目  录

1 简介

2 配置前提

3 二层交换机与防火墙对接上网典型配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.4.1 配置交换机

3.4.2 配置防火墙

3.5 验证配置

3.6 配置文件

4 三层交换机与防火墙对接上网典型配置举例

4.1 组网需求

4.2 配置思路

4.3 使用版本

4.4 配置步骤

4.4.1 配置交换机

4.4.2 配置防火墙

4.5 验证配置

4.6 配置文件

5 相关资料

 

1  简介

本文档介绍了交换机与防火墙对接上网的典型配置案例。

二层交换机指的是仅能够进行二层转发、不能进行三层转发的交换机。二层交换机一般部署在接入层，不能作为用户的网关。

三层交换机是具有路由功能的交换机，三层交换机既可以工作在二层也可以工作在三层，可以部署在接入层，也可以部署在汇聚层，可以作为用户的网关。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中涉及的VLAN划分、DHCP服务器、NAT、静态路由以及安全域特性。

3  二层交换机与防火墙对接上网典型配置举例

3.1  组网需求

如图1所示，某公司拥有多个部门且位于不同网段，各部门均有访问外网的需求。现要求用户通过二层交换机和防火墙设备访问外部网络，且要求防火墙设备作为用户的网关。

图1 二层交换机与防火墙对接上网组网图

 

3.2  配置思路

采用如下思路进行配置：

·     配置交换机基于接口划分VLAN，实现二层转发。

·     配置防火墙作为用户的网关，通过子接口或VLAN接口实现跨网段的三层转发。

·     配置防火墙作为DHCP服务器，为用户PC分配IP地址。

·     在防火墙部署安全域，使不同域的报文可以相互转发。

·     在防火墙部署NAT功能，使内网用户可以访问外部网络。

3.3  使用版本

本举例中的交换机配置适用于所有交换机产品的所有版本。

本举例中的防火墙配置以F5000-AI160的E8371版本为例，其他防火墙的配置方法请参见产品配套手册。

3.4  配置步骤

3.4.1  配置交换机

# 配置连接用户设备的VLAN接口。

<Sysname> system-view

[Sysname] sysname Switch

[Switch] vlan 10

[Switch-vlan10] port gigabitethernet 1/0/2

[Switch-vlan10] quit

[Switch] vlan 20

[Switch-vlan20] port gigabitethernet 1/0/3

[Switch-vlan20] quit

# 配置连接防火墙设备的接口。为了使交换机上VLAN 10和VLAN 20的报文能发送给防火墙，将GigabitEthernet1/0/1的链路类型配置为Trunk，并允许VLAN 10和VLAN 20的报文通过。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-type trunk

[Switch-GigabitEthernet1/0/1] port trunk permit vlan 10 20

3.4.2  配置防火墙

防火墙的有两种方式和二层交换机设备互联，配置子接口或者配置VLAN接口，两种方式选择其一即可。

1. 防火墙通过VLAN接口和二层交换机互联

# 配置VLAN接口。

<Sysname> system-view

[Sysname] sysname Device

[Device] vlan 10 to 20

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] port link-mode bridge

The configuration of the interface will be restored to the default. Continue? [Y/N]:y

