⃣
配置接⼝
![](https://i-blog.csdnimg.cn/blog_migrate/999bbab379f4dc6f3409c567cce06b14.png)
1、配置安全区域和接⼝
IP
地址
![](https://i-blog.csdnimg.cn/blog_migrate/4bf71df084bd0bacb688cc796e4ba86e.png)
![](https://i-blog.csdnimg.cn/blog_migrate/a85b350e150c55b848ac3e6e287e6453.png)
2
、开启接⼝的
Ping
服务【可选】
![](https://i-blog.csdnimg.cn/blog_migrate/96d07222a1ccc58d538b24ce2504314a.png)
![](https://i-blog.csdnimg.cn/blog_migrate/7732e2e875e9f323837f8f4492235141.png)
![](https://i-blog.csdnimg.cn/blog_migrate/80a790d8f9e50acd358e2a0c81b2bf6a.png)
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]service-manage ping permit
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 200.1.1.254 24
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface g1/0/0
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/1
2⃣
配置安全策略,允许安全区域的互相访问
1
、配置
trust
可以访问
untrst
![](https://i-blog.csdnimg.cn/blog_migrate/e3ab9b9a6140dc964c171acca5e6b3e7.png)
![](https://i-blog.csdnimg.cn/blog_migrate/f1fcc91202006ce30ef5542530336904.png)
![](https://i-blog.csdnimg.cn/blog_migrate/5310215d6b76d4d3cef4ffe908121c97.png)
web
服务也可以访问
![](https://i-blog.csdnimg.cn/blog_migrate/6e11b0a6212382d007792e44b5069ec3.png)
但是服务器
ping
客⼾端,不通
![](https://i-blog.csdnimg.cn/blog_migrate/e7683385995173cf4ec96da64072fe73.png)
因为我们配置的是
trust
可以访问
untrust
,⽽
untrust
不可以访问
trust
![](https://i-blog.csdnimg.cn/blog_migrate/7f68103148b00a989111775abdd83b91.png)
也可⽤命令配置
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name OUT
[USG6000V1-policy-security-rule-OUT]source-zone trust
[USG6000V1-policy-security-rule-OUT]destination-zone untrust
[USG6000V1-policy-security-rule-OUT]action permit
3⃣
配置
NAT
策略
1
、配置
EasyIP
![](https://i-blog.csdnimg.cn/blog_migrate/375615da0b250e820c3eeeb7ff74d6cb.png)
2
、抓包查看,地址发⽣了转换,转换为出接⼝地址
![](https://i-blog.csdnimg.cn/blog_migrate/d4983c8d520761ffa0eafcab3fe315dc.png)
3
、也可以配置
NAPT
,这⾥需要配置地址池
![](https://i-blog.csdnimg.cn/blog_migrate/e0af655e40fffaf41cee2c9efe038da7.png)
4
、将
EasyIP
的启⽤的对勾去掉,或者之间删除
![](https://i-blog.csdnimg.cn/blog_migrate/583157e26554a98aef11cd9b25483f6e.png)
5
、抓包查看,地址转换成了地址池中的地址
![](https://i-blog.csdnimg.cn/blog_migrate/4cdced8e5c588662ca45af3544d82d1b.png)
[USG6000V1]nat-policy
[USG6000V1-policy-nat]rule name EasyIP
[USG6000V1-policy-nat-rule-EasyIP]source-zone trust
[USG6000V1-policy-nat-rule-EasyIP]destination-zone untrust
[USG6000V1-policy-nat-rule-EasyIP]action nat easy-ip
//1.3
版本的
eNSP
命令:
action source-nat easy-ip
[USG6000V1]nat-policy
[USG6000V1-policy-nat]undo rule name EasyIP
[USG6000V1]nat address-group pool