【H3C HCL Cloud Lab平台搭建防火墙做路由实现多网段内网PC访问外网】

A.搭建环境：

1.HCL Cloud Lab 5.10.0

2.Oracle VM VirtualBox 6.0.14

3.Windows 11操作系统

4.本地以太网卡：Killer E2600 Gigabit Ethernet Controller
（IP：192.168.8.126）

5.TP-LINK无线路由器（路由器IP：192.168.8.1）
B.网络拓扑图：

C.设备配置：

1.Host-Internet：（本地连接）

   NIC:Realtek PCIe GbE Family Controller  →  FW-A：GE_0/2

2.SW-A：（交换机）

SW-A：GE_0/1 →  GE_0/1

<H3C>sys      //进入系统视图
[H3C]sysname SW-A      //修改设备名称
[SW-A]vlan 10      //创建vlan10
[SW-A-vlan10]port GigabitEthernet 1/0/5 to GigabitEthernet 1/0/15      //将5-15端口划入vlan10
[SW-A-vlan10]vlan 11      //创建vlan11
[SW-A-vlan11]port GigabitEthernet 1/0/16 to GigabitEthernet 1/0/25     //将16-25端口划入vlan11
[SW-A-vlan11]vlan 100      //创建vlan100（业务数据通道）
[SW-A-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/4     //将1-4端口划入vlan100
[SW-A-vlan100]interface vlan 100      //进入vlan100管理视图
[SW-A-Vlan-interface100]ip address 192.168.100.2 255.255.255.0      //配置vlan100的IP地址
[SW-A-Vlan-interface100]interface vlan 10      //进入vlan10管理视图
[SW-A-Vlan-interface10]ip address 192.168.10.1 255.255.255.0      //配置vlan10的IP地址
[SW-A-Vlan-interface10]interface vlan 11      //进入vlan20管理视图
[SW-A-Vlan-interface11]ip address 192.168.11.1 255.255.255.0      //配置vlan11的IP地址
[SW-A-Vlan-interface11]qu
[SW-A]ip route-static 0.0.0.0 0 192.168.100.1    //配置默认静态路由

2.FW-A：（防火墙）

   FW-A：GE_0/1  →  SW-A：GE_0/1

<H3C>sys      //进入系统视图
[H3C]sysname FW-A      //修改设备名称
[FW-A]interface GigabitEthernet 1/0/0      //进入端口管理视图
[FW-A-GigabitEthernet1/0/0]ip address 192.168.8.200 255.255.255.0      //配置端口IP地址（和本地链接一个网段）
[FW-A-GigabitEthernet1/0/0]nat outbound 2000        //根据访问规则，在外网端口出口方向设置地址转换
[FW-A-GigabitEthernet1/0/0]nat hairpin enable        //开启端口回流
[FW-A-GigabitEthernet1/0/0]qu      //退出端口管理视图
[FW-A]acl number 2000
[FW-A-acl-ipv4-basic-2000]rule 0 permit        //配置规则（我这里设置为全部允许通过）
[FW-A-acl-ipv4-basic-2000]qu      //退出端口管理视图
[FW-A]interface GigabitEthernet 1/0/1      //进入端口管理视图
[FW-A-GigabitEthernet1/0/1]ip address 192.168.100.1 255.255.255.0      //配置端口IP地址（业务管理）
[FW-A-GigabitEthernet1/0/1]qu      //退出端口管理视图
[FW-A]dns server 114.114.114.114      //配置DNS服务器地址
[FW-A]ip route-static 0.0.0.0 0 192.168.8.1      //配置默认静态路由（所有连接下一条到路由器网关）
[FW-A]ip route-static 192.168.0.0 16 192.168.100.2      //配置内网业务通道路由
[FW-A]security-zone name Management        //进入管理域
[FW-A-security-zone-Management]import interface GigabitEthernet 1/0/3        //将接口加入管理域（后期可以给1/0/3端口配置IP作为防火墙管理接口使用）
[FW-A-security-zone-Management]security-zone name trust    //进入安全域
[FW-A-security-zone-Trust]import interface GigabitEthernet 1/0/1        //将内网接口加入安全域
[FW-A-security-zone-Trust]security-zone name untrust        //进入非安全域
[FW-A-security-zone-Untrust]import interface GigabitEthernet 1/0/0        //将外网接口加入非安全域
//以下配置防火墙各域之间的访问规则，为简便操作，继续使用ACL2000规则，全部放行
[FW-A-security-zone-Untrust]zone-pair security source Local destination Trust //进入Local到Trust的通道规则
[FW-A-zone-pair-security-Local-Trust]packet-filter 2000
[FW-A-zone-pair-security-Local-Trust]zone-pair security source Trust destination Local
[FW-A-zone-pair-security-Trust-Local]packet-filter 2000
[FW-A-zone-pair-security-Trust-Local]zone-pair security source Local destination Untrust
[FW-A-zone-pair-security-Local-Untrust]packet-filter 2000
[FW-A-zone-pair-security-Local-Untrust]zone-pair security source Untrust destination Local
[FW-A-zone-pair-security-Untrust-Local]packet-filter 2000
[FW-A-zone-pair-security-Untrust-Local]zone-pair security source Trust destination Untrust
[FW-A-zone-pair-security-Trust-Untrust]packet-filter 2000
[FW-A-zone-pair-security-Trust-Untrust]zone-pair security source Untrust destination Trust
[FW-A-zone-pair-security-Untrust-Trust]packet-filter 2000
[FW-A-zone-pair-security-Untrust-Trust]