[Device-GigabitEthernet1/0/1] port link-type trunk

[Device-GigabitEthernet1/0/1] port trunk permit vlan 10 20

[Device-GigabitEthernet1/0/1] quit

# 配置接口IP地址。

[Device] interface vlan-interface 10

[Device-Vlan-interface10] ip address 192.168.1.1 24

[Device-Vlan-interface10] quit

[Device] interface vlan-interface 20

[Device-Vlan-interface20] ip address 192.168.2.1 24

[Device-Vlan-interface20] quit

# 配置DHCP地址池5，用来为192.168.1.0/24网段内的客户端分配动态IP地址，并配置DNS服务器地址、出口网关。在实际应用中，请根据运营商分配的DNS进行配置。

[Device] dhcp server ip-pool 5

[Device-dhcp-pool-5] network 192.168.1.0 mask 255.255.255.0

[Device-dhcp-pool-5] dns-list 114.114.114.114

[Device-dhcp-pool-5] gateway-list 192.168.1.1

[Device-dhcp-pool-5] quit

# 配置DHCP地址池6，用来为192.168.2.0/24网段内的客户端分配动态IP地址，并配置DNS服务器地址、出口网关。在实际应用中，请根据运营商分配的DNS进行配置。

[Device] dhcp server ip-pool 6

[Device-dhcp-pool-6] network 192.168.2.0 mask 255.255.255.0

[Device-dhcp-pool-6] dns-list 114.114.114.114

[Device-dhcp-pool-6] gateway-list 192.168.2.1

[Device-dhcp-pool-6] quit

# 开启DHCP服务

[Device] dhcp enable

# 配置公网接口的IP地址。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0

[Device-GigabitEthernet1/0/2] quit

# 配置缺省路由。路由的下一跳指向公网地址200.0.0.1

[Device] ip route-static 0.0.0.0 0 200.0.0.1

# 配置安全区域。与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络，部署在Trust安全域，可以自由访问外部网络和其他安全域的设备；与接口GigabitEthernet1/0/2相连的外部网络属于不可信任网络，部署在Untrust安全域，不能访问公司内部网络。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1 vlan 10 20

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

[Device] acl advanced 3001

[Device-acl-ipv4-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255

[Device-acl-ipv4-adv-3001] quit

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] packet-filter 3001

[Device-zone-pair-security-Trust-Untrust] quit

# 配置内网用户通过NAT地址访问外网。内部网络中192.168.1.0/24和192.168.2.0/2网段的用户都可以访问Internet，使用的外网地址为200.0.0.3。

[Device] nat address-group 0

[Device-address-group-0] address 200.0.0.3 200.0.0.3

[Device-address-group-0] quit

# 配置ACL 2000，允许对内部网络中192.168.1.0/24和192.168.2.0/2网段的用户报文进行地址转换。

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255

[Device-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0

[Device-GigabitEthernet1/0/2] quit

2. 防火墙通过三层以太网子接口和二层交换机互联

# 配置防火墙通过三层以太网子接口终结VLAN，实现跨网段的三层转发。

<Sysname> system-view

[Sysname] sysname Device

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] port link-mode route

The configuration of the interface will be restored to the default. Continue? [Y/N]:y

[Device] interface gigabitethernet 1/0/1.1

[Device-GigabitEthernet1/0/1.1] vlan-type dot1q vid 10

[Device-GigabitEthernet1/0/1.1] ip address 192.168.1.1 24

[Device-GigabitEthernet1/0/1.1] quit

[Device] interface gigabitethernet 1/0/1.2

[Device-GigabitEthernet1/0/1.2] vlan-type dot1q vid 20

[Device-GigabitEthernet1/0/1.2] ip address 192.168.2.1 24

[Device-GigabitEthernet1/0/1.2] quit

# 配置DHCP地址池5，用来为192.168.1.0/24网段内的客户端分配动态IP地址，并配置DNS服务器地址、出口网关。在实际应用中，请根据运营商分配的DNS进行配置。

[Device] dhcp server ip-pool 5

[Device-dhcp-pool-5] network 192.168.1.0 mask 255.255.255.0

[Device-dhcp-pool-5] dns-list 114.114.114.114

[Device-dhcp-pool-5] gateway-list 192.168.1.1

[Device-dhcp-pool-5] quit

# 配置DHCP地址池6，用来为192.168.2.0/24网段内的客户端分配动态IP地址，并配置DNS服务器地址、出口网关。在实际应用中，请根据运营商分配的DNS进行配置。

[Device] dhcp server ip-pool 6

[Device-dhcp-pool-6] network 192.168.2.0 mask 255.255.255.0

[Device-dhcp-pool-6] dns-list 114.114.114.114

[Device-dhcp-pool-6] gateway-list 192.168.2.1

[Device-dhcp-pool-6] quit

# 开启DHCP服务

[Device] dhcp enable

# 配置公网接口的IP地址。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ip address 200.0.0.2 255.255.255.0

[Device-GigabitEthernet1/0/2] quit

# 配置缺省路由。路由的下一跳指向公网地址200.0.0.1

[Device] ip route-static 0.0.0.0 0.0.0.0 200.0.0.1

# 配置安全区域。与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络，部署在Trust安全域，可以自由访问外部网络和其他安全域的设备；与接口GigabitEthernet1/0/2相连的外部网络属于不可信任网络，部署在Untrust安全域，不能访问公司内部网络。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

