详解 三层交换机与防火墙对接上网配置示例

📅 2026/7/1 14:39:42
详解 三层交换机与防火墙对接上网配置示例
组网要求如所示某公司拥有多个部门且位于不同网段各部门均有访问Internet的需求。现要求用户通过三层交换机和防火墙访问外部网络且要求三层交换机作为用户的网关。IP设置1、Switchvlanif2:192.168.1.1/24vlanif3:192.168.2.1/24vlanif100:192.168.100.2/242、FW1GE1/0/1:192.168.100.1/24GE1/0/2:200.0.0.2/24AR1:GE0/0/0:200.0.0.1/24,loopback0:3.3.3.3/32配置思路1.配置交换机作为用户的网关通过VLANIF接口实现跨网段用户互访。2.配置交换机作为DHCP服务器为用户分配IP地址。3.开启防火墙域间安全策略使不同域的报文可以相互转发。4.配置防火墙PAT转换功能使用户可以访问外部网络。配置步骤步骤1配置交换机#配置连接用户的接口和对应的VLANIF接口。配置连接防火墙的接口和对应的 VLANIF 接口。配置缺省路由。//缺省路由的下一跳是防火墙接口的 IP 地址192.168.100.1ip route-static 0.0.0.0 0.0.0.0 192.168.100.1配置 DHCP 服务器。[Switch] dhcp enable[Switch] interface vlanif 2[Switch-Vlanif2] dhcp select interface //DHCP 使用接口地址池的方式为用户分配 IP 地址[Switch-Vlanif2] dhcp server dns-list 8.8.8.8配置的 DNS-List 114.114.114.114 是公用的 DNS 服务器地址是不区分运营商的。在实际应用中请根据运营商分配的 DNS 进行配置[Switch-Vlanif2] quit[Switch] interface vlanif 3[Switch-Vlanif3] dhcp select interface[Switch-Vlanif3] dhcp server dns-list 8.8.8.8[Switch-Vlanif3] quit2 配置防火墙配置连接交换机的接口对应的 IP 地址。USG6600 system-view[USG6600] interface gigabitethernet 1/0/1[USG6600-GigabitEthernet1/0/1] ip address 192.168.100.1 255.255.255.0[USG6600-GigabitEthernet1/0/1] quit配置连接公网的接口对应的 IP 地址。[USG6600] interface gigabitethernet 1/0/2[USG6600-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0配置连接公网接口的 IP 地址和公网的 IP地址在同一网段[USG6600-GigabitEthernet1/0/2] quit配置缺省路由和回程路由。[USG6600] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1//配置静态缺省路由的下一跳指向公网提供的 IP 地址200.0.0.1[USG6600] ip route-static 192.168.0.0 255.255.0.0 192.168.100.2//配置回程路由的下一跳就指向交换机上行接口的 IP 地址 192.168.100.2配置安全策略。配置安全策略允许域间互访。配置 PAT 地址池开启允许端口地址转换。配置源 PAT 策略实现私网指定网段访问公网时自动进行源地址转换。[USG6600] nat-policy[USG6600-policy-nat] rule name policy_nat1[USG6600-policy-nat-rule-policy_nat1] source-zone trust[USG6600-policy-nat-rule-policy_nat1] destination-zone untrust[USG6600-policy-nat-rule-policy_nat1] source-address 192.168.0.0 mask 255.255.0.0 //允许进行 PAT 转换的源 IP 地址[USG6600-policy-nat-rule-policy_nat1] action nat address-group addressgroup1[USG6600-policy-nat-rule-policy_nat1] quit[USG6600-policy-nat] quit[USG6600] quit检查配置结果配置 PC1 的 IP 地址为 192.168.1.2/24网关为 192.168.1.1PC2 的 IP 地址为192.168.2.2/24网关为 192.168.2.1。配置完成后PC1 和 PC2 都可以 Ping 通外网的 IP3.3.3.3PC1 和 PC2 都可以访问 Internet。Switch 的主要配置文件sysname Switch#undo info-center enable#vlan batch 2 to 3 100#dhcp enable#interface Vlanif2ip address 192.168.1.1 255.255.255.0dhcp select interfacedhcp server dns-list 8.8.8.8#interface Vlanif3ip address 192.168.2.1 255.255.255.0dhcp select interfacedhcp server dns-list 8.8.8.8#interface Vlanif100ip address 192.168.100.2 255.255.255.0##interface MEth0/0/1interface GigabitEthernet0/0/1port link-type accessport default vlan 100#interface GigabitEthernet0/0/2port link-type accessport default vlan 2#interface GigabitEthernet0/0/3port link-type accessport default vlan 3##returnip route-static 0.0.0.0 0.0.0.0 192.168.100.1五、FW1 的主要配置文件undo info-center enable###sysname FW1interface GigabitEthernet1/0/1undo shutdownip address 192.168.100.1 255.255.255.0#interface GigabitEthernet1/0/2undo shutdownip address 200.0.0.2 255.255.255.0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/2#firewall zone dmzset priority 50##ip route-static 0.0.0.0 0.0.0.0 200.0.0.1ip route-static 192.168.0.0 255.255.0.0 192.168.100.2security-policyrule name policy1source-zone trustdestination-zone untrustsource-address 192.168.0.0 mask 255.255.0.0action permit#nat-policyrule name policy_nat1source-zone trustdestination-zone untrustsource-address 192.168.0.0 mask 255.255.0.0action source-nat easy-ip#return六、AR1 的主要配置文件#sysname AR1#interface GigabitEthernet0/0/0ip address 200.0.0.1 255.255.255.0#interface LoopBack0ip address 3.3.3.3 255.255.255.255#return