配置接口IP地址并加入安全区域

Trust区域接口（连接内网交换机/PC）

$FW1$ interface GigabitEthernet 1/0/1

$FW1-GigabitEthernet1/0/1$ ip address 172.16.10.1 24 # 内网网关地址

$FW1-GigabitEthernet1/0/1$ quit

Untrust区域接口（连接外网路由器R1）

$FW1$ interface GigabitEthernet 1/0/6

$FW1-GigabitEthernet1/0/6$ ip address 222.199.6.1 24 # 外网接口地址

$FW1-GigabitEthernet1/0/6$ quit

将接口加入对应安全区域

$FW1$ firewall zone trust

$FW1-zone-trust$ add interface GigabitEthernet 1/0/1

$FW1-zone-trust$ quit

$FW1$ firewall zone untrust

$FW1-zone-untrust$ add interface GigabitEthernet 1/0/6

$FW1-zone-untrust$ quit

配置默认路由（指向外网路由器R1）

$FW1$ ip route-static 0.0.0.0 0.0.0.0 222.199.6.2

配置NAT地址池（no-PAT模式）

创建地址池名称

$FW1$ nat address-group noPatPool

设置为no-pat模式（注意：必须全部小写，中间是短横线）

$FW1-address-group-noPatPool$ mode no-pat local

指定公网IP范围（共2个地址：.10和.11）

$FW1-address-group-noPatPool$ section 0 222.199.6.10 222.199.6.11 地址池范围

$FW1-address-group-noPatPool$ quit

配置源NAT策略

bash

$FW1$ nat-policy

创建NAT策略规则

$FW1-policy-nat$ rule name noPatNat

匹配条件：源区域trust，目的区域untrust

$FW1-policy-nat-rule-noPatNat$ source-zone trust

$FW1-policy-nat-rule-noPatNat$ destination-zone untrust

匹配内网网段（注意掩码写法：24 表示 255.255.255.0）

$FW1-policy-nat-rule-noPatNat$ source-address 172.16.10.0 24

目的地址任意

$FW1-policy-nat-rule-noPatNat$ destination-address any

动作：源NAT，使用地址池noPatPool

$FW1-policy-nat-rule-noPatNat$ action source-nat address-group noPatPool

$FW1-policy-nat-rule-noPatNat$ quit

$FW1-policy-nat$ quit

配置安全策略（放行内网到外网的流量）

$FW1$ security-policy

$FW1-policy-security$ rule name toInternet

$FW1-policy-security-rule-toInternet$ source-zone trust

$FW1-policy-security-rule-toInternet$ destination-zone untrust

$FW1-policy-security-rule-toInternet$ source-address 172.16.10.0 24

$FW1-policy-security-rule-toInternet$ destination-address any

$FW1-policy-security-rule-toInternet$ action permit

$FW1-policy-security-rule-toInternet$ quit

$FW1-policy-security$ quit

111111