幾乎稍有規模的網絡項目，都有交換機與防火墻，那么交換機與防火墻如何配置上網呢？各自在網絡中起什么作用呢？本期我們通過示例一起來詳細了解。

配置示例：三層交換機與防火墻對接上網

我們上面了解到了防火墻與交換機的區別與功能，那么防火墻與交換機又是如何配合使用在項目中呢？這里面我們以華為配置為例。

一、組網網要求

某公司擁有多個部門且位于不同網段，各部門均有訪問Internet的需求。現要求用戶通過三層交換機和防火墻訪問外部網絡，且要求三層交換機作為用戶的網關，使pc1與pc2都能夠訪問外網。

二、三層交換機與防火墻對接上網組網圖

三、配置思路

配置交換機作為用戶的網關，通過VLANIF接口，實現跨網段用戶互訪。

配置交換機作為DHCP服務器，為用戶分配IP地址。

開啟防火墻域間安全策略，使不同域的報文可以相互轉發。

配置防火墻PAT轉換功能，使用戶可以訪問外部網絡。

四、配置步驟

1、配置交換機

配置連接用戶的接口和對應的VLANIF接口。

systemview
[HUAWEI]sysnameSwitch
[Switchlylanbatch23
[Switch]interfacegigabitethernet0/0/2
[Switch-GigabitEthernet0/0/2]portlink-typeaccess//配置接口接入類型為access
[Switch-GigabitEthernet0/0/2]portdefaultwlan2//配置接口加入VAN2
[Switch-GigabitEthernet0/0/2]quit
[Switch]interfacegigabitethernet0/0/3
[Switch-GigabitEthernet0/0/3]portlinktypeaccess
[Switch-GigabitEthernet0/0/3]]portdefaultylan3
[Switch-GigabitEthernet0/0/3]qwit
[Switch]interfacewlanif2
[Switch-vlanif2]ipaddress192.168.1.124
[Switch-Vlanif2]quit
[Switch]interfacewlanif3
[Switch-Vlanif3]ipaddress192.168.2124
[Switch-Vlanif3]quit

# 配置連接防火墻的接口和對應的VLANIF接口。

# 配置缺省路由。

# 配置DHCP服務器。

現在交換機配置完全。

2、配置防火墻

# 配置連接交換機的接口對應的IP地址。

# 配置連接公網的接口對應的IP地址。

# 配置缺省路由和回程路由。

# 配置安全策略。

# 配置安全策略，允許域間互訪。

# 配置PAT地址池，開啟允許端口地址轉換。

# 配置源PAT策略，實現私網指定網段訪問公網時自動進行源地址轉換。

經過配置后：

配置PC1的IP地址為192.168.1.2/24，網關為192.168.1.1；PC2的IP地址為192.168.2.2/24，網關為192.168.2.1。

配置外網PC的IP地址為200.0.0.1/24，網關為200.0.0.2。

配置完成后，PC1和PC2都可以Ping通外網的IP 200.0.0.1/24，PC1和PC2都可以訪問Internet。

審核編輯：湯梓紅