配置接口IP地址并加入安全区域
Trust区域接口(连接内网交换机/PC)
FW1\] interface GigabitEthernet 1/0/1 \[FW1-GigabitEthernet1/0/1\] ip address 172.16.10.1 24 # 内网网关地址 \[FW1-GigabitEthernet1/0/1\] quit # Untrust区域接口(连接外网路由器R1) \[FW1\] interface GigabitEthernet 1/0/6 \[FW1-GigabitEthernet1/0/6\] ip address 222.199.6.1 24 # 外网接口地址 \[FW1-GigabitEthernet1/0/6\] quit # 将接口加入对应安全区域 \[FW1\] firewall zone trust \[FW1-zone-trust\] add interface GigabitEthernet 1/0/1 \[FW1-zone-trust\] quit \[FW1\] firewall zone untrust \[FW1-zone-untrust\] add interface GigabitEthernet 1/0/6 \[FW1-zone-untrust\] quit 配置默认路由(指向外网路由器R1) \[FW1\] ip route-static 0.0.0.0 0.0.0.0 222.199.6.2 配置NAT地址池(no-PAT模式) # 创建地址池名称 \[FW1\] nat address-group noPatPool # 设置为no-pat模式(注意:必须全部小写,中间是短横线) \[FW1-address-group-noPatPool\] mode no-pat local # 指定公网IP范围(共2个地址:.10和.11) \[FW1-address-group-noPatPool\] section 0 222.199.6.10 222.199.6.11 地址池范围 \[FW1-address-group-noPatPool\] quit 配置源NAT策略 bash \[FW1\] nat-policy # 创建NAT策略规则 \[FW1-policy-nat\] rule name noPatNat # 匹配条件:源区域trust,目的区域untrust \[FW1-policy-nat-rule-noPatNat\] source-zone trust \[FW1-policy-nat-rule-noPatNat\] destination-zone untrust # 匹配内网网段(注意掩码写法:24 表示 255.255.255.0) \[FW1-policy-nat-rule-noPatNat\] source-address 172.16.10.0 24 # 目的地址任意 \[FW1-policy-nat-rule-noPatNat\] destination-address any # 动作:源NAT,使用地址池noPatPool \[FW1-policy-nat-rule-noPatNat\] action source-nat address-group noPatPool \[FW1-policy-nat-rule-noPatNat\] quit \[FW1-policy-nat\] quit 配置安全策略(放行内网到外网的流量) \[FW1\] security-policy \[FW1-policy-security\] rule name toInternet \[FW1-policy-security-rule-toInternet\] source-zone trust \[FW1-policy-security-rule-toInternet\] destination-zone untrust \[FW1-policy-security-rule-toInternet\] source-address 172.16.10.0 24 \[FW1-policy-security-rule-toInternet\] destination-address any \[FW1-policy-security-rule-toInternet\] action permit \[FW1-policy-security-rule-toInternet\] quit \[FW1-policy-security\] quit