华为防火墙usg6000配置dhcp(华为交换机与防火墙互联配置)

大家好，又见面了，我是你们的朋友全栈君。

在这里插入图片描述
该场景，防火墙作为出口访问 internet，然后接的傻瓜式交换机来连接下面的办公 PC，属于一个简单的 SOHO 环境，一般在防火墙上面应用 DHCP，也通常是这种情况，大点的环境则是交换机或者专门的 DHCP 服务器来做。
1、防火墙初始化配置
2、DHCP 配置（基于全局的配置方式）
3、防火墙策略+NAT 配置，让下面 PC 能够访问 Internet。
4、测试
1、防火墙初始化配置
接口地址配置
[HW-USG]int g0/0/1
[HW-USG-GigabitEthernet0/0/1]ip address 202.100.1.1 24
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]ip address 192.168.1.1 24
接口加入 Zone
[HW-USG]firewall zone untrust
[HW-USG-zone-untrust]add interface g0/0/1
说明：默认情况下 G0/0/0 属于 trust 接口，而 G0/0/1 则不属于任何接口，所以这里必须加入对应的 Zone，这里为 Untrust。
2、DHCP 配置（基于全局的配置方式）
开启 DHCP 服务
[HW-USG]dhcp enable
创建地址池
[HW-USG]dhcp server ip-pool 1
[HW-USG-dhcp-1]network 192.168.1.0 mask 24
[HW-USG-dhcp-1]gateway-list 192.168.1.1
[HW-USG-dhcp-1]dns-list 114.114.114.114
[HW-USG-dhcp-1]domain-name cbc.com
[HW-USG-dhcp-1]expired day 1
[HW-USG]dhcp server forbidden-ip 192.168.1.1 192.168.1.10
说明：这里创建地址池与交换机不一样，类似于 H3C 的方法，另外排除地址是在全局定义的，而不是在地址池内。
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]dhcp select global
调用在接口下。
3、防火墙策略+NAT 配置，让下面 PC 能够访问 Internet。
[HW-USG]policy interzone trust untrust outbound
[HW-USG-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit
说明：如果是 21 系列的话，可能存在默认策略是放行的，但是这里是 55 系列，是需要手工放行流量的，这里定义的是允许
192.168.1.0 的流量从 trust 进来，访问 Untrust 的任何流量都通过。
[HW-USG]nat-policy interzone trust untrust outbound
[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1
说明：这里定义从 trust 来的 192.168.1.0/24，访问 Untrust 的任何流量，做源 NAT 转换，转换的地址是 G0/0/1 的接口地
址，也就是通过这个来访问 internet。
默认路由
[HW-USG]ip route-static 0.0.0.0 0 202.100.1.2
说明：这里配置一条默认路由指向 ISP，访问外网。
4、测试

在这里插入图片描述
场景 2 适合在一个小型办公网络内，但是有 2~3 个部门，需要划分 VLAN 跟不同网段，那么这时候防火墙上面就需要通过跟交换机一样配置 trunk，然后起 VLAN 接口来作为网关，并且在接口下配置 DHCP 服务。
实现目标
1、二层交换机配置
2、防火墙配置改变
3、DHCP 配置（基于接口形式）
4、策略与 NAT 配置上网
5、测试
1、二层交换机配置
创建 VLAN
[HW-s2700]vlan batch 2 to 3
PC 接口划入对应 VLAN
[HW-s2700]int e0/0/1
[HW-s2700-Ethernet0/0/1]port link-type access
[HW-s2700-Ethernet0/0/1]port default vlan 2
[HW-s2700-Ethernet0/0/1]stp edged-port enable
与防火墙对接接口配置为 trunk
[HW-s2700-Ethernet0/0/2]int g0/0/1
[HW-s2700-GigabitEthernet0/0/1]port link-type trunk
[HW-s2700-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
2、防火墙配置改变
创建 VLAN
[HW-USG]vlan batch 2 to 3
切换至二层接口
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]portswitch
说明：这里必须把三层口的配置清空，比如 IP 地址等，才可以切换
[HW-USG-GigabitEthernet0/0/0]port link-type trunk
[HW-USG-GigabitEthernet0/0/0]port trunk permit vlan 2 to 3
说明：配置对接交换机的接口为 trunk，并且放行 VLAN 2 与 3 通过，这里的配置与交换机有点区别，跟 H3C 一样。
三层 VLAN 接口配置
[HW-USG]int vlan 2
[HW-USG-Vlanif2]ip address 192.168.2.1 24
[HW-USG-Vlanif2]int vlan 3
[HW-USG-Vlanif3]ip add 192.168.3.1 24
容易忽略的一件事，加入 Zone！说明，这里加入三层接口即可，二层不需要加入
[HW-USG]firewall zone trust
[HW-USG-zone-trust]add interface Vlanif 2
[HW-USG-zone-trust]add interface Vlanif 3
3、DHCP 配置（基于接口形式）
[HW-USG]int vlan 2
[HW-USG-Vlanif2]dhcp select interface
[HW-USG-Vlanif2]dhcp server ip-range 192.168.2.10 192.168.2.200
[HW-USG-Vlanif2]dhcp server dns-list 114.114.114.114
[HW-USG-Vlanif2]dhcp server domain-name cbc.com
[HW-USG-Vlanif2]dhcp server expired day 1
[HW-USG]int vlan 3
[HW-USG-Vlanif3]dhcp select interface
[HW-USG-Vlanif3]dhcp server ip-range 192.168.3.10 192.168.3.150
[HW-USG-Vlanif3]dhcp server dns-list 114.114.114.114
[HW-USG-Vlanif3]dhcp server domain-name cbc.com
说明：这里基于接口的配置，与交换机有点区别，所以红色标记了下。
4、策略与 NAT 配置上网
策略配置，允许内网访问外网
[HW-USG]policy interzone trust untrust outbound
[HW-USG-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit
NAT 配置，让内网的地址通过外网接口地址形式访问外网.
[HW-USG]nat-policy interzone trust untrust outbound
[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1
5、测试
DHCP 中继配置
USG 只支持在接口下配置，而且配置方式有点不一样。
ip relay address 192.168.1.1
dhcp select relay
说明：先指定地址，最后在接口下开启 relay 服务。