不需要加入
[HW-USG]firewall zone trust
[HW-USG-zone-trust]add interface Vlanif 2
[HW-USG-zone-trust]add interface Vlanif 3
3、DHCP 配置(基于接口形式)
[HW-USG]int vlan 2
[HW-USG-Vlanif2]dhcp select interface
[HW-USG-Vlanif2]dhcp server ip-range 192.168.2.10 192.168.2.200
[HW-USG-Vlanif2]dhcp server dns-list 114.114.114.114
[HW-USG-Vlanif2]dhcp server domain-name cbc.com
[HW-USG-Vlanif2]dhcp server expired day 1
[HW-USG]int vlan 3
[HW-USG-Vlanif3]dhcp select interface
[HW-USG-Vlanif3]dhcp server ip-range 192.168.3.10 192.168.3.150
[HW-USG-Vlanif3]dhcp server dns-list 114.114.114.114
[HW-USG-Vlanif3]dhcp server domain-name cbc.com
说明:这里基于接口的配置,与交换机有点区别,所以红色标记了下。
4、策略与 NAT 配置上网
策略配置,允许内网访问外网
[HW-USG]policy interzone trust untrust outbound
[HW-USG-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit
NAT 配置,让内网的地址通过外网接口地址形式访问外网.
[HW-USG]nat-policy interzone trust untrust outbound
[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1
5、测试
DHCP 中继配置
USG 只支持在接口下配置,而且配置方式有点不一样。
ip relay address 192.168.1.1
dhcp select relay
说明:先指定地址,最后在接口下开启 relay 服务。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/128772.html原文链接:https://javaforall.cn
【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛
【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...