问

公司局域网将H3C防火墙放在路由器前面，网络不通

DHCP
IPv4

2022-08-05提问

1关注
1收藏，2191浏览

zhiliao_a4ekWK

zhiliao_a4ekWK 零段

粉丝：0人关注：0人

问题描述：

根据组网描述，我有以下几个问题：

我跟负责配置我们路由器的工程师沟通后，他说，想要在他们路由器前面放一个防火墙，需要将防火墙的端口连接在路由器的LNA口上，同时关闭路由器的dhcp功能。

1、当防火墙的5口连接到路由器的LAN口后，防火墙5口需要做什么配置？

2、当关闭了路由器的dhcp功能后，防火墙上是不是需要打开dhcp。同时配置dhcp地址池信息等？

3、公网信息我都是直接从路由器抄到防火墙的4口的，为什么ping不通公网网关地址，同时防火墙到路由之间也不通（ping的是办公网的网关）。

组网及组网描述：

公司原架构

公网端口绑定在路由器的WAN口上，路由器开启dhcp功能，

公司新架构

公网ip绑定在防火墙的4口上（公网ip、网关、掩码都是从路由器的WAN口配置抄过来的），4口在untrust区域，5口在trust区域，两个域之间都是放行所有，

最佳答案

已采纳

一元一串

一元一串八段

粉丝：13人关注：2人

1.当防火墙的5口连接到路由器的LAN口后，防火墙5口需要做什么配置？（参考如下案例）

https://zhiliao.h3c.com/Theme/details/165517

2、当关闭了路由器的dhcp功能后，防火墙上是不是需要打开dhcp。同时配置dhcp地址池信息等？

需要在防火墙上开启dhcp服务，之前的案例中有dhcp的配置方法的

3、公网信息我都是直接从路由器抄到防火墙的4口的，为什么ping不通公网网关地址，同时防火墙到路由之间也不通（ping的是办公网的网关）。

按照你新的组网来看，当中接着这台路由器有点多余，可以把路由器撤掉，交换机直接链接防火墙的5口

解决了

zhiliao_a4ekWK 发表时间：2022-08-05 更多>>

解决了

zhiliao_a4ekWK 发表时间：2022-08-05

3 个回答

按时间按赞数

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：237人关注：8人

1、当防火墙的5口连接到路由器的LAN口后，防火墙5口需要做什么配置？

配置接口，接口加安全域，安全策略里放通相应流量。

2、当关闭了路由器的dhcp功能后，防火墙上是不是需要打开dhcp。同时配置dhcp地址池信息等？

是的，如果想用防火墙做dhcp服务器，就得在防火墙配置dhcp并开启。

3、公网信息我都是直接从路由器抄到防火墙的4口的，为什么ping不通公网网关地址，同时防火墙到路由之间也不通（ping的是办公网的网关）。

用的到接口需要加安全域并且安全策略里放通相应流量。如果不通建议先做一个any放通的策略。

2、对，路由器放通相应vlan。其实路由器可以撤掉了，没有存在的必要了。 3、安全策略里安全域也是any的么，如果是那就是网络配置有问题了，检查一下吧

zhiliao_sEUyB 发表时间：2022-08-05 更多>>

2、开启了dhcp后，poe交换机就能通过路由器，在访问到防火墙自动获取到ip了吗？ 3、每个端口都放到不同的域了，同时策略都是any，但是还是不通

zhiliao_a4ekWK 发表时间：2022-08-05

zhiliao_sEUyB 发表时间：2022-08-05

叫我靓仔

叫我靓仔九段

粉丝：160人关注：1人

1、如果不想折腾，防火墙直接穿在路由器下面就行了

===========关于你的问题=========

1、当防火墙的5口连接到路由器的LAN口后，防火墙5口需要做什么配置？

应该是路由器的WAN口链接防火墙的LAN口

2、当关闭了路由器的dhcp功能后，防火墙上是不是需要打开dhcp。同时配置dhcp地址池信息等？

dhcp可以不动

3、公网信息我都是直接从路由器抄到防火墙的4口的，为什么ping不通公网网关地址，同时防火墙到路由之间也不通（ping的是办公网的网关）。

应为防火墙默认拒绝所有

回复zhiliao_a4ekWK:

不客气

叫我靓仔发表时间：2022-08-05 更多>>

不行，后续这台防火墙还有做两地vpn通讯，所以只能把防火墙放到路由器前面

zhiliao_a4ekWK 发表时间：2022-08-05

回复zhiliao_a4ekWK:

做两地VPN通信，也可以放在路由器下面的

叫我靓仔发表时间：2022-08-05

回复zhiliao_a4ekWK:

其实再我看来，路由器直接下架就行了，还接在上面干嘛，徒增故障点

叫我靓仔发表时间：2022-08-05

回复叫我靓仔:

这个说的有道理，我看看能不能直接不要路由器

zhiliao_a4ekWK 发表时间：2022-08-05

回复zhiliao_a4ekWK:

肯定可以的，配置通过过去就行了，唯一多的就是防火墙要额外配置域间策略

叫我靓仔发表时间：2022-08-05

解决了，谢谢

zhiliao_a4ekWK 发表时间：2022-08-05

回复zhiliao_a4ekWK:

不客气

叫我靓仔发表时间：2022-08-05

一二三四

一二三四九段

粉丝：20人关注：2人

配置思路：

防火墙

1.wan口 IP、掩码依据原路由器配置；lan口ip地址配置

2.wan口加入UNtrust域、lan口加入trust域

3.域间策略

4.原路由器DHCP功能放在防火墙上，开启dhcp server服务、建立地址池

5.指向公网的缺省路由，指向私网的明细路由

路由器

1.重新规划连接防火墙的wan口IP地址

2.开启DHCP中继功能

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

公司局域网将H3C防火墙放在路由器前面，网络不通

问题描述：

组网及组网描述：

编辑答案

提出建议