组网需求

如图3-323所示，某公司拥有多个部门且位于不同网段，各部门均有访问Inte.NET的需求。现要求用户通过三层交换机和防火墙访问外部网络，且要求三层交换机作为用户的网关。

图3-323 三层交换机与防火墙对接上网组网图

配置思路

采用如下思路进行配置：

1. 配置交换机作为用户的网关，通过VLANIF接口，实现跨网段用户互访。
2. 配置交换机作为DHCP服务器，为用户分配IP地址。
3. 开启防火墙域间安全策略，使不同域的报文可以相互转发。
4. 配置防火墙PAT转换功能，使用户可以访问外部网络。

操作步骤

1. 配置交换机
2. # 配置连接用户的接口和对应的VLANIF接口。

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] vlan batch 2 3
[Switch] interface gigabitethernet 0/0/2
[Switch-GigabitEthernet0/0/2] port link-type access   //配置接口接入类型为access
[Switch-GigabitEthernet0/0/2] port default vlan 2   //配置接口加入VLAN 2
[Switch-GigabitEthernet0/0/2] quit
[Switch] interface gigabitethernet 0/0/3
[Switch-GigabitEthernet0/0/3] port link-type access
[Switch-GigabitEthernet0/0/3] port default vlan 3   
[Switch-GigabitEthernet0/0/3] quit
[Switch] interface vlanif 2
[Switch-Vlanif2] ip address 192.168.1.1 24
[Switch-Vlanif2] quit
[Switch] interface vlanif 3
[Switch-Vlanif3] ip address 192.168.2.1 24
[Switch-Vlanif3] quit

# 配置连接防火墙的接口和对应的VLANIF接口。

[Switch] vlan batch 100
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] port link-type access
[Switch-GigabitEthernet0/0/1] port default vlan 100   
[Switch-GigabitEthernet0/0/1] quit
[Switch] interface vlanif 100
[Switch-Vlanif100] ip address 192.168.100.2 24
[Switch-Vlanif100] quit

# 配置缺省路由。

[Switch] ip route-static 0.0.0.0 0.0.0.0 192.168.100.1   //缺省路由的下一跳是防火墙接口的IP地址192.168.100.1

# 配置DHCP服务器。

[Switch] dhcp enable   
[Switch] interface vlanif 2
[Switch-Vlanif2] dhcp select interface   //DHCP使用接口地址池的方式为用户分配IP地址
[Switch-Vlanif2] dhcp server DNS-list 114.114.114.114 223.5.5.5   //配置的DNS-List 114.114.114.114是公用的DNS服务器地址，是不区分运营商的。在实际应用中，请根据运营商分配的DNS进行配置
[Switch-Vlanif2] quit
[Switch] interface vlanif 3
[Switch-Vlanif3] dhcp select interface
[Switch-Vlanif3] dhcp server dns-list 114.114.114.114 223.5.5.5
[Switch-Vlanif3] quit

配置防火墙

# 配置连接交换机的接口对应的IP地址。

<USG6600> system-view
[USG6600] interface gigabitethernet 1/0/1
[USG6600-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0   
[USG6600-GigabitEthernet1/0/1] quit

# 配置连接公网的接口对应的IP地址。

[USG6600] interface gigabitethernet 1/0/2
[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0   //配置连接公网接口的IP地址和公网的IP地址在同一网段
[USG6600-GigabitEthernet1/0/2] quit

# 配置缺省路由和回程路由。

[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1   //配置静态缺省路由的下一跳指向公网提供的IP地址200.0.0.1
[USG6600] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2   //配置回程路由的下一跳就指向交换机上行接口的IP地址192.168.100.

# 配置安全策略。

[USG6600] firewall zone tRust   //配置trust域
[USG6600-zone-trust] add interface gigabitethernet 1/0/1
[USG6600-zone-trust] quit
[USG6600] firewall zone untrust   //配置untrust域
[USG6600-zone-untrust] add interface gigabitethernet 1/0/2
[USG6600-zone-untrust] quit

# 配置安全策略，允许域间互访。

[USG6600] security-policy
[USG6600-policy-security] rule name policy1
[USG6600-policy-security-rule-policy1] source-zone trust
[USG6600-policy-security-rule-policy1] destination-zone untrust
[USG6600-policy-security-rule-policy1] source-address 192.168.0.0 mask 255.255.0.0
[USG6600-policy-security-rule-policy1] action permit
[USG6600-policy-security-rule-policy1] quit
[USG6600-policy-security] quit

配置PAT地址池，开启允许端口地址转换。

[USG6600] nat address-group addressgroup1    
[USG6600-address-group-addressgroup1] mode pat
[USG6600-address-group-addressgroup1] route enable
[USG6600-address-group-addressgroup1] section 0 200.0.0.2 200.0.0.2    //转换的公网IP地址
[USG6600-address-group-addressgroup1] quit

配置源PAT策略，实现私网指定网段访问公网时自动进行源地址转换。

[USG6600] nat-policy    
[USG6600-policy-nat] rule name policy_nat1
[USG6600-policy-nat-rule-policy_nat1] source-zone trust
[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust
[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0   //允许进行PAT转换的源IP地址
[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[USG6600-policy-nat-rule-policy_nat1] quit
[USG6600-policy-nat] quit
[USG6600] quit

到此 配置就完成了