华为USG防火墙DHCP配置

该场景，防火墙作为出口访问 internet，然后接的傻瓜式交换机来连接下面的办公 PC，属于一个简单的 SOHO 环境，一般在防火墙上面应用 DHCP，也通常是这种情况，大点的环境则是交换机或者专门的 DHCP 服务器来做。

1、防火墙初始化配置

2、DHCP 配置（基于全局的配置方式）

3、防火墙策略+NAT 配置，让下面 PC 能够访问 Internet。

4、测试

1、防火墙初始化配置

接口地址配置

[HW-USG]int g0/0/1

[HW-USG-GigabitEthernet0/0/1]ip address 202.100.1.1 24

[HW-USG]int g0/0/0

[HW-USG-GigabitEthernet0/0/0]ip address 192.168.1.1 24

接口加入 Zone

[HW-USG]firewall zone untrust

[HW-USG-zone-untrust]add interface g0/0/1

说明：默认情况下 G0/0/0 属于 trust 接口，而 G0/0/1 则不属于任何接口，所以这里必须加入对应的 Zone，这里为 Untrust。

2、DHCP 配置（基于全局的配置方式）

开启 DHCP 服务

[HW-USG]dhcp enable

创建地址池

[HW-USG]dhcp server ip-pool 1

[HW-USG-dhcp-1]network 192.168.1.0 mask 24

[HW-USG-dhcp-1]gateway-list 192.168.1.1

[HW-USG-dhcp-1]dns-list 114.114.114.114

[HW-USG-dhcp-1]domain-name

[HW-USG-dhcp-1]expired day 1

[HW-USG]dhcp server forbidden-ip 192.168.1.1 192.168.1.10

说明：这里创建地址池与交换机不一样，类似于 H3C 的方法，另外排除地址是在全局定义的，而不是在地址池内。

[HW-USG]int g0/0/0

[HW-USG-GigabitEthernet0/0/0]dhcp select global

调用在接口下。

3、防火墙策略+NAT 配置，让下面 PC 能够访问 Internet。

[HW-USG]policy interzone trust untrust outbound

[HW-USG-policy-interzone-trust-untrust-outbound]policy 0

[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24

[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit

说明：如果是 21 系列的话，可能存在默认策略是放行的，但是这里是 55 系列，是需要手工放行流量的，这里定义的是允许

192.168.1.0 的流量从 trust 进来，访问 Untrust 的任何流量都通过。

[HW-USG]nat-policy interzone trust untrust outbound

[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0

[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 mask 24

[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat

[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1

说明：这里定义从 trust 来的 192.168.1.0/24，访问 Untrust 的任何流量，做源 NAT 转换，转换的地址是 G0/0/1 的接口地

址，也就是通过这个来访问 internet。

默认路由

[HW-USG]ip route-static 0.0.0.0 0 202.100.1.2

说明：这里配置一条默认路由指向 ISP，访问外网。

4、测试

场景 2 适合在一个小型办公网络内，但是有 2~3 个部门，需要划分 VLAN 跟不同网段，那么这时候防火墙上面就需要通过跟交换机一样配置 trunk，然后起 VLAN 接口来作为网关，并且在接口下配置 DHCP 服务。

实现目标

1、二层交换机配置

2、防火墙配置改变

3、DHCP 配置（基于接口形式）

4、策略与 NAT 配置上网

5、测试

1、二层交换机配置

创建 VLAN

[HW-s2700]vlan batch 2 to 3

PC 接口划入对应 VLAN

[HW-s2700]int e0/0/1

[HW-s2700-Ethernet0/0/1]port link-type access

[HW-s2700-Ethernet0/0/1]port default vlan 2

[HW-s2700-Ethernet0/0/1]stp edged-port enable

与防火墙对接接口配置为 trunk

[HW-s2700-Ethernet0/0/2]int g0/0/1

[HW-s2700-GigabitEthernet0/0/1]port link-type trunk

[HW-s2700-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 to 3

2、防火墙配置改变

创建 VLAN

[HW-USG]vlan batch 2 to 3

切换至二层接口

[HW-USG]int g0/0/0

[HW-USG-GigabitEthernet0/0/0]portswitch

说明：这里必须把三层口的配置清空，比如 IP 地址等，才可以切换

[HW-USG-GigabitEthernet0/0/0]port link-type trunk

[HW-USG-GigabitEthernet0/0/0]port trunk permit vlan 2 to 3

说明：配置对接交换机的接口为 trunk，并且放行 VLAN 2 与 3 通过，这里的配置与交换机有点区别，跟 H3C 一样。

三层 VLAN 接口配置

[HW-USG]int vlan 2

[HW-USG-Vlanif2]ip address 192.168.2.1 24

[HW-USG-Vlanif2]int vlan 3

[HW-USG-Vlanif3]ip add 192.168.3.1 24

容易忽略的一件事，加入 Zone！说明，这里加入三层接口即可，二层不需要加入

[HW-USG]firewall zone trust

[HW-USG-zone-trust]add interface Vlanif 2

[HW-USG-zone-trust]add interface Vlanif 3

3、DHCP 配置（基于接口形式）

[HW-USG]int vlan 2

[HW-USG-Vlanif2]dhcp select interface

[HW-USG-Vlanif2]dhcp server ip-range 192.168.2.10 192.168.2.200

[HW-USG-Vlanif2]dhcp server dns-list 114.114.114.114

[HW-USG-Vlanif2]dhcp server domain-name

[HW-USG-Vlanif2]dhcp server expired day 1

[HW-USG]int vlan 3

[HW-USG-Vlanif3]dhcp select interface

[HW-USG-Vlanif3]dhcp server ip-range 192.168.3.10 192.168.3.150

[HW-USG-Vlanif3]dhcp server dns-list 114.114.114.114

[HW-USG-Vlanif3]dhcp server domain-name

说明：这里基于接口的配置，与交换机有点区别，所以红色标记了下。

4、策略与 NAT 配置上网

策略配置，允许内网访问外网

[HW-USG]policy interzone trust untrust outbound

[HW-USG-policy-interzone-trust-untrust-outbound]policy 0

[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24

[HW-USG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24

[HW-USG-policy-interzone-trust-untrust-outbound-0]action permit

NAT 配置，让内网的地址通过外网接口地址形式访问外网.

[HW-USG]nat-policy interzone trust untrust outbound

[HW-USG-nat-policy-interzone-trust-untrust-outbound]policy 0

[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.2.0 mask 24

[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]policy source 192.168.3.0 mask 24

[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]action source-nat

[HW-USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ip g0/0/1

5、测试

DHCP 中继配置

USG 只支持在接口下配置，而且配置方式有点不一样。

ip relay address 192.168.1.1

dhcp select relay

说明：先指定地址，最后在接口下开启 relay 服务。