[Device] acl advanced 3001

[Device-acl-ipv4-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255

[Device-acl-ipv4-adv-3001] quit

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] packet-filter 3001

[Device-zone-pair-security-Trust-Untrust] quit

# 配置内网用户通过NAT地址访问外网。内部网络中192.168.1.0/24和192.168.2.0/2网段的用户都可以访问Internet，使用的外网地址为200.0.0.3。

[Device] nat address-group 0

[Device-address-group-0] address 200.0.0.3 200.0.0.3

[Device-address-group-0] quit

# 配置ACL 2000，允许对内部网络中192.168.1.0/24和192.168.2.0/2网段的用户报文进行地址转换。

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255

[Device-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0

[Device-GigabitEthernet1/0/2] quit

3.5  验证配置

配置完成后，PC1和PC2都可以Ping通外网的IP 200.0.0.1/24，PC1和PC2都可以访问Internet。

# 在内网用户Host A上使用ping命令验证外网地址是否可达（假定主机安装的操作系统为Windows XP）。

C:\Documents and Settings\Administrator>ping 200.0.0.1

 

Pinging 200.0.0.1 with 32 bytes of data:

 

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

 

Ping statistics for 200.0.0.1:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 1ms, Maximum = 1ms, Average = 1ms

3.6  配置文件

·     交换机Switch：

#

 sysname Switch

#

vlan 10

#

vlan 20

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 10 20

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 10

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 20

#

·     防火墙Device（防火墙通过VLAN接口进行三层转发）：

#

 sysname Device

#

nat address-group 0

 address 200.0.0.3 200.0.0.3

#

 dhcp enable

#

vlan 10 to 20

#

dhcp server ip-pool 5

 gateway-list 192.168.1.1

 network 192.168.1.0 mask 255.255.255.0

 dns-list 114.114.114.114

#

dhcp server ip-pool 6

 gateway-list 192.168.2.1

 network 192.168.2.0 mask 255.255.255.0

 dns-list 114.114.114.114

#

interface Vlan-interface10

 ip address 192.168.1.1 255.255.255.0

#

interface Vlan-interface20

 ip address 192.168.2.1 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 200.0.0.2 255.255.255.0

