華爲防火牆雙區域互通及訪問外網配置

華爲防火牆雙區域互通及訪問外網配置
qq3421609946

1.問題概述

最近碰到一個問題，公司內部有兩個網絡。一個是192.168.3.0/24網段的，另外一個是10.1.0.0/24網段的專網。
兩個網絡共同接入一臺華爲防火牆，通過華爲防火牆訪問互聯網。
目前存在的問題，僅有192.168.3.0/24網段能夠訪問互聯網。10.1.0.0/24網段的專網無法訪問互聯網，並且和192.168.3.0/24網段的計算機無法互相通信，這兩個均需要解決。
模擬拓撲圖如下：

2.問題判斷

經過初步判斷，192.168.3.0網段能夠訪問互聯網，說明外網接入不存在問題。那麼應該是10.1.0.0/24網段訪問外網權限存在問題，應該是防火牆策略配置沒有配置正確。

3.解決思路

因爲內網訪問均不存在問題，說明內網的接口在所屬區域和配置策略均沒有問題。所以將防火牆接入專網10網段的接口，同樣加入內網接口所在區域，既能解決該問題，滿足專網方位互聯網和內網的權限。

4.模擬實現

（1）基礎配置

首先完成網絡的基礎配置，包含各個PC設備的IP地址，這不做具體實現。

（2）權限配置

首先配置防火牆FW1接口IP地址

interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 119.36.139.2 255.255.255.252

interface GigabitEthernet0/0/1
 ip address 192.168.3.254 255.255.255.0

interface GigabitEthernet0/0/2
 ip address 10.1.0.254 255.255.255.0

    將接口加入對應區域
    內網接口和專網接口加入trust區域

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2

外網接口加入Untrust區域

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0

配置trust區域和untrust可以通信

policy interzone trust untrust outbound
policy 1
action permit

這裏如果要加強管理，可以配置更嚴格的權限。
## （3）NAT配置
通過easy-ip的方式，NAT接口爲G0/0/0接口，訪問互聯網。
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/0

配置默認路由轉向的外網IP地址
ip route-static 0.0.0.0 0.0.0.0 119.36.139.1

模擬的互聯網路由器只用配置一個IP地址，不用配置任何路由信息。

## （4）驗證
    在專網計算機10.1.0.1上驗證，結果如下圖所示，解決問題：
    ![](https://s1.51cto.com/images/blog/201908/25/c979829dde394456f4b961d57d6ae569.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)