华为USG6000防火墙在多个运营商接入Internet，是如何部署的呢？带着这个疑问，今天通过一个案例简单了解部署方法。

某高校在网络边缘部署了FW作为安全网关，要求学生网络中的PC只能通过教育网访问Internet,教师网络中的PC只能通过运营商访问Internet。

根据以上的需求，通过ENSP模拟以上的环境，拓扑图如下：

配置思路

1. 新建两个不同优先级的安全区域，分别把两个运营商加入到不同的安全区域中
2. 把学生网络和教师网络的加入到trust安全区域中
3. 配置学生网络和教师网络接口IP地址(网关)
4. 配置安全策略，学生网络从ISP1出去，教师网络从ISP2出去
5. 配置NAT地址

提示：FW1的GE1/0/2这边是采用动态获取地址，具体的配置请参考这篇文章

配置步骤

1、分别把两个运营商划分到不同的安全区域。

[FW1]firewall zone name ISP1   #新增安全区域ISP1
[FW1-zone-ISP1]set priority 6   #设置安全区域优先级
[FW1-zone-ISP1] add interface GigabitEthernet1/0/2  #把接口1/0/2加入到ISP1安全区域中
[FW1]firewall zone ISP2
[FW1-zone-ISP2]set priority 7
[FW1-zone-ISP2] add interface GigabitEthernet1/0/3

2、把接口1/0/1和接口0/0/0加入到trust安全区域

[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
[FW1-zone-trust]add interface GigabitEthernet 0/0/0

3、配置接口1/0/1和接口0/0/0的IP地址

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 10.3.0.1 24
[FW1]interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]ip address 10.3.1.1 24

4、配置安全策略，学生网络从ISP1出去上互联网，教师网络从ISP2出去上互联网。

[FW1]security-policy #进入安全策略配置模式
[FW1-policy-security]rule name student_to_ISP1 #定义一条安全策略名为student_to_ISP1的规则
[FW1-policy-security-rule-student_to_ISP1]source-zone trust #定义源安全区域为trust
[FW1-policy-security-rule-student_to_ISP1]source-address 10.3.0.0 24 #定义源IP地址
[FW1-policy-security-rule-student_to_ISP1]destination-zone ISP1 #定义目的安全区域为 ISP1
[FW1-policy-security-rule-student_to_ISP1]action permit #允许所有流量通过
[FW1-policy-security]rule name teacher_to_ISP2
[FW1-policy-security-rule-teacher_to_ISP2]source-zone trust 
[FW1-policy-security-rule-teacher_to_ISP2]source-address 10.3.1.0 24
[FW1-policy-security-rule-teacher_to_ISP2]destination-zone ISP2
[FW1-policy-security-rule-teacher_to_ISP2]action permit

这里只是粗略的把全部流量放通了，实际工作中是根据业务可以更加细致的限制那些流量通过。

5、配置NAT地址池

[FW1]nat address-group ISP1_address #配置ISP1 NAT地址池
[FW1-address-group-ISP1_address]  section 0 192.168.112.102 192.168.112.104
[FW1]nat address-group ISP2_address 
[FW1-address-group-ISP1_address]  section 0 192.168.113.102 192.168.113.104

6、配置NAT转发策略

[FW1-policy-nat] student_nat  #定义nat转发策略名称
[FW1-policy-nat-rule-student_nat]destination-zone ISP1 #目的类型指定到ISP1
[FW1-policy-nat-rule-student_nat]action source-nat address-group ISP1_address #关联NAT地址池
[FW1-policy-nat] teacher_nat
[FW1-policy-nat-rule-teacher_nat]destination-zone ISP2
[FW1-policy-nat-teacher_nat]action source-nat address-group ISP2_address

验证结果

从学生网络中的PC1去访问互联网，能够正常访问。