《华赛防火墙PPPOE拨号配置实例》由会员分享,可在线阅读,更多相关《华赛防火墙PPPOE拨号配置实例(5页珍藏版)》请在金锄头文库上搜索。
1、通过PPPoE拨号接入设备作为Client,通过PPPoE协议向Server(运营商设备)拨号后获得IP地址,实现接入Internet。组网需求如图1所示,USG作为出口网关,为局域网内PC提供接入Internet出口。公司网络规划如下: 局域网内所有PC都部署在10.1.1.0/24网段,均通过DHCP动态获得IP地址。 下行链路:使用LAN以太网接口,通过交换机连接公司内的所有PC。 上行链路:使用WAN以太网接口接入Internet。同时,向运营商申请Internet接入服务(用户名和密码均为:user)。运营商提供的Internet接入服务使用PPPoE协议。根据以上情况,需要将USG
2、作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。项目数据说明(1)接口号:GigabitEthernet 6/0/2安全区域:Untrust通过拨号(Dialer 1接口)向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址。(2)接口号:Ethernet 6/0/0(VLAN 1)安全区域:TrustLAN以太网接口,缺省属于VLAN 1。(3)接口号:Ethernet 6/0/1(VLAN 1)安全区域:TrustLAN以太网接口,缺省属于VLAN 1。Vlanif 1IP地址:10.1.1.1
3、/24安全区域:Trust通过DHCP,给局域网内PC动态分配IP地址。Dialer 1IP地址:拨号动态获得安全区域:Untrust拨号接口。 拨号用户名:user 拨号密码:user请向运营商咨询用户名和密码。配置思路1. 配置下行链路。在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。PC上网通常需要解析域名,这就需要为其指定DNS服务器地址。本例中采用USG作为DNS中继设备。2. 配置上行链路。3. 将接口加入到安全区域,并在域间配置NAT和包过滤。将连接公司局域网的接口加入到高安全等级的区域(T
4、rust),将连接Internet的上行接口加入到低安全等级的区域(Untrust)。局域网内通常使用私网地址,访问Internet时,必须配置NAT。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不一样,所以采用Easy IP。4. 配置DNS代理。指定DNS服务器地址为Dialer接口拨号后,从运营商处获得。5. 配置静态路由,指定出接口为Dialer 1。操作步骤1. 配置下行链路。 # 配置Vlanif 1接口的IP地址。 system-viewUSG interface Vlanif 1USG-Vlanif1 ip address 10.1.1.1 24# 在V
5、lanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。USG-Vlanif1 dhcp select interfaceUSG-Vlanif1 dhcp server dns-list 10.1.1.1USG-Vlanif1 quit2. 配置上行链路。 # 创建Dialer 1接口,并启用共享DCC。USG dialer-rule 20 ip permitUSG interface Dialer 1USG-Dialer1 dialer user testUSG-Dialer1 dialer-group 20说明:
6、 必须确保命令dialer-group中的参数group-number和dialer-rule中的参数group-number保持一致。本配置举例中取值为20。dialer user username命令用来启动共享DCC。其中username可以取任意值,比如abc,test。# 配置使用协商方式获取IP地址。USG-Dialer1 ip address ppp-negotiate# 配置从运营商处获得DNS服务器地址。USG-Dialer1 ppp ipcp dns admit-any# 在Dialer接口下配置用户名(user)和密码(password)。USG-Dialer1 ppp
7、chap user userUSG-Dialer1 ppp chap password cipher passwordUSG-Dialer1 ppp pap local-user user user cipher password# 配置Dialer Bundle。USG-Dialer1 dialer bundle 1USG-Dialer1 quit# 在GigabitEthernet 6/0/2上建立一个PPPoE会话,并指定该会话所对应的Dialer Bundle。USG interface GigabitEthernet 6/0/2USG-GigabitEthernet6/0/2 ppp
8、oe-client dial-bundle-number 1USG-GigabitEthernet6/0/2 quit3. 将接口加入到安全区域,并在域间配置NAT和包过滤。 # 将接口加入到安全区域。USG firewall zone untrustUSG-zone-untrust add interface GigabitEthernet 6/0/2USG-zone-untrust add interface dialer 1USG-zone-untrust quitUSG firewall zone trustUSG-zone-trust add interface vlanif 1US
9、G-zone-trust add interface Ethernet 6/0/0USG-zone-trust add interface Ethernet 6/0/1USG-zone-trust quit# 域间配置NAT和包过滤。USG firewall packet-filter default permit allUSG nat-policy interzone trust untrust outboundUSG-nat-policy-interzone-trust-untrust-outbound policy 1USG-nat-policy-interzone-trust-untr
10、ust-outbound-1 action source-natUSG-nat-policy-interzone-trust-untrust-outbound-1 policy source 10.1.1.0 0.0.0.255USG-nat-policy-interzone-trust-untrust-outbound-1 easy-ip dialer 1USG-nat-policy-interzone-trust-untrust-outbound-1 quitUSG-nat-policy-interzone-trust-untrust-outbound quit说明: firewall p
11、acket-filter default permit all命令中,打开了所有安全区域间的包过滤。请根据网络情况关闭不需要开放的域间缺省包过滤。4. 配置DNS代理。 5. USG dns proxy enableUSG dns server unnumbered interface dialer 16. 配置静态路由。 USG ip route-static 0.0.0.0 0.0.0.0 Dialer 17. 在局域网内PC上,配置自动获得IP地址和DNS服务器地址。 配置过程略,请参考PC使用操作系统的说明。结果验证配置完成后,通过display interface命令检查Dialer接口是否拨号成功(获得IP地址和DNS服务器地址)。
