华为防火墙双区域互通及访问外网配置
qq3421609946

1.问题概述

最近碰到一个问题，公司内部有两个网络。一个是192.168.3.0/24网段的，另外一个是10.1.0.0/24网段的专网。
两个网络共同接入一台华为防火墙，通过华为防火墙访问互联网。
目前存在的问题，仅有192.168.3.0/24网段能够访问互联网。10.1.0.0/24网段的专网无法访问互联网，并且和192.168.3.0/24网段的计算机无法互相通信，这两个均需要解决。
模拟拓扑图如下：

2.问题判断

经过初步判断，192.168.3.0网段能够访问互联网，说明外网接入不存在问题。那么应该是10.1.0.0/24网段访问外网权限存在问题，应该是防火墙策略配置没有配置正确。

3.解决思路

因为内网访问均不存在问题，说明内网的接口在所属区域和配置策略均没有问题。所以将防火墙接入专网10网段的接口，同样加入内网接口所在区域，既能解决该问题，满足专网方位互联网和内网的权限。

4.模拟实现

（1）基础配置

首先完成网络的基础配置，包含各个PC设备的IP地址，这不做具体实现。

（2）权限配置

首先配置防火墙FW1接口IP地址

interface GigabitEthernet0/0/0
 alias GE0/MGMT
 ip address 119.36.139.2 255.255.255.252

interface GigabitEthernet0/0/1
 ip address 192.168.3.254 255.255.255.0

interface GigabitEthernet0/0/2
 ip address 10.1.0.254 255.255.255.0

    将接口加入对应区域
    内网接口和专网接口加入trust区域

firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2

外网接口加入Untrust区域

firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/0

配置trust区域和untrust可以通信

policy interzone trust untrust outbound
policy 1
action permit

这里如果要加强管理，可以配置更严格的权限。
## （3）NAT配置
通过easy-ip的方式，NAT接口为G0/0/0接口，访问互联网。
nat-policy interzone trust untrust outbound
policy 1
action source-nat
easy-ip GigabitEthernet0/0/0

配置默认路由转向的外网IP地址
ip route-static 0.0.0.0 0.0.0.0 119.36.139.1

模拟的互联网路由器只用配置一个IP地址，不用配置任何路由信息。

## （4）验证
    在专网计算机10.1.0.1上验证，结果如下图所示，解决问题：
    ![](https://s1.51cto.com/images/blog/201908/25/c979829dde394456f4b961d57d6ae569.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

原文地址：https://blog.51cto.com/6385585/2432444