 nat outbound 2000 address-group 0

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan 1 10 20

#

security-zone name Trust

 import interface GigabitEthernet1/0/1 vlan 10 20

#

security-zone name Untrust

 import interface GigabitEthernet1/0/2

#

zone-pair security source Trust destination Untrust

 packet-filter 3001

#

 ip route-static 0.0.0.0 0 200.0.0.1

#

acl basic 2000

 rule 0 permit source 192.168.1.0 0.0.0.255

 rule 5 permit source 192.168.2.0 0.0.0.255

#

acl advanced 3001

 rule 0 permit ip source 192.168.1.0 0.0.0.255

 rule 5 permit ip source 192.168.2.0 0.0.0.255

#

·     防火墙Device关键配置（防火墙通过三层以太网子接口进行三层转发）：

#

 sysname Device

#

nat address-group 0

 address 200.0.0.3 200.0.0.3

#

 dhcp enable

#

vlan 10 to 20

#

dhcp server ip-pool 5

 gateway-list 192.168.1.1

 network 192.168.1.0 mask 255.255.255.0

 dns-list 114.114.114.114

#

dhcp server ip-pool 6

 gateway-list 192.168.2.1

 network 192.168.2.0 mask 255.255.255.0

 dns-list 114.114.114.114

#

interface GigabitEthernet1/0/1

 port link-mode route

#

interface GigabitEthernet1/0/1.1

 ip address 192.168.1.1 255.255.255.0

 vlan-type dot1q vid 10

#

interface GigabitEthernet1/0/1.2

 ip address 192.168.2.1 255.255.255.0

 vlan-type dot1q vid 20

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 200.0.0.2 255.255.255.0

 nat outbound 2000 address-group 0

#

security-zone name Trust

 import interface GigabitEthernet1/0/1 vlan 10 20

#

security-zone name Untrust

 import interface GigabitEthernet1/0/2

#

zone-pair security source Trust destination Untrust

 packet-filter 3001

#

 ip route-static 0.0.0.0 0 200.0.0.1

#

acl basic 2000

 rule 0 permit source 192.168.1.0 0.0.0.255

 rule 5 permit source 192.168.2.0 0.0.0.255

#

acl advanced 3001

 rule 0 permit ip source 192.168.1.0 0.0.0.255

 rule 5 permit ip source 192.168.2.0 0.0.0.255

#

4  三层交换机与防火墙对接上网典型配置举例

4.1  组网需求

如图2所示，某公司拥有多个部门且位于不同网段，各部门均有访问外网的需求。现要求用户通过三层交换机和防火墙设备访问外部网络，且要求三层交换机作为用户的网关。

图2 三层交换机与防火墙对接上网组网图

 

4.2  配置思路

采用如下思路进行配置：

·     配置交换机作为用户的网关，通过VLAN接口，实现跨网段用户互访。

·     配置交换机作为DHCP服务器，为用户分配IP地址。

·     在防火墙部署安全域，使不同域的报文可以相互转发。

·     在防火墙部署NAT功能，使内网用户可以访问外部网络。

4.3  使用版本

本举例中的交换机配置适用于支持三层以太网接口的交换机产品。

本举例中的防火墙配置以F5000-AI160的E8371版本为例，其他防火墙的配置方法请参见产品配套手册。

4.4  配置步骤

4.4.1  配置交换机

# 配置连接用户设备的VLAN接口和IP地址。

<Sysname> system-view

[Sysname] sysname Switch

[Switch] vlan 10

[Switch-vlan10] port gigabitethernet 1/0/2

[Switch-vlan10] quit

[Switch] vlan 20

[Switch-vlan20] port gigabitethernet 1/0/3

[Switch-vlan20] quit

[Switch] interface vlan-interface 10

[Switch-Vlan-interface10] ip address 192.168.1.1 24

[Switch-Vlan-interface10] quit

[Switch] interface vlan-interface 20

[Switch-Vlan-interface20] ip address 192.168.2.1 24

[Switch-Vlan-interface20] quit

# 配置连接防火墙设备的三层以太网接口和IP地址。

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] port link-mode route

The configuration of the interface will be restored to the default. Continue? [Y

/N]:y

[Switch-GigabitEthernet1/0/1] ip address 192.168.100.2 24

# 配置访问外网的静态路由。

[Switch] ip route-static 0.0.0.0 0 192.168.100.1

# 配置DHCP地址池5，用来为192.168.1.0/24网段内的客户端分配动态IP地址，并配置DNS服务器地址、出口网关。在实际应用中，请根据运营商分配的DNS进行配置。

[Switch] dhcp server ip-pool 5

[Switch-dhcp-pool-5] network 192.168.1.0 mask 255.255.255.0

[Switch-dhcp-pool-5] dns-list 114.114.114.114

[Switch-dhcp-pool-5] gateway-list 192.168.1.1

[Switch-dhcp-pool-5] quit

# 配置DHCP地址池6，用来为192.168.2.0/24网段内的客户端分配动态IP地址，并配置DNS服务器地址、出口网关。在实际应用中，请根据运营商分配的DNS进行配置。

[Switch] dhcp server ip-pool 6

[Switch-dhcp-pool-6] network 192.168.2.0 mask 255.255.255.0

[Switch-dhcp-pool-6] dns-list 114.114.114.114

[Switch-dhcp-pool-6] gateway-list 192.168.2.1

[Switch-dhcp-pool-6] quit

# 开启DHCP服务

[Switch] dhcp enable

4.4.2  配置防火墙

# 配置连接交换机的接口IP地址。

<Sysname> system-view

[Sysname] sysname Device

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.100.1 24

[Device-GigabitEthernet1/0/1] quit

# 配置公网接口的IP地址。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ip address 200.0.0.2 24

[Device-GigabitEthernet1/0/2] quit

# 配置缺省路由。路由的下一跳指向公网地址200.0.0.1。

[Device] ip route-static 0.0.0.0 0 200.0.0.1

# 配置访问内网设备的静态路由。

[Device] ip route-static 192.168.0.0 16 192.168.100.2

# 配置安全区域。与接口GigabitEthernet1/0/1相连的公司内部网络属于可信任网络，部署在Trust安全域，可以自由访问外部网络和其他安全域的设备；与接口GigabitEthernet1/0/2相连的外部网络属于不可信任网络，部署在Untrust安全域，不能访问公司内部网络。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

