說明
之前已經介紹過華為交換機的DHCP的應用場景以及配置,這次介紹的是華為防火牆USG的應用場景及配置,一般在防火牆上面部署DHCP的話屬于一種小型辦公網絡,或者soho級别的,防火牆後面接傻瓜式交換機或者是可管理的二層交換機,有多個VLAN,下面就針對這2種場景介紹如何配置,以及防火牆跟交換機配置上面的一些細節差别與注意的地方。
拓撲
說明:該場景,防火牆作為出口通路internet,然後接的傻瓜式交換機來連接配接下面的辦公PC,屬于一個簡單的SOHO環境,一般在防火牆上面應用DHCP,也通常是這種情況,大點的環境則是交換機或者專門的DHCP伺服器來做。
實驗目标
1、防火牆初始化配置
2、DHCP配置(基于全局的配置方式)
3、防火牆政策+NAT配置,讓下面PC能夠通路Internet。
4、測試
1、防火牆初始化配置
接口位址配置
[HW-USG]int g0/0/1
[HW-USG-GigabitEthernet0/0/1]ip address 202.100.1.1 24
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]ip address 192.168.1.1 24
接口加入Zone
[HW-USG]firewall zone untrust
[HW-USG-zone-untrust]add interface g0/0/1
說明:預設情況下G0/0/0屬于trust接口,而G0/0/1則不屬于任何接口,是以這裡必須加入對應的Zone,這裡為Untrust。
2、DHCP配置(基于全局的配置方式)
開啟DHCP服務
[HW-USG]dhcp enable
建立位址池
[HW-USG]dhcp server ip-pool 1
[HW-USG-dhcp-1]network 192.168.1.0 mask 24
[HW-USG-dhcp-1]gateway-list 192.168.1.1
[HW-USG-dhcp-1]dns-list 114.114.114.114
[HW-USG-dhcp-1]domain-name ccieh3c.taobao.com
[HW-USG-dhcp-1]expired day 1
[HW-USG]dhcp server forbidden-ip 192.168.1.1 192.168.1.10
說明:這裡建立位址池與交換機不一樣,類似于H3C的方法,另外排除位址是在全局定義的,而不是在位址池内。
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]dhcp select global
調用在接口下。
3、防火牆政策+NAT配置,讓下面PC能夠通路Internet。
[HW-USG]policy interzone trust untrust outbound
[HW-USG-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit
說明:如果是21系列的話,可能存在預設政策是放行的,但是這裡是55系列,是需要手工放行流量的,這裡定義的是允許192.168.1.0的流量從trust進來,通路Untrust的任何流量都通過。
[HW-USG]nat-policy interzone trust untrust outbound
[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1
說明:這裡定義從trust來的192.168.1.0/24,通路Untrust的任何流量,做源NAT轉換,轉換的位址是G0/0/1的接口位址,也就是通過這個來通路internet。
預設路由
[HW-USG]ip route-static 0.0.0.0 0 202.100.1.2
說明:這裡配置一條預設路由指向ISP,通路外網。
4、測試
說明:可以看到擷取位址沒有任何問題,而且能夠通路外網,在防火牆上面也有對應的表項産生,也明确看到了當通路外網的時候,轉換成了出接口位址202.100.1.1出去,做PAT。
場景2
說明:場景2适合在一個小型辦公網絡内,但是有2~3個部門,需要劃分VLAN跟不同網段,那麼這時候防火牆上面就需要通過跟交換機一樣配置trunk,然後起VLAN接口來作為網關,并且在接口下配置DHCP服務。
實作目标
1、二層交換機配置
2、防火牆配置改變
3、DHCP配置(基于接口形式)
4、政策與NAT配置上網
5、測試
1、二層交換機配置
建立VLAN
[HW-s2700]vlan batch 2 to 3
PC接口劃入對應VLAN
[HW-s2700]int e0/0/1
[HW-s2700-Ethernet0/0/1]port link-type access
[HW-s2700-Ethernet0/0/1]port default vlan 2
[HW-s2700-Ethernet0/0/1]stp edged-port enable
[HW-s2700-Ethernet0/0/1]int e0/0/2
[HW-s2700-Ethernet0/0/2]port hybrid pvid vlan 3
[HW-s2700-Ethernet0/0/2]port hybrid untagged vlan 3
[HW-s2700-Ethernet0/0/2]stp edged-port enable
與防火牆對接接口配置為trunk
[HW-s2700-Ethernet0/0/2]int g0/0/1
[HW-s2700-GigabitEthernet0/0/1]port link-type trunk
[HW-s2700-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3
2、防火牆配置改變
建立VLAN
[HW-USG]vlan batch 2 to 3
切換至二層接口
[HW-USG]int g0/0/0
[HW-USG-GigabitEthernet0/0/0]portswitch
說明:這裡必須把三層口的配置清空,比如IP位址等,才可以切換
[HW-USG-GigabitEthernet0/0/0]port link-type trunk
[HW-USG-GigabitEthernet0/0/0]port trunk permit vlan 2 to 3
說明:配置對接交換機的接口為trunk,并且放行VLAN 2與3通過,這裡的配置與交換機有點差別,跟H3C一樣。
三層VLAN接口配置
[HW-USG]int vlan 2
[HW-USG-Vlanif2]ip address 192.168.2.1 24
[HW-USG-Vlanif2]int vlan 3
[HW-USG-Vlanif3]ip add 192.168.3.1 24
容易忽略的一件事,加入Zone!說明,這裡加入三層接口即可,二層不需要加入
[HW-USG]firewall zone trust
[HW-USG-zone-trust]add interface Vlanif 2
[HW-USG-zone-trust]add interface Vlanif 3
3、DHCP配置(基于接口形式)
[HW-USG]int vlan 2
[HW-USG-Vlanif2]dhcp select interface
[HW-USG-Vlanif2]dhcp server ip-range 192.168.2.10 192.168.2.200
[HW-USG-Vlanif2]dhcp server dns-list 114.114.114.114
[HW-USG-Vlanif2]dhcp server domain-name ccieh3c.taobao.com
[HW-USG-Vlanif2]dhcp server expired day 1
[HW-USG]int vlan 3
[HW-USG-Vlanif3]dhcp select interface
[HW-USG-Vlanif3]dhcp server ip-range 192.168.3.10 192.168.3.150
[HW-USG-Vlanif3]dhcp server dns-list 114.114.114.114
[HW-USG-Vlanif3]dhcp server domain-name ccieh3c.taobao.com
說明:這裡基于接口的配置,與交換機有點差別,是以紅色标記了下。
4、政策與NAT配置上網
政策配置,允許内網通路外網
[HW-USG]policy interzone trust untrust outbound
[HW-USG-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24
[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit
NAT配置,讓内網的位址通過外網接口位址形式通路外網.
[HW-USG]nat-policy interzone trust untrust outbound
[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat
[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1
5、測試,
可以看到,接口位址能夠擷取,而且也能夠通路外網,位址也正常轉換了。
DHCP中繼配置
USG隻支援在接口下配置,而且配置方式有點不一樣
ip relay address 192.168.1.1
dhcp select relay
說明:先指定位址,最後在接口下開啟relay服務。
如果大家有任何疑問或者文中有錯誤跟疏忽的地方,歡迎大家留言指出,部落客看到後會第一時間修改,謝謝大家的支援,更多技術文章盡在網絡之路Blog(其他平台同名),版權歸網絡之路Blog所有,原創不易,侵權必究,覺得有幫助的,關注、轉發、點贊支援下!~。