华为路由器+华为防火墙+华为三层交换机，防火墙部署为透明模式

按照某企业要求，出口网关设备选择了华为路由器AR2240，中间是华为的硬件防火墙USG6330，然后是华为的三层交换机S5720，最下面一层是华为的二层交换机，或者直连PC。废话不多说，先上拓扑图：

华为AR2240路由器的关键配置如下：

interface GigabitEthernet0/0/0

ip address 222.92.XX.50 255.255.255.0 *为接口配置外网IP

interface GigabitEthernet0/0/1

ip address 100.1.2.2 255.255.255.0 *为接口配置内网IP

ip route-static 0.0.0.0 0.0.0.0 222.92.XX.49 *配置默认路由，指向运营商给的网关

ip route-static 192.168.10.0 255.255.255.0 100.1.2.1 *配置静态路由，指明到达内网的路径（因为防火墙是透明模式，所以当它不存在，这里直接配置为三层交换机上面的VLAN IP）

华为USG6330的防火墙配置如下：

1、将内网接口配置为交换模式，安全区域选择Trust，连接类型为Access，选择访问Vlan100；

2、将外网接口同样配置为交换模式，安全区域选择Untrust，连接类型为Access，选择访问Vlan100；

3、配置安全策略：允许内网用户访问internet互联网；

4、配置源NAT，即配置内网到外网的NAT策略；

华为三层交换机的的关键配置如下：

interface Vlanif10

ip address 192.168.10.1 255.255.255.0 *配置VLAN10的 IP地址

interface Vlanif100

ip address 100.1.2.1 255.255.255.0 *配置VLAN100的 IP地址

interface GigabitEthernet0/0/1 *配置端口模式及所在的VLAN

port link-type access

port default vlan 100

interface GigabitEthernet0/0/2 *配置端口模式及所在的VLAN

port link-type access

port default vlan 10

ip route-static 0.0.0.0 0.0.0.0 100.1.2.2 *配置默认路由，指向路由器的内网 IP（同样是当防火墙不存在，直接跳到路由器上）

电脑验证一下，配置是否生效：ping 路由器的外网IP，ping电信运营商的网关IP，都通了，表示配置正确。

——笔者为网络工程师，擅长计算机网络领域，创业多年，希望把自己的经验分享给大家，如有相同或者不同观点，欢迎评论。