技術(shù)資料|Technical trainings

USG6000通過(guò)PPPoE接入Internet

Admin2017-02-13 14:45:08

組網(wǎng)需求

如圖1所示，NGFW作為出口網(wǎng)關(guān)，為局域網(wǎng)內(nèi)PC提供接入Internet出口。公司網(wǎng)絡(luò)規(guī)劃如下：

• 局域網(wǎng)內(nèi)所有PC都部署在10.0.0.1/24網(wǎng)段，均通過(guò)DHCP動(dòng)態(tài)獲得IP地址。

• 下行鏈路：連接公司內(nèi)的所有PC。

• 上行鏈路：向運(yùn)營(yíng)商申請(qǐng)Internet接入服務(wù)。運(yùn)營(yíng)商提供的Internet接入服務(wù)使用PPPoE協(xié)議。

根據(jù)以上情況，需要將NGFW作為PPPoE Client，向PPPoE Server（運(yùn)營(yíng)商設(shè)備）撥號(hào)獲得IP地址、DNS地址后，實(shí)現(xiàn)接入Internet。

圖1 PPPoE接入Internet組網(wǎng)圖 

本舉例中假設(shè)某企業(yè)從運(yùn)營(yíng)商獲取了如下信息，這些信息僅供舉例使用，實(shí)際配置時(shí)請(qǐng)從當(dāng)?shù)剡\(yùn)營(yíng)商獲取。

配置思路

1. 配置下行鏈路。

   在接口GigabitEthernet 1/0/5上開(kāi)啟DHCP Server服務(wù)，為PC動(dòng)態(tài)分配IP地址，指定PC獲得的網(wǎng)關(guān)和DNS服務(wù)器地址均為接口GigabitEthernet 1/0/5的IP地址。

   PC上網(wǎng)通常需要解析域名，這就需要為其指定DNS服務(wù)器地址。本例中NGFW作為DNS中繼設(shè)備。

2. 配置上行鏈路，采用PPPoE方式獲取IP地址和DNS地址。

3. 將接口加入到安全區(qū)域，并配置安全策略。

   將連接公司局域網(wǎng)的接口加入到高安全等級(jí)的區(qū)域（trust），將連接Internet的上行接口加入到低安全等級(jí)的區(qū)域（untrust）。

4. 局域網(wǎng)內(nèi)通常使用私網(wǎng)地址，訪問(wèn)Internet時(shí)，必須配置NAT。本例中，因?yàn)樯闲薪涌谕ㄟ^(guò)撥號(hào)獲得IP地址，每次撥號(hào)獲得的IP地址可能不一樣，所以采用Easy IP。

操作步驟

1. 配置接口GigabitEthernet 1/0/5。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 單擊GE1/0/5對(duì)應(yīng)的，按如下參數(shù)配置。

   
   

   安全區(qū)域	trust
   IPv4
   IP地址	10.0.0.1/24

   
   

3. 單擊“確定”。

   
   

2. 配置DHCP功能，使GigabitEthernet 1/0/5為局域網(wǎng)內(nèi)的PC分配IP地址。

1. 選擇“網(wǎng)絡(luò) > DHCP服務(wù)器 > 服務(wù)”。

2. 在“DHCP服務(wù)列表”中單擊“新建”，按如下參數(shù)配置。

   

3. 單擊“確定”。

3. 配置接口GigabitEthernet 1/0/1，采用PPPoE方式獲得IP地址和DNS地址。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 單擊GE1/0/1對(duì)應(yīng)的，按如下參數(shù)配置。

   

3. 單擊“確定”。

4. 配置NAT策略，允許內(nèi)網(wǎng)用戶訪問(wèn)Internet。

1. 選擇“策略 > NAT策略 > 源NAT”。

2. 在“源NAT策略列表”中單擊“新建”，按如下參數(shù)配置。

   

3. 單擊“確定”。

5. 配置安全策略，允許內(nèi)網(wǎng)用戶訪問(wèn)Internet。

1. 選擇“策略 > 安全策略 > 安全策略”。

2. 在“安全策略列表”中，單擊“新建”，按如下參數(shù)配置。

   
   

