华三模拟器可以模拟交换机、路由器、防火墙等，由于自带的PC功能有限，因此需要连接到VMware虚拟机或实体机以模拟真实的PC或者FTPHTTP服务器设备。另外也可以使其连接到互联网，以进行防火墙等的配置。详细思路如下F1a;

本次教程以Win10、HCL3.0.1为例，理论上所有win10版本、win7通用。

虚拟机下载地址： VMware下载地址（内网）：http://172.21.23.103:814/vmware_177981/ 精简版Win7虚拟机下载：ftp://172.21.23.103/disk/users/Win7LITe.zip WIN7官方镜像下载地址（可不用）：ed2k://|file|cn_windows_7_ultiMATE_with_sp1_x64_DVD_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/

一、添加虚拟网卡

1.右键左下角的微标

2.打开设备管理器（Win7可右击计算机打开管理）

3.点击操作->添加过时硬件

4.点击下一页 选择 安装我手动从列表选择的硬件(高级)(M)

5.选择网络适配器，下一步

6.厂商选择Microsoft，型号选择KM-test环回适配器

7.点击下一步，完成安装即可

8.重复一遍上面的步骤，再添加一块虚拟网卡。 9.添加完两张网卡后，进入“控制面板网络和 internet网络连接”，此时能看到刚才添加的两张网卡

二、电脑开启IIS（HTTPFTP）服务 1.打开“此电脑”，在地址栏输入

控制面板所有控制面板项程序和功能

2.选择启用或关闭Windows功能

3.勾选IIS 如下三个（FTPWEB万维网服务），点击确定，等待安装完成

4.进入“控制面板所有控制面板项管理工具”，

会发现多出了一项IIS，点进去 5.进入iis界面，点击Default web site，点击启动。

6.此时浏览器输入 http://localhost/ 会出现一个界面，即HTTP服务搭建完成。 FTP可根据自己需求自行添加

二、HCL与主机的连接

注意！！添加防火墙后，一定要将防火墙的内存更改为768M或以上（我改的1024），否则会出现一系列问题

1.添加F1090防火墙，并添加一个Host，将刚才添加的第一个虚拟网卡连接到G0/0口（可自己定义）

2.进入防火墙shell，配置0/0口的ip，可自行定义，这里以10.0.8.1为例

[H3C]int g 1/0/0
[H3C-GigabitEthernet1/0/0]ip add 10.0.8.1 24

3.回到电脑的网络适配器界面 提示：可在“此电脑”的地址栏输入

控制面板网络和 Internet网络连接

然后双击带有“Microsoft KM-tEST环回适配器”的适配器，点击“属性”，再双击“Internet协议版本4(TCP/ipv4)”，IP设置为10.0.8.x，设置网关、掩码。如图

最后点击确认。 4.防火墙添加此端口到DMZ区域

[H3C]sec name dmz
[H3C-security-zone-DMZ]im int g 1/0/0

5.创建pass对象策略

[H3C]object-policy ip pass
[H3C-object-policy-ip-pass]rule 0 pass

6.在dmz->local方向应用策略

[H3C]zone-pair security source dmz destination local
[H3C-zone-pair-security-DMZ-Local]object-policy apply ip pass

@H_299_126@

7.检测当前PC机能否连接到防火墙： 在cmd界面，ping防火墙的网关10.0.8.1

如图显示，能够ping通。 然后浏览器打开https://10.0.8.1/ 能够看到如下所示界面，用户名密码均为admin，可以尝试登陆，但会要求修改密码，自行决定是否修改（此步无特别意义，仅作验证）

三、Vmware虚拟机与HCL防火墙的连接

1.添加Host，将二号虚拟网卡连接到G0/1口，此口为trust区域，用来连接vmware虚拟机

2.配置G0/1的ip地址和添加trust区域，这里使用192.168.1.1

[H3C]int g 1/0/1
[H3C-GigabitEthernet1/0/1]ip add 192.168.1.1 24
[H3C]sec name trust
[H3C-security-zone-Trust]im int g 1/0/1
#Trust到Local域连通。
[H3C]zone-pair security source Trust destination Local
[H3C-zone-pair-security-Trust-Local]object-policy apply ip pass
[H3C-zone-pair-security-Trust-Local]quit
#Local到Trust域连通。
[H3C]zone-pair security source Local destination Trust
[H3C-zone-pair-security-Local-Trust]object-policy apply ip pass
[H3C-zone-pair-security-Local-Trust]quit

