防火墙是一种网络安全设备，用于监控和控制网络流量。它可以帮助防止未经授权的访问，保护网络免受攻击和恶意软件感染。防火墙可以根据预定义的规则过滤流量，例如允许或阻止特定IP地址或端口的流量。它也可以检测和阻止恶意软件、病毒和其他威胁。
防火墙通常被部署在网络边界，例如企业的内部网络和互联网之间。
实验拓扑图：

1、实验场景
交换机与防火墙连通，PC1和PC2通过交换机实现上网，交换机为三层交换机，
实现跨网段转发。
2、配置思路
交换机配置接口VLANIF，交换机作为用户网关，实现三层转发。
交换机作为DHCP服务器，为用户分配IP地址。
防火墙通过NAT，实现用户上外网。
实验基础配置：
LSW1:
交换机配置步骤
第一步：配置下行连接用户的接口和对应vlanif 接口。
sys
undo info enable
sysname lsw1
vlan batch 2 3
int g0/0/1
port link-type access
port default vlan 2
quit
int g0/0/2
port link-type access
port default vlan 3
quit
int vlanif 2
ip add 172.16.2.1 24
quit
int vlanif 3
ip add 172.16.3.1 24
quit
第二步：配置上行连接防火墙的接口和对应vlanif接口。
vlan 100
int g0/0/3
port link-type access
port default vlan 100
quit
int vlanif 100
ip add 172.16.100.2 24
quit
第三步：配置缺省路由，缺省路由的下一跳为防火墙的接口IP地址。
ip route-static 0.0.0.0 0.0.0.0 172.16.100.1
第四步：配置DHCP服务器。
dhcp enable
int vlanif 2
dhcp select interface
dhcp server dns-list 8.8.8.8 211.141.85.68
quit
int vlanif 3
dhcp select interface
dhcp server dns-list 8.8.8.8 211.141.85.68
quit

FW1:
第一步：配置连接交换机的接口对应IP地址。
sys
undo info enable
sysname fw1
int g0/0/1
ip add 172.16.100.1 24
quit

第二步：配置连接公网的接口对应IP地址。
int g0/0/2
ip add 200.0.0.2 24
quit

第三步：配置缺省路由和回程路由。
缺省路由的下一跳为公网IP地址
回程路由的下一跳为交换机的上行接口IP地址
ip route-static 0.0.0.0 0.0.0.0 200.0.0.2
ip route-static 172.16.0.0 255.255.0.0 172.16.100.2
quit
第四步：配置域并开启域间策略。
firewall zone trust
add int g0/0/1
quit
firewall zone untrust
add int g0/0/2
quit
firewall packet-filter default permit all
第五步：配置NAT功能
nat address-group 1 200.0.0.2 200.0.0.2
nat-policy interzone trust untrust outbound
policy 1
policy source 172.16.0.0 0.0.255.255
action source-nat
address-group 1
quit
quit
实操步骤
1、配置PC1地址、掩码、网关

2、配置PC2地址、掩码、网关

3、配置外网地址


4、配置二层交换机


5、配置防火墙



5、测试PC2是否可以上网

实验完成。