一個(gè)典型的中小企業(yè)的三層架構(gòu)，AF防火墻外網(wǎng)口配置的是電信給的公網(wǎng)IP地址1.2.1.2/29位，內(nèi)網(wǎng)口配置的是192.168.1.254。

三層交換機(jī)上連口配置的192.168.1.1/24，內(nèi)網(wǎng)口配置的是192.168.2.1/24的PC端ip地址。（其實(shí)只要是有點(diǎn)實(shí)戰(zhàn)經(jīng)驗(yàn)的都不會(huì)這么去配置ip地址，盡量AF防火墻和核心交換機(jī)之間的互連ip地址，不要使用192.168.1.x網(wǎng)段，因?yàn)楹芏嘭埖挠行﹍an地址就是192.168.1.x網(wǎng)段。）

步驟1.通過(guò)管理口

ETH0

的默認(rèn)IP登錄設(shè)備。管理口的默認(rèn)IP是10.251.251.251/24，在計(jì)算機(jī)上配置一個(gè)相同網(wǎng)段的IP地址，通過(guò)https://10.251.251.251登錄設(shè)備。

步驟2.配置外網(wǎng)接口，通過(guò)[網(wǎng)絡(luò)/接口/區(qū)域]，點(diǎn)擊需要設(shè)置成外網(wǎng)接口的接口，選擇eth2作為外網(wǎng)接口，選擇路由類型，區(qū)域選擇自定義的外網(wǎng)區(qū)，勾選WAN口屬性，配置IP 1.2.1.2/29，下一跳地址1.2.1.1等。如下圖所示

注意：

1.接口的下一跳網(wǎng)關(guān)僅用于接口的鏈路檢測(cè)和策略路由功能，設(shè)置了下一跳網(wǎng)關(guān)，不會(huì)在設(shè)備上產(chǎn)生0.0.0.0/0的缺省路由，需要手動(dòng)設(shè)置默認(rèn)路由。2.接口的線路帶寬設(shè)置與流量管理的帶寬設(shè)置沒(méi)有關(guān)聯(lián)，接口處的線路帶寬設(shè)置用于策略路由的調(diào)度。

步驟3.配置內(nèi)網(wǎng)接口。選擇空閑網(wǎng)口、點(diǎn)擊接口名稱進(jìn)入配置頁(yè)面，選擇eth3作為內(nèi)網(wǎng)接口，選擇路由類型，區(qū)域選擇自定義的內(nèi)網(wǎng)區(qū)，配置IP 192.168.1.254/24，如下圖所示

步驟4.配置路由，需要配置一條到0.0.0.0/0.0.0.0的默認(rèn)路由指向前置網(wǎng)關(guān)1.2.1.2。這里就是只要有流量轉(zhuǎn)發(fā)到AF防火墻，就可以通過(guò)默認(rèn)路由將所有流量轉(zhuǎn)發(fā)到下一跳1.2.1.1的貓上。去進(jìn)行上網(wǎng)。點(diǎn)擊<新增>靜態(tài)路由，配置默認(rèn)路由目的地址/掩碼為0.0.0.0/0，下一跳地址1.2.1.1。

步驟5.同時(shí)因?yàn)楸纠齼?nèi)網(wǎng)接口192.168.2.0網(wǎng)段，接的跨三層的多個(gè)網(wǎng)段，還需要配置另一條添加各網(wǎng)段的靜態(tài)路由到三層交換機(jī)，進(jìn)入[網(wǎng)絡(luò)/路由/靜態(tài)路由]進(jìn)行配置，點(diǎn)擊<新增>靜態(tài)路由，配置回包路由（內(nèi)網(wǎng)網(wǎng)段路由）目的地址/掩碼為192.168.2.0/24，下一跳地址192.168.1.1。如下圖所示

步驟6.配置代理內(nèi)網(wǎng)，這里所謂的代理內(nèi)網(wǎng)，其實(shí)就是NAT，如果對(duì)NAT不了解的小伴，請(qǐng)查看NAT

Network Address Translator

。進(jìn)入[策略/地址轉(zhuǎn)換/IPv4地址轉(zhuǎn)換]，點(diǎn)擊<新增>，配置源地址轉(zhuǎn)換，源區(qū)域選擇自定義的內(nèi)網(wǎng)區(qū)，源地址選擇自定義的內(nèi)網(wǎng)，目的區(qū)域選擇自定義的外網(wǎng)區(qū)，目的地址為全部，服務(wù)為any，源地址轉(zhuǎn)換為出接口地址。如下圖所示。

這里對(duì)于源區(qū)域、源地址都很好理解，源區(qū)域就是我們公司的內(nèi)網(wǎng)，源地址，就是公司內(nèi)網(wǎng)的ip地址，這里的ip地址是需要上網(wǎng)的ip地址，如果電腦IP地址禁止上外網(wǎng)，可以直接不放在這個(gè)ip地址段中，這個(gè)ip地址就不會(huì)nat轉(zhuǎn)發(fā)到外網(wǎng)了。