[Device] acl advanced 3001

[Device-acl-ipv4-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-adv-3001] rule permit ip source 192.168.2.0 0.0.0.255

[Device-acl-ipv4-adv-3001] quit

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] packet-filter 3001

[Device-zone-pair-security-Trust-Untrust] quit

# 配置内网用户通过NAT地址访问外网。内部网络中192.168.1.0/24和192.168.2.0/2网段的用户都可以访问Internet，使用的外网地址为200.0.0.3。

[Device] nat address-group 0

[Device-address-group-0] address 200.0.0.3 200.0.0.3

[Device-address-group-0] quit

# 配置ACL 2000，允许对内部网络中192.168.1.0/24和192.168.2.0/2网段的用户报文进行地址转换。

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Device-acl-ipv4-basic-2000] rule permit source 192.168.2.0 0.0.0.255

[Device-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0

[Device-GigabitEthernet1/0/2] quit

4.5  验证配置

配置完成后，PC1和PC2都可以Ping通外网的IP 200.0.0.1/24，PC1和PC2都可以访问Internet。

# 在内网用户Host A上使用ping命令验证外网地址是否可达（假定主机安装的操作系统为Windows XP）。

C:\Documents and Settings\Administrator>ping 200.0.0.1

 

Pinging 200.0.0.1 with 32 bytes of data:

 

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

Reply from 200.0.0.1: bytes=32 time=1ms TTL=126

 

Ping statistics for 200.0.0.1:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 1ms, Maximum = 1ms, Average = 1ms

4.6  配置文件

·     交换机：

#

 sysname Switch

#

 dhcp enable

#

vlan 10

#

vlan 20

#

dhcp server ip-pool 5

 gateway-list 192.168.1.1

 network 192.168.1.0 mask 255.255.255.0

 dns-list 114.114.114.114

#

dhcp server ip-pool 6

 gateway-list 192.168.2.1

 network 192.168.2.0 mask 255.255.255.0

 dns-list 114.114.114.114

#

interface Vlan-interface10

 ip address 192.168.1.1 255.255.255.0

#

interface Vlan-interface20

 ip address 192.168.2.1 255.255.255.0

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.2 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 10

#

interface GigabitEthernet1/0/3

 port link-mode bridge

 port access vlan 20

#

 ip route-static 0.0.0.0 0 192.168.100.1

#

·     防火墙：

#

 sysname Device

#

nat address-group 0

 address 200.0.0.3 200.0.0.3

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.100.1 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 200.0.0.2 255.255.255.0

 nat outbound 2000 address-group 0

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name Untrust

 import interface GigabitEthernet1/0/2

#

zone-pair security source Trust destination Untrust

 packet-filter 3001

#

 ip route-static 0.0.0.0 0 200.0.0.1

 ip route-static 192.168.0.0 16 192.168.100.2

#

acl basic 2000

 rule 0 permit source 192.168.1.0 0.0.0.255

 rule 5 permit source 192.168.2.0 0.0.0.255

#

acl advanced 3001

 rule 0 permit ip source 192.168.1.0 0.0.0.255

 rule 5 permit ip source 192.168.2.0 0.0.0.255

#

5  相关资料

·     H3C xxxx交换机 以太网交换配置指导-Release xxxx系列

·     H3C xxxx交换机 以太网交换命令参考-Release xxxx系列

·     H3C xxxx交换机 三层技术-IP业务配置指导-Release xxxx系列

·     H3C xxxx交换机 三层技术-IP业务命令参考-Release xxxx系列

·     H3C xxxx交换机 三层技术-IP路由配置指导-Release xxxx系列

·     H3C xxxx交换机 三层技术-IP路由命令参考-Release xxxx系列

·     H3C xxxx交换机 安全配置指导-Release xxxx系列

·     H3C xxxx交换机 安全命令参考-Release xxxx系列

·