H3C防火墙实战内网能获取IP却无法上网的深度排查指南故障现象与初步分析上周在客户现场遇到一个典型问题某企业部署H3C防火墙作为互联网出口设备按照标准流程配置了固定IP上网。内网终端能够正常获取DHCP分配的IP地址但所有设备均无法访问外网资源。这种能拿地址却上不了网的现象让现场工程师一度怀疑是运营商线路问题。经过半小时的排查最终发现问题出在安全域策略的配置遗漏上。这个案例非常具有代表性——90%的防火墙上网故障并非基础配置错误而是安全策略的完整性被忽视。本文将还原完整排查过程重点解析三个最容易被忽略的关键点安全域Security Zone的接口绑定验证zone-pair策略中local方向的流量放行NAT outbound与安全策略的协同关系1. 基础配置复查排除低级错误遇到此类问题首先需要确认基础配置的正确性。通过display current-configuration命令我们核对了以下关键配置# 外网接口配置假设为G1/0/1 interface GigabitEthernet1/0/1 ip address 198.76.28.30 255.255.255.252 nat outbound # 内网接口配置假设为G1/0/2 interface GigabitEthernet1/0/2 ip address 192.168.10.1 255.255.255.0 # 默认路由配置 ip route-static 0.0.0.0 0 198.76.28.29 # DHCP服务配置 dhcp server ip-pool 1 network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 8.8.8.8注意即使这些配置看起来正确也不代表实际生效。需要通过display interface brief和display ip routing-table进一步验证接口状态和路由表。2. 安全域配置最容易被忽视的陷阱H3C防火墙的核心特性是基于安全域的访问控制。即使NAT和路由配置正确如果接口未正确绑定到安全域或策略未放行流量依然会被丢弃。2.1 验证接口与安全域的绑定执行以下命令检查接口所属安全域display security-zone预期应该看到类似输出Zone: Untrust Interfaces: GigabitEthernet1/0/1 Zone: Trust Interfaces: GigabitEthernet1/0/2常见错误包括接口未加入任何安全域接口错误地加入了DMZ或其他非标准域接口加入了安全域但拼写错误如Untrust写成untrust2.2 检查zone-pair安全策略H3C防火墙默认拒绝所有跨安全域的流量。必须显式配置策略允许Trust到Untrust的流量# 查看现有安全策略 display zone-pair security标准上网配置需要以下三条策略策略方向作用是否必需Trust→Untrust允许内网访问外网是Local→Trust允许防火墙访问内网如DHCP响应是Trust→Local允许内网访问防火墙如DNS查询是关键点很多工程师只配置了Trust→Untrust策略却忽略了Local方向的策略导致DHCP和DNS查询失败。3. NAT配置的隐藏细节即使配置了nat outbound仍需注意3.1 NAT与安全策略的协同在H3C防火墙中NAT处理发生在安全策略检查之后。这意味着流量首先要匹配安全策略被放行然后才会进行地址转换常见误区是认为配置NAT就能自动允许流量通过。3.2 验证NAT转换状态使用以下命令查看NAT会话display nat session正常上网时应该能看到类似记录Source IP/Port: 192.168.10.100/1234 Translate IP/Port: 198.76.28.30/5678 Destination IP/Port: 8.8.8.8/53 Protocol: UDP State: Active如果没有任何NAT会话记录说明流量在更早的阶段如安全策略已被丢弃。4. 综合排查流程图根据上述分析整理出系统化的排查流程物理层检查确认接口指示灯状态检查网线连接网络层验证ping测试网关地址198.76.28.29traceroute测试外网地址配置检查接口IP和掩码默认路由安全域绑定zone-pair策略动态过程分析抓包分析capture-packet查看日志display logbuffer5. 高级调试技巧对于复杂环境这些命令能提供更深度的信息# 开启调试模式谨慎使用 debugging ip packet debugging nat all # 查看详细丢包原因 display firewall session table verbose # 检查策略匹配情况 display zone-pair security statistics提示调试命令会产生大量日志建议在维护窗口期使用并及时关闭调试。6. 典型配置模板以下是经过验证的标准配置模板基于Comware V7# 接口配置 interface GigabitEthernet1/0/1 description WAN_Link ip address 198.76.28.30 255.255.255.252 nat outbound # interface GigabitEthernet1/0/2 description LAN_Network ip address 192.168.10.1 255.255.255.0 # 路由配置 ip route-static 0.0.0.0 0 198.76.28.29 # 安全域配置 security-zone name Untrust import interface GigabitEthernet1/0/1 # security-zone name Trust import interface GigabitEthernet1/0/2 # 对象策略配置 object-policy ip Outbound_Policy rule 0 pass # zone-pair策略配置 zone-pair security source Trust destination Untrust object-policy apply ip Outbound_Policy # zone-pair security source Local destination Trust object-policy apply ip Outbound_Policy # zone-pair security source Trust destination Local object-policy apply ip Outbound_Policy # DHCP服务配置 dhcp enable dhcp server ip-pool LAN_Pool network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 8.8.8.87. 真实案例复盘某制造企业部署后出现上网时断时续的问题排查发现安全策略配置正确NAT配置正常最终原因是MTU不匹配解决方法# 在外网接口设置MTU interface GigabitEthernet1/0/1 mtu 1400这个案例说明即使所有标准配置都正确仍可能存在网络参数方面的隐藏问题。