111111

配置接口IP地址并加入安全区域

Trust区域接口（连接内网交换机/PC）

FW1\] interface GigabitEthernet 1/0/1 \[FW1-GigabitEthernet1/0/1\] ip address 172.16.10.1 24 # 内网网关地址 \[FW1-GigabitEthernet1/0/1\] quit # Untrust区域接口（连接外网路由器R1） \[FW1\] interface GigabitEthernet 1/0/6 \[FW1-GigabitEthernet1/0/6\] ip address 222.199.6.1 24 # 外网接口地址 \[FW1-GigabitEthernet1/0/6\] quit # 将接口加入对应安全区域 \[FW1\] firewall zone trust \[FW1-zone-trust\] add interface GigabitEthernet 1/0/1 \[FW1-zone-trust\] quit \[FW1\] firewall zone untrust \[FW1-zone-untrust\] add interface GigabitEthernet 1/0/6 \[FW1-zone-untrust\] quit 配置默认路由（指向外网路由器R1） \[FW1\] ip route-static 0.0.0.0 0.0.0.0 222.199.6.2 配置NAT地址池（no-PAT模式） # 创建地址池名称 \[FW1\] nat address-group noPatPool # 设置为no-pat模式（注意：必须全部小写，中间是短横线） \[FW1-address-group-noPatPool\] mode no-pat local # 指定公网IP范围（共2个地址：.10和.11） \[FW1-address-group-noPatPool\] section 0 222.199.6.10 222.199.6.11 地址池范围 \[FW1-address-group-noPatPool\] quit 配置源NAT策略 bash \[FW1\] nat-policy # 创建NAT策略规则 \[FW1-policy-nat\] rule name noPatNat # 匹配条件：源区域trust，目的区域untrust \[FW1-policy-nat-rule-noPatNat\] source-zone trust \[FW1-policy-nat-rule-noPatNat\] destination-zone untrust # 匹配内网网段（注意掩码写法：24 表示 255.255.255.0） \[FW1-policy-nat-rule-noPatNat\] source-address 172.16.10.0 24 # 目的地址任意 \[FW1-policy-nat-rule-noPatNat\] destination-address any # 动作：源NAT，使用地址池noPatPool \[FW1-policy-nat-rule-noPatNat\] action source-nat address-group noPatPool \[FW1-policy-nat-rule-noPatNat\] quit \[FW1-policy-nat\] quit 配置安全策略（放行内网到外网的流量） \[FW1\] security-policy \[FW1-policy-security\] rule name toInternet \[FW1-policy-security-rule-toInternet\] source-zone trust \[FW1-policy-security-rule-toInternet\] destination-zone untrust \[FW1-policy-security-rule-toInternet\] source-address 172.16.10.0 24 \[FW1-policy-security-rule-toInternet\] destination-address any \[FW1-policy-security-rule-toInternet\] action permit \[FW1-policy-security-rule-toInternet\] quit \[FW1-policy-security\] quit