目的區(qū)域，目的區(qū)域就是需要你電腦想去訪問(wèn)什么，你想訪問(wèn)百度，想訪問(wèn)網(wǎng)站，那這些網(wǎng)站和百度都在你們公司外面，所以就需要選擇的是外網(wǎng)區(qū)。

外網(wǎng)區(qū)，在定義的時(shí)候，就是我們配置的AF的外網(wǎng)ip地址所屬于的區(qū)域，那很多人會(huì)問(wèn)，為什么是外網(wǎng)區(qū)的這個(gè)ip地址區(qū)呢？

那是因?yàn)�，所有公司�?nèi)網(wǎng)的ip地址，如果需要訪問(wèn)公網(wǎng)上的任何的服務(wù)，都需要將內(nèi)網(wǎng)的ip都通過(guò)NAT轉(zhuǎn)換到這個(gè)外網(wǎng)區(qū)的這個(gè)1.2.1.2這個(gè)ip上，然后通過(guò)1.2.1.2這個(gè)公網(wǎng)ip地址去訪問(wèn)到每個(gè)網(wǎng)站，每個(gè)服務(wù)。

步驟7.配置應(yīng)用控制策略，放通內(nèi)網(wǎng)用戶上網(wǎng)權(quán)限，進(jìn)入[策略/訪問(wèn)控制/應(yīng)用控制策略]，點(diǎn)擊<新增>，放通內(nèi)到外的數(shù)據(jù)訪問(wèn)權(quán)限，源區(qū)域選擇自定義的內(nèi)網(wǎng)區(qū)，源地址選擇自定義的內(nèi)網(wǎng)，目的區(qū)域選擇自定義的外網(wǎng)區(qū)，目的地址為全部，服務(wù)為any，應(yīng)用為全部。如下圖所示

步驟8.基本配置完畢后，將設(shè)備接入網(wǎng)絡(luò)中，eth2口連接運(yùn)營(yíng)商、電信、移動(dòng)、聯(lián)通的光貓，eth3口接內(nèi)網(wǎng)三層交換機(jī)。

注意：

1．設(shè)備工作在路由模式時(shí)，局域網(wǎng)內(nèi)計(jì)算機(jī)的網(wǎng)關(guān)都是指向AF設(shè)備內(nèi)網(wǎng)接口IP或指向三層交換機(jī)LAN口IP地址，三層交換機(jī)的網(wǎng)關(guān)再指向AF設(shè)備。上網(wǎng)數(shù)據(jù)由AF設(shè)備NAT或路由轉(zhuǎn)發(fā)出去。

2．當(dāng)設(shè)備有多個(gè)路由接口時(shí)，多個(gè)路由接口可以設(shè)置同網(wǎng)段的IP地址，通過(guò)靜態(tài)路由決定數(shù)據(jù)從哪個(gè)網(wǎng)口轉(zhuǎn)發(fā)。

3.設(shè)備支持配置多個(gè)WAN口屬性的路由接口連接多條外網(wǎng)線路，但是需要開(kāi)通多條線路的授權(quán)。

三、如果內(nèi)部有服務(wù)器需要外網(wǎng)訪問(wèn)該怎么設(shè)置呢？

1、進(jìn)入到地址轉(zhuǎn)換，找到IPV4地址轉(zhuǎn)換。

這時(shí)我們轉(zhuǎn)換的源是wan，外網(wǎng)區(qū)域，源地址，是外網(wǎng)所有的ip地址都可以訪問(wèn)。

2、目的地址，這里的目的地址一定是WAN口的公網(wǎng)ip地址，在這里有很多人會(huì)以為直接訪問(wèn)的目的地址是172.x.x.200這個(gè)NAS的ip地址，因?yàn)樵L問(wèn)的最終目的是NAS的172.x.x.200這個(gè)ip地址，但是你沒(méi)有想到的是，外網(wǎng)訪問(wèn)你的nas時(shí)沒(méi)有辦法訪問(wèn)你內(nèi)部172.x.x.200這個(gè)ip地址的，外網(wǎng)區(qū)域的人只能訪問(wèn)到你AF防火墻的公網(wǎng)IP地址。

3、這時(shí)就需要通過(guò)NAT映射，將AF防火墻WAN口的公網(wǎng)ip地址，通過(guò)NAT轉(zhuǎn)換映射到內(nèi)部的NAS服務(wù)器的IP地址，就和我們公司內(nèi)部ip地址想訪問(wèn)外部服務(wù)器一樣，需要做一個(gè)NAT地址代理轉(zhuǎn)換。

4、端口，這里的端口也是對(duì)應(yīng)的，自定一個(gè)端口然后映射到內(nèi)部服務(wù)器的端口。