案例二：防火墙充当三层交换机与路由器角色功能进行组网

拿到这样的拓扑后，首先要了解好客户的需求，然后根据需求进行划分

比如客户那边有监控跟办公网络，可以通过VLAN划分不同的区域，然后二层交换机对接终端的口划入到对应的VLAN，与防火墙的口配置成Trunk，防火墙上面创建VLANIF以及安全策略、NAT策略，最后对接外网。

采用正常配置模式的步骤与思路

（1）确认好内外网接口，然后根据规划来对接口进行配置（外网采用什么方式对接，内网采用什么方式对接）

比如这个拓扑外网采用DHCP，内网需要把G1/0/0切换成二层口配置trunk允许VLAN 2跟3通过，并且配置VLANIF2与3的网关地址，根据实际规划加入到不同的安全区域（也可以在同一个安全区域，建议是不同安全其余，方便做策略控制。）

（2）根据需求开办公网的DHCP（监控一般不开）

（3）安全策略，根据客户实际需求来决定，办公网是否允许访问监控网，或者只允许办公网某个主机访问，以及办公网跟监控网都需要上网做策略方向，最后建议做一个防火墙到任何区域都可以通的安全策略，方便排错。

（4）NAT策略，根据客户需求来允许对应的安全区域上网。

（5）二层交换机的配置有几个部分：1、创建对应VLAN   2、确定好上行口与对接办公跟监控的口，上行口配置trunk允许vlan 2 3通过，对接办公的划入到VLAN2，对接监控的划分到VLAN3，建议开快速端口。

命令行相关流程展示

#vlan batch 2 to 3#dhcp enable#interfaceGigabitEthernet1/0/1undo shutdownip address dhcp-alloc#interfaceGigabitEthernet1/0/0portswitchundo shutdownport link-type trunkport trunk allow-pass vlan 2 to 3#interface Vlanif2ip address 192.168.102.254 255.255.255.0alias officeservice-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage telnet permitdhcp select interfacedhcp server ip-range 192.168.102.1192.168.102.254dhcp server gateway-list 192.168.102.254dhcp server static-bind ip-address192.168.102.250 mac-address 5489-986a-21fbdhcp server dns-list 223.5.5.5 114.114.114.114#interface Vlanif3ip address 192.168.103.254 255.255.255.0alias jiankongservice-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage telnet permit#firewall zone nameoffice id 4set priority 66add interface Vlanif2#                                         firewall zone namejiankong id 5set priority 49add interface Vlanif3#firewall zone untrustset priority 5add interface GigabitEthernet1/0/1##ip address-set 允许访问监控type objectaddress 0 192.168.102.250 mask 32#ip address-set 允许上网type objectaddress 0 192.168.102.0 mask 24address 1 192.168.103.0 mask 24#security-policyrule name office_jiankong source-zone office destination-zone jiankong source-address address-set 允许访问监控 action permitrule name 允许上网 source-zone jiankong source-zone office destination-zone untrust                 source-address address-set 允许上网 action permitrule name local_any source-zone local action permit#nat-policyrule name 允许上网 source-zone jiankong source-zone office destination-zone untrust action source-nat easy-ip

（1）创建对应需要的VLAN，以及开DHCP服务（VLAN如果内网是对接的二层口则必须）

（2）把对应的接口按规划进行配置，包括DHCP、对接外网的方式以及内网的方式

（3）创建新的安全区域（如果需要的话）并且把接口加入到安全区域里面来

（4）配置安全策略

（5）配置NAT策略

交换机的配置

#

vlan batch 2 to 3#interface Vlanif1#interface MEth0/0/1#interface Ethernet0/0/1port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/2port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/3port link-type accessport default vlan 2stp edged-port enable#interface Ethernet0/0/4port link-type accessport default vlan 2stp edged-port enable#                                         interface Ethernet0/0/5port link-type accessport default vlan 3stp edged-port enable#interface Ethernet0/0/6port link-type accessport default vlan 3stp edged-port enable#interface Ethernet0/0/7port link-type accessport default vlan 3stp edged-port enable#interface Ethernet0/0/8port link-type accessport default vlan 3stp edged-port enable
#                                         interfaceGigabitEthernet0/0/1port link-type trunkport trunk allow-pass vlan 2 to 3

#

容易忽略以及出现的问题总结

（1）外网对接这一块，如果是DHCP方式对接（内网建议不要使用192.168.0.0/1.0/31.0这些），可以使用10.X.X.X或者172.16开头以及192.168.100往后，避免跟外网分配的网段冲突

（2）外网对接如果是PPPOE或者是固定IP，一定要写默认路由，这个是容易被忽略，如果是PPPOE拨号，注意修改下MTU跟MSS

（3）内网DHCP服务器配置的时候，注意网关 以及分配范围（是否需要保留一些地址给打印机跟服务器）以及DNS，如果有需要某个客户端要固定某个IP地址，可以进行静态绑定，这样不管怎么分配客户端的地址都是这个，方便做策略。

（4）安全策略这一块只要注意源目区域跟源地址条件是否正常匹配就行

（5）NAT策略这一块建议配置使用源目区域，不要使用接口形式

排错的思路

如果内外网都配置好，安全策略以及NAT策略也配置好后，客户端上不了网

（1）从内外网检测，查看内外网是否配置正常，正常的情况下，可以建立一个安全策略 从Local到any，然后在诊断里面ping外网，看外网是否通，先确保外网线路没有问题。如果外网通，那么说明线路没问题，如果外网不通，则检查线路。

（2）如果涉及到了VLAN以及trunk的配置，一定要检查好对应接口的模式跟允许VLAN通过是否正确。

（3）当检测外网没问题后，检查内网的客户端的IP、网关、掩码、DNS是否正确，并且ping防火墙是否通（防火墙记得开ping功能），通的情况下说明内网到防火墙之间的链路是没有问题的，接下来从会话表下手。

（4）可以长ping对方，然后看防火墙的会话表是否有该主机的会话，没有则检测安全策略是否正确，如果有的话，查看会话表的内容是否正常（从是否转换了源地址，以及匹配了哪个安全策略。正反向数据包是否有统计观察）

（5）如果没有发现源地址，可以从NAT策略下手排查。

（6）整个里面容易出现的点 外网对接的时候默认路由忘记写，其次就是NAT跟安全策略这块，包括防火墙与二层交换机之间对接可能会由于疏忽导致VLAN放行不正确。