4.PC：（虚拟主机）

PC_1（IP：192.168.11.88；掩码：255.255.255.0；网关：192.168.11.1）：GE_0/1 → SW-A：GE_0/16

PC_2（IP：192.168.10.99；掩码：255.255.255.0；网关：192.168.10.1）：GE_0/1 → SW-A：GE_0/5

注：配置虚拟主机要启用“接口管理”，否则无法连通。
5.测试结果

[H3C]ping 202.99.166.4        //外网DNS服务器PING通
Ping 202.99.166.4 (202.99.166.4): 56 data bytes, press CTRL_C to break
56 bytes from 202.99.166.4: icmp_seq=0 ttl=241 time=28.678 ms
56 bytes from 202.99.166.4: icmp_seq=1 ttl=241 time=27.752 ms
56 bytes from 202.99.166.4: icmp_seq=2 ttl=241 time=30.466 ms
56 bytes from 202.99.166.4: icmp_seq=3 ttl=241 time=27.361 ms
56 bytes from 202.99.166.4: icmp_seq=4 ttl=241 time=22.915 ms

[H3C]ping 192.168.10.99        //内网设备1PING通
Ping 192.168.10.99 (192.168.10.99): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.10.99: icmp_seq=0 ttl=255 time=0.122 ms
56 bytes from 192.168.10.99: icmp_seq=1 ttl=255 time=0.122 ms
56 bytes from 192.168.10.99: icmp_seq=2 ttl=255 time=0.265 ms
56 bytes from 192.168.10.99: icmp_seq=3 ttl=255 time=0.111 ms
56 bytes from 192.168.10.99: icmp_seq=4 ttl=255 time=0.104 ms

[H3C]ping 192.168.11.88        //内网设备2PING通
Ping 192.168.11.88 (192.168.11.88): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.11.88: icmp_seq=0 ttl=254 time=2.386 ms
56 bytes from 192.168.11.88: icmp_seq=1 ttl=254 time=2.299 ms
56 bytes from 192.168.11.88: icmp_seq=2 ttl=254 time=1.953 ms
56 bytes from 192.168.11.88: icmp_seq=3 ttl=254 time=2.713 ms
56 bytes from 192.168.11.88: icmp_seq=4 ttl=254 time=3.163 ms

6.总结：

防火墙经本地以太网接入外网，防火墙将内外网及管理端口分别加入相应域中，再配置好各域之间的访问规则，就可以实现通过防火墙管理内外网访问了。