1、.1. Firewall 的配置#指定 GigabitEthernet1/0/1 端口的電口被激活，使用雙絞線連接 system-viewH3C interface gigabitethernet 1/0/1 H3C-GigabitEthernet1/0/1 combo enable copper H3C-GigabitEthernet1/0/1quit按照組網圖配置各接口的 IP 地址。 system-viewSysname interface gigabitethernet1/0/1 Sysname-GigabitEthernet1/0/1 port link-mode routeSysn

2、ame-GigabitEthernet1/0/1 ip address 10.110.10.10 255.255.255.0Sysname-GigabitEthernet1/0/1 quit Sysname interface gigabitethernet1/0/2 Sysname-GigabitEthernet1/0/2 port link-mode routeSysname-GigabitEthernet1/0/2 ip address 202.38.1.1 255.255.255.0Sysname-GigabitEthernet1/0/2 quit.創建安全域，并將不同的接口加入不同的

3、安全域。Sysnamesecurity-zone name Trust Sysname-security-zone-Trustimport interface gigabitethernet1/0/1 Sysname-security-zone-TrustquitSysnamesecurity-zone name Untrust Sysname-security-zone-Untrustimport interface gigabitethernet1/0/2 Sysname-security-zone-Untrustquit配置訪問控制列表 2001，僅允許內部網絡中 10.110.10.0

4、/24 網段的用戶可以訪問 Internet。Sysname acl number 2001Sysname-acl-basic-2001 rule permit source 10.110.10.0 0.0.0.255Sysname-acl-basic-2001 rule denySysname-acl-basic-2001 quit配置域間策略，應用 ACL 2001 進行報文過濾。Sysname zone-pair security source Trust destination Untrust Sysname-zone-pair-security-Trust-Untrustpacket

5、-filter 2001 Sysname-zone-pair-security-Trust-Untrustquit# 配置 IP 地址池 1，包括兩個公網地址202.38.1.2 和 202.38.1.3。Sysname nat address-group 1Sysname-address-group-1 address 202.38.1.2 202.38.1.3Sysname-address-group-1 quit# 在出接口GigabitEthernet1/0/2 上配置ACL 2001 與 IP 地址池 1.相關聯。NO-PAT 方式：進行源地址轉換，不轉換源端口Sysname int

6、erface gigabitethernet 1/0/2Sysname-GigabitEthernet1/0/2 nat outbound 2001 address-group 1no-patSysname-GigabitEthernet1/0/2 quitPAT 方式：進行源地址轉換，同時轉換源端口 Sysname interface gigabitethernet 1/0/2 Sysname-GigabitEthernet1/0/2 nat outbound 2001 address-group 1 Sysname interface gigabitethernet 1/0/2PAT 方式

7、：進行源地址轉換，但不轉換源端口Sysname-GigabitEthernet1/0/2 nat outbound 2001 address-group 1port-preservedSysname-GigabitEthernet1/0/2 quit6.3 驗證配置上述配置完成后，內網主機可以訪問外網服務器。通過查看如下顯示信息，可以驗證上述配置成功，以 PAT 方式為例。Sysname display nat allSysname display nat session verbose display current-configuration.2如果不行的話，需要如下配置ip route-

8、static 0.0.0.0 0.0.0.0 10.110.10.10H3Csecurity-zone intra-zone default permit / 配置同一安全域內接口間報文處理的缺省動作為permitH3Cobject-policy ip Trust-Untrust / 創建 Trust 到 Untrst 的地址對象策略H3C-object-policy-ip-Trust-Untrust rule 0 pass /規則為允許H3C-object-policy-ip-Trust-UntrustquitH3Czone-pair security source Trust destin

9、ation Untrust / 放通 Turst 到Untrust 的域間策略H3C-zone-pair-security-Trust-Untrustobject-policyapplyipTrust-Untrust /引用 Trust 到 Untrst 的地址對象策略H3C-object-policy-ip-Trust-Untrustquit.G1/0/1G1/0/2192.168.88.88/24192.168.123.254/231. Firewall 的配置(1)指定 GigabitEthernet1/0/1 端口的電口被激活，使用雙絞線連接system-viewinterface g

10、igabitethernet 1/0/1combo enable copperquit(2)按照組網圖配置各接口的IP 地址。system-viewinterface gigabitethernet1/0/1port link-mode routeip address 192.168.88.88 255.255.255.0quitinterface gigabitethernet1/0/2port link-mode routeip address 192.168.123.254 255.255.255.0 quit(3)# 創建安全域，并將不同的接口加入不同的安全域。.security-zo

11、ne name Trustimport interface gigabitethernet1/0/2quitsecurity-zone name Untrustimport interface gigabitethernet1/0/1quit(4)# 配置訪問控制列表2001，僅允許內部網絡中192.168.123.0/23網段的用戶可以訪問Internet。acl number 2001rule permit source 192.168.123.0 0.0.0.127 quit(5)# 配置域間策略，應用ACL 2001 進行報文過濾。zone-pair security source Trust destination Untrustpacket-filter 2001quit(6)# 配置IP 地址池1，包括兩個公網地址 192.168.88.88 和192.168.89。nat address-group 1address 192.168.88.88 192.168.88.89quit(7)# 在出接口GigabitEthernet1/0/2 上配置ACL 2001 與 IP 地址池 1 相關聯。.PAT 方式：進行源地址轉換，同時轉換源端口interface gigabitethernet 1/0/1nat outbound 200