h3c.com/cn/pub/Document_Center/2024/07/WebHelp_ SecPath_FHQCP_DXPZALJ_V7_F9900_6W100/default_auto.htm?CHID=1160409

参考案例：

使用版本

本举例是在F1000-AI-55的R8860版本上进行配置和验证的。

组网需求

Host A、Host B和Server通过 Switch、Device与Internet通信，应用需求如下：

• Switch透传Host、Server与Internet之间的流量。

• Device作为Host的DHCP服务器，为Host动态分配网段为10.1.1.0/24的IP地址，DNS服务器地址为20.1.1.15，网关地址为10.1.1.1。

• Device拥有20.1.1.1/24和20.1.1.2/24两个外网IP地址，内部网络中10.1.1.0/24网段的Host使用20.1.1.2/24地址访问Internet地址。

• Server的内网IP地址是10.1.1.2，Server使用外网IP地址20.1.1.2的21端口对Internet提供FTP服务。

• Device通过安全策略控制匹配的报文进行转发，对不匹配的报文丢弃处理。

• Device通过默认路由访问Internet。

图-1 Device三层直路部署组网图

‌

配置步骤

配置Device

登录设备的Web界面：

用以太网线将PC和设备的以太网管理口相连。

修改IP地址为192.168.0.0/24（除192.168.0.1）子网内任意地址，例如192.168.0.2。

在PC上启动浏览器，在地址栏中输入IP地址“192.168.0.1”后回车，即可进入设备的Web登录页面，输入设备默认的用户名和密码（admin/admin），单击<登录>按钮即可登录。

配置接口GigabitEthernet1/0/1和GigabitEthernet1/0/2的IP地址，并将GigabitEthernet1/0/1和GigabitEthernet1/0/2分别加入安全域Untrust和Trust中：

选择“网络>接口>接口”，选中GE1/0/1接口，单击GE1/0/1的编辑按钮。

选择安全域为Untrust，配置IP地址/掩码长度为20.1.1.1/255.255.255.0，单击<应用>按钮。

图-2 编辑GE1/0/1安全域和IPv4地址

‌

选择“网络>接口>接口”，选中GE1/0/2接口，单击GE1/0/2的编辑按钮。

选择安全域为Trust，配置IP地址/掩码长度为10.1.1.1/255.255.255.0，单击<应用>。

图-3 编辑GE1/0/2安全域和IPv4地址

‌

配置默认路由使内网可以访问Internet。

选择“网络>路由>静态路由”，单击<新建>，配置目的IP地址为0.0.0.0，掩码长度为0，下一跳IP地址为20.1.1.3（此处以20.1.1.3为例，请以实际情况为准），单击<确定>完成默认路由配置。

图-4 配置默认路由

‌

开启DHCP服务，配置DHCP地址池1，用来为10.1.1.0/24网段内的客户端分配IP地址和网络配置参数：

选择“网络>DHCP>服务”，单击DHCP服务<开启>按钮开启DHCP服务。

图-5 开启DHCP服务

‌

选择“网络>DHCP>地址池”，单击<新建地址池>，地址池名称为1。

图-6 配置DHCP服务器地址池名称

‌

配置DHCP地址池动态分配的地址段为10.1.1.0/24。

图-7 配置DHCP服务器地址池动态分配地址段

‌

配置DHCP地址池中不参与自动分配FTP服务器10.1.1.2的IP地址。

[Device] dhcp server ip-pool 1

[Device-dhcp-pool-1] forbidden-ip 10.1.1.2

[Device-dhcp-pool-1] quit

单击<地址池选项>，配置DHCP地址池的网关为10.1.1.1，DNS服务器为20.1.1.15，单击底部的<确定>完成DHCP地址池的配置。

图-8 配置DHCP服务器地址池网关和DNS服务器

‌

配置全局NAT规则和NAT地址组，并使全局NAT规则使用NAT地址组中的地址和端口配置：

选择“策略>策略NAT”，单击<新建>，配置全局NAT规则的规则名称为1，源目的安全域分别为Trust和Untrust，源地址为10.1.1.0/24，源地址转换的转换方式为动态IP+端口。

图-9 配置全局NAT规则1

‌

配置全局NAT使用的地址类型为NAT地址组，转换为地址为新建的NAT地址组0，配置地址组成员为20.1.1.2，单击<确定>完成地址组配置，返回后单击<确定>。

图-10 配置NAT地址组0

‌

选择“策略>策略NAT”，单击<新建>，配置全局NAT规则的规则名称为2，转换模式为目的地址转换，源安全域为Untrust，目的地址为20.1.1.2，服务为ftp。转换方式为IP地址转换，转换为地址为10.1.1.2，转换为端口为21，单击<确定>。

图-11 配置全局NAT规则2

‌

转换方式为IP地址转换，转换为地址为10.1.1.2，转换为端口为21，单击<确定>。

图-12 配置全局NAT规则2

‌

配置安全策略放行DHCP协议报文

选择“策略>安全策略”，单击“新建>新建策略”，配置新建策略名称为dhcpin，源安全域为Trust，目的安全域为Local，协议/端口号为dhcp-client，配置操作动作为允许，单击<确认>完成dhcpin策略的配置。

图-13 配置安全策略dhcpin

‌

图-14 配置安全策略dhcpin的动作

‌

选择“策略>安全策略”，单击“新建>新建策略”，配置新建策略名称为dhcpout，源安全域为Local，目的安全域为Trust，协议/端口号为dhcp-server，配置操作动作为允许，单击<确认>完成dhcpout策略的配置。

图-15 配置安全策略dhcpout

‌

图-16 配置安全策略dhcpout的动作

‌

配置安全策略放行用户业务报文

单击“新建>新建策略”，配置新建策略名称为trust-untrust，源安全域为Trust，源IPv4地址为10.1.1.0/24，目的安全域为Untrust，配置操作动作为允许，单击<确认>完成trust-untrust策略的配置。

图-17 配置安全策略trust-untrust

‌

图-18 配置安全策略trust-untrust的动作

‌

单击“新建>新建策略”，配置新建策略名称为untrust-trust，源安全域为Untrust，目的安全域为Trust，目的IPv4地址为10.1.1.2，配置操作动作为允许，单击<确认>完成untrust-trust策略的配置。

图-19 配置安全策略untrust-trust

‌

图-20 配置安全策略untrust-trust的动作

‌

验证配置

在Host A上去ping测试20.1.1.3的连通性，可以ping通目的地址。

选择“监控>会话列表”查询IPv4会话列表和NAT会话表：

查询IPv4会话列表，发现一条发起方源IP地址为DHCP地址池中的一个IP地址，发起方目的IP地址为20.1.1.3，发起方协议是ICMP的会话。

图-21 检查Device的IPv4会话信息

‌

查询NAT会话列表，发现一条发起方源IP地址为DHCP地址池中的一个IP地址，发起方目的IP地址为20.1.1.3，发起方协议是ICMP的NAT会话。

图-22 检查Device的NAT会话信息