組網(wǎng)需求

如圖1所示，F(xiàn)W作為出口網(wǎng)關(guān)，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)中的PC接入Internet。網(wǎng)絡(luò)規(guī)劃如下：

• 內(nèi)部網(wǎng)絡(luò)中的PC部署在10.3.0.0/24網(wǎng)段，管理員手動(dòng)設(shè)置各個(gè)PC的IPv4地址。

• FW使用靜態(tài)IPv4地址連接內(nèi)部網(wǎng)絡(luò)。

• FW作為DHCP Client，向DHCP Server（運(yùn)營商設(shè)備）獲得IPv4地址、DNS地址后，實(shí)現(xiàn)接入Internet。

操作步驟

1. 配置接口IP地址并將其加入安全區(qū)域
   

   <FW>?system-view
[FW]?interface?GigabitEthernet?0/0/3
[FW-GigabitEthernet0/0/3]?ip?address?10.3.0.1?24
[FW-GigabitEthernet0/0/3]?quit
[FW]?firewall?zone?trust
[FW-zone-trust]?add?interface?GigabitEthernet?0/0/3
[FW]?firewall?zone?untrust
[FW-zone-untrust]?add?interface?GigabitEthernet?0/0/1
[FW-zone-untrust]?quit


2. 配置DNS Proxy功能。
   

   [FW]?dns?proxy?enable
[FW]?dns?resolve
[FW]?dns?server?unnumbered?interface?GigabitEthernet0/0/1


3. 配置接口GigabitEthernet 0/0/1作為DHCP Client。
   

   [FW]?interface?GigabitEthernet?0/0/1
[FW-GigabitEthernet0/0/1]?ip?address?dhcp-alloc
[FW-GigabitEthernet0/0/1]?quit


4. 配置安全策略，允許內(nèi)部網(wǎng)絡(luò)中的PC訪問Internet。
   

   [FW]?security-policy
[FW-security-policy]?rule?name?policy_sec_1
[FW-security-policy-sec_policy_1]?source-address?10.3.0.0?mask?255.255.255.0
[FW-security-policy-sec_policy_1]?source-zone?trust
[FW-security-policy-sec_policy_1]?destination-zone?untrust
[FW-security-policy-sec_policy_1]?action?permit
[FW-security-policy-sec_policy_1]?quit
[FW-security-policy]?quit
[FW-security-policy]?rule?name?policy_sec_2
[FW-security-policy-sec_policy_2]?source-address?10.3.0.0?mask?255.255.255.0
[FW-security-policy-sec_policy_2]?source-zone?trust
[FW-security-policy-sec_policy_2]?destination-zone?local
[FW-security-policy-sec_policy_2]?action?permit
[FW-security-policy-sec_policy_2]?quit
[FW-security-policy]?quit
[FW-security-policy]?rule?name?policy_sec_3
[FW-security-policy-sec_policy_3]?source-address?10.3.0.0?mask?255.255.255.0
[FW-security-policy-sec_policy_3]?source-zone?local
[FW-security-policy-sec_policy_3]?destination-zone?untrust
[FW-security-policy-sec_policy_3]?action?permit
[FW-security-policy-sec_policy_3]?quit
[FW-security-policy]?quit


5. 配置NAT策略，在內(nèi)部網(wǎng)絡(luò)中的PC使用私網(wǎng)地址訪問Internet時(shí)進(jìn)行地址轉(zhuǎn)換。
   

   [FW]?nat-policy
[FW-policy-nat]?rule?name?policy_nat_1
[FW-policy-nat-rule-policy_nat_1]?source-address?10.3.0.0?mask?255.255.255.0
[FW-policy-nat-rule-policy_nat_1]?source-zone?trust
[FW-policy-nat-rule-policy_nat_1]?egress-interface?GigabitEthernet?0/0/1
[FW-policy-nat-rule-policy_nat_1]?action?source-nat?easy-ip
[FW-policy-nat-rule-policy_nat_1]?quit
[FW-policy-nat]?quit


結(jié)果驗(yàn)證

1. 檢查接口GigabitEthernet 0/0/1（上行鏈路）的狀態(tài)。

   a.選擇“網(wǎng)絡(luò) > 接口”。

   b.查看接口的物理狀態(tài)/IPv4狀態(tài)是否為Up，連接類型是否為DHCP，是否獲取了IPv4地址。

2. 檢查內(nèi)部網(wǎng)絡(luò)中PC是否能通過域名訪問Internet。若能訪問，則表示配置成功。否則，請檢查配置。