   名稱	sec_policy
   源安全區(qū)域	trust
   目的安全區(qū)域	untrust
   源地址/地區(qū)	10.0.0.0/24
   動(dòng)作	允許

   
   

6. 配置缺省路由，確保局域網(wǎng)用戶訪問(wèn)Internet路由可達(dá)。下一跳為運(yùn)營(yíng)商分配給企業(yè)的網(wǎng)關(guān)地址。

1. 選擇“網(wǎng)絡(luò) > 路由 > 靜態(tài)路由”。

2. 在“靜態(tài)路由列表”中，單擊“新建”，按如下參數(shù)配置。

   
   

   目的地址/掩碼	0.0.0.0/0.0.0.0
   下一跳	202.98.215.2

   
   

3. 單擊“確定”。

結(jié)果驗(yàn)證

1. 檢查接口GigabitEthernet 1/0/1的狀態(tài)。

1. 選擇“網(wǎng)絡(luò) > 接口”。

2. 查看接口GigabitEthernet 1/0/1是否已獲取公網(wǎng)地址，物理狀態(tài)和IPv4狀態(tài)是否為Up。

2. 在內(nèi)部網(wǎng)絡(luò)中的PC上通過(guò)ipconfig/all命令檢查網(wǎng)卡是否正確分配到私網(wǎng)地址和DNS地址。此處以Windows XP操作系統(tǒng)為例，其它操作系統(tǒng)請(qǐng)以實(shí)際顯示情況為準(zhǔn)。

   Ethernet adapter 本地連接:
   
           Connection-specific DNS Suffix  . :
           Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
           Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
           Dhcp Enabled. . . . . . . . . . . : Yes
           Autoconfiguration Enabled . . . . : Yes
           IP Address. . . . . . . . . . . . : 10.0.0.3
           Subnet Mask . . . . . . . . . . . : 255.255.255.0
           Default Gateway . . . . . . . . . : 10.0.0.1
           DHCP Server . . . . . . . . . . . : 10.0.0.1
           DNS Servers . . . . . . . . . . . : 200.1.10.124
           Lease Obtained. . . . . . . . . . : 2012年8月2日 9:38:14
           Lease Expires . . . . . . . . . . : 2012年8月13日 9:38:14

3. 檢查內(nèi)部網(wǎng)絡(luò)中的PC是否能通過(guò)域名訪問(wèn)Internet，若能訪問(wèn)，則表示配置成功。否則，請(qǐng)檢查配置。

配置腳本

#                                                                               
 sysname NGFW                                      
#                                                                               
interface GigabitEthernet1/0/1    
 ip address 1.1.1.1 255.255.255.0                                               
#
interface GigabitEthernet1/0/5
 ip address 10.0.0.1 24
 dhcp select interface
 dhcp server ip-range 10.0.0.1 10.0.0.254
 dhcp server dns-list 200.1.10.124
#
interface Dialer1                                                               
 link-protocol ppp                                                              
 ppp chap user user                                                             
 ppp chap password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$                      
 ppp pap local-user user password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$       
 ppp ipcp dns admit-any                                                         
 ip address ppp-negotiate                                                       
 dialer user user                                                               
 dialer bundle 1 #                                                                               
firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/5     
#                                                                               
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1                                             
add interface Dialer1   
#                                                                               
 ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254                 
#                                                                               
security-policy                                                                 
 rule name sec_policy                                                       
  source-zone trust                                                             
  destination-zone untrust                                                      
  source-address 10.0.0.0 24                                                 
  action permit
#                                                                               
nat-policy                                                                      
 rule name nat_policy                                                           
  source-zone trust                                                             
  egress-interface GigabitEthernet1/0/1                                         
  source-address 10.0.0.0 24                                                 
  action nat easy-ip 
#                                                                               
return

• 上一篇： USG6000通過(guò)靜態(tài)IP接入Internet
• 下一篇： 警告和安全標(biāo)識(shí)