3.DHCP配置

[H3C]dhcp ena
[H3C]dhcp server ip-pool pool1 //新建DHCP地址池
[H3C-dhcp-pool-pool1]network  192.168.1.0 mask 255.255.255.0 //配置地址、掩码
[H3C-dhcp-pool-pool1]gateway-list  192.168.1.1//配置网关
[H3C-dhcp-pool-pool1]dns-list 114.114.114.114//配置DNS
[H3C]int g 1/0/1 //进入接口
[H3C-GigabitEthernet1/0/1]dhcp server apply ip-pool pool1
[H3C-GigabitEthernet1/0/1]dhcp sele ser

经过以上设置，G0/1口的DHCP已开启 此时电脑打开http://192.168.1.1，应该也能进入防火墙web界面 4.打开VMware，点击“编辑”-虚拟网络编辑器

5.添加一个网络（这里为Vmnet2），设置为桥接模式，使其连接到2号虚拟网卡，如下图所示，然后确认。

6.打开虚拟机设置，在“网络适配器”的自定义栏选择刚才添加的VMnetX，这里是VMnet2

6.打开虚拟机，此时虚拟机也能获取到192.168.1.0网段的IP地址

如不行，请尝试重新添加网卡或者重启电脑 注意：退出HCL前一定要保存HCL的设备配置，具体方法：HCL防火墙命令行界面ctrl+z回到用户模式

然后输入save，然后输入Y，回车，提示覆盖也按回车即可

HCL这里也要保存工程

三、配置外网访问

此步骤原理为直接连接到与物理机上网的网卡相同网络，如果是校园网，则还需登陆。建议使用路由器或手机开热点 1.HCL添加HOST，连接到当前上网的网卡，我这里是接的网线，也就是Realtek pciexxx，如果是无线网，请连接到WLAN网卡。 将此HOST连接到防火墙的G0/2端口

2.防火墙配置G0/2端口的IP地址 注意：要求与物理机的IP地址段一致。 我这里查询到物理机上网所用网卡的地址段是192.168.123.93

因此我将防火墙G0/2口的ip配置为192.168.123.95 注意不能冲突

[H3C]int g 1/0/2
[H3C-GigabitEthernet1/0/2]ip add 192.168.123.95 24

然后将此端口加入Untrust区域

[H3C]sec name untrust
[H3C-security-zone-Untrust]im int g 1/0/2

3.配置NAT地址转换

[H3C]int g 1/0/2  #外网口
[H3C-GigabitEthernet1/0/2]nat out

4.配置到外网的缺省路由

[H3C]ip route-static 0.0.0.0 0 192.168.123.1

注意，这里的192.168.123.1与你物理机的网段网关对应 5.放通到untrust的访问权限

[H3C-GigabitEthernet1/0/2]zone-pair security source Local destination untrust
[H3C-zone-pair-security-Local-Untrust]object-policy apply ip pass
[H3C-zone-pair-security-Local-Untrust]zone-pair security source trust destination untrust
[H3C-zone-pair-security-Trust-Untrust]object-policy apply ip pass
[H3C-zone-pair-security-Trust-Untrust]zone-pair security source untrust destination dmz
[H3C-zone-pair-security-Untrust-DMZ]object-policy apply ip pass

6.ASPF

[H3C-zone-pair-security-Untrust-DMZ]zone-pair security source trust destination untrust
[H3C-zone-pair-security-Trust-Untrust]aspf apply policy 1

7.验证 在防火墙shell界面ping测试路由网关，此时能ping通

此时虚拟机理论上能够访问互联网

8.将外网IP访问映射到内网DMZ服务器

[H3C-GigabitEthernet1/0/2]nat server PRoto tcp global 192.168.123.95 inside 10.0.8.10  #192.168.123.95是防火墙外网地址，10.0.8.10是HTTP服务器地址

9.在外网同网段的机器输入防火墙的外网地址192.168.123.95

这里使用手机连接到与防火墙外网同一地址，能够通过防火墙外网地址打开模拟服务器的网站（建立在电脑上）

最后配置完了记得保存配置

此教程对网络、计算机方面的了解程度要求较高，如有不懂可私信

---

如果您觉得文章对您有帮助,欢迎转发打赏