华为USG防火墙配置---案例一（单墙单出口，源NAT上网)

• 案例一：用户单出口连接到电信DX,防火墙FW1,局域网内交换机SW；
  电信提供的地址如下 ip：200.1.1.1-4/24,网关：200.1.1.5
  局域网规划172.16.0.0/16，可以细化到单个C地址，见交换机SW配置。
  防火墙FW1配置如下：

1. 配置防火墙与电信接口互联ip描述等。

interface GigabitEthernet1/0/0
description To:DX
undo shutdown
ip address 200.1.1.1 255.255.255.0

2. 配置防火墙与局域网交换机互联，并开启ping和https管理功能策略（必须在这里开启，普通的安全策略无效）。

interface GigabitEthernet1/0/5
description To:SW
 undo shutdown
 ip address 172.16.1.1 255.255.255.252
 service-manage ping permit
 service-manage https permit

3. 配置静态路由指向电信和局域网。

ip route-static 0.0.0.0 0.0.0.0 200.1.1.5
ip route-static 172.16.0.0 255.255.0.0 172.16.1.2

4. 配置安全策略允许局域网地址段访问互联网（按需配置放行地址段）。

security-policy
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 172.16.2.0 mask 255.255.255.0
  action permit

5. 配置电信给的地址池，用于局域网用户nat访问电信互联网，下一步见步骤6.
   (当电信只提供1个IP时，或者只使用1个IP访问互联网，无需配置此步,下一步见步骤7.)。

nat address-group DXaddr 0
 mode pat
 route enable
 section 0 200.1.1.2 200.1.1.4

6. 配置NAT策略，调用电信地址池，使局域网能NAT访问互联网（至此防火墙配置完成）。

 nat-policy
 rule name vlan2
  source-zone trust
  destination-zone untrust
  source-address 172.16.2.0 mask 255.255.255.0
  action source-nat address-group DXaddr

7. 配置NAT策略（1个电信地址的情况），使是局域网能NAT访问互联网。（至此防火墙配置完成）。

nat-policy
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 172.16.2.0 mask 255.255.255.0
  action source-nat easy-ip

交换机SW配置如下：

配置接口互联接口dhcp,vlan,ip pool，interface vlan ,默认路由

dhcp enable

vlan batch 2 1601
#
ip pool vlan2
 gateway-list 172.16.2.254
 network 172.16.2.0 mask 255.255.255.0
 dns-list 172.16.1.1

 interface Vlanif2
 ip address 172.16.2.254 255.255.255.0
 dhcp select global

interface Vlanif1601
 ip address 172.16.1.2 255.255.255.252

 interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 1601

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 
 ip route-static 0.0.0.0 0.0.0.0 172.16.1.1