USG6000V是目前華為最主流的防火牆之一,在一些中大型企業非常常見。防火牆作為一個安全產品,通常部署在Internet出口。那麼華為USG6000V通過PPPoE撥號接入互聯網是如何配置的呢?今天通過一個案例來介紹一下USG6000V通過PPPoE接入Internet。
PPPoE接入Internet拓撲圖
組網需求
如上圖所示,FW1作為出口網關,為局域網內PC提供接入Internet出口。公司網絡規劃如下:
- 局域網內所有PC都部署在10.0.0.1/24網段,均通過DHCP動態獲得IP地址。
- 下行鏈路:連接公司內的所有PC。
- 上行鏈路:向運營商申請Internet接入服務。運營商提供的Internet接入服務使用PPPoE協議。
根據以上情況,需要將FW1作為PPPoE Client,向PPPoE Server(運營商設備)撥號獲得IP地址、DNS地址後,實現接入Internet。
配置思路
- 配置PPPOE Server 模擬運營商設備,向用戶提供撥號用戶名(user1)和撥號密碼(huawei123)。
- 配置下行鏈路。在接口GigabitEthernet 1/0/1上開啟DHCP Server服務,為PC動態分配IP地址,指定PC獲得的網關和DNS服務器地址均為接口GigabitEthernet 1/0/1的IP地址。
- 配置上行鏈路,採用PPPoE方式獲取IP地址和DNS地址。
- 將接口加入到安全區域,並配置安全策略。將連接公司局域網的接口加入到高安全等級的區域(trust),將連接Internet的上行接口加入到低安全等級的區域(untrust)。
- 局域網內通常使用私網地址,訪問Internet時,必須配置NAT。本例中,因為上行接口通過撥號獲得IP地址,每次撥號獲得的IP地址可能不一樣,所以採用Easy IP。
操作步驟
1、配置接口GigabitEthernet 1/0/1的IP地址。
[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 10.0.0.1 24
2、將各個接口加入對應安全區域。
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
3、配置設備作為DHCP Server,為局域網內部PC分配IP地址。
#開啟DHCP功能。
[USG6000V1]dhcp enable
# 創建接口地址池,為內網PC配置網關地址並指定DNS Server。
[USG6000V1]interface GigabitEthernet 1/0/1
[USG6000V1-GigabitEthernet1/0/1]dhcp select interface
[USG6000V1-GigabitEthernet1/0/1]dhcp server dns-list 114.114.114.114
[USG6000V1-GigabitEthernet1/0/1]dhcp server gateway-list 10.0.0.1
[USG6000V1-GigabitEthernet1/0/1]q
4、配置GigabitEthernet 1/0/0以PPPoE方式獲得IP地址和DNS Server地址。
[USG6000V1] dialer-rule 1 ip permit
[USG6000V1] interface Dialer 1
[USG6000V1-Dialer1] dialer user user
[USG6000V1-Dialer1] ip address ppp-negotiate
[USG6000V1-Dialer1] ppp ipcp dns admit-any
[USG6000V1-Dialer1] dialer-group 1
[USG6000V1-Dialer1] dialer bundle 1
[USG6000V1-Dialer1] ppp chap local-user user1
[USG6000V1-Dialer1] ppp chap password cipher huawei123
[USG6000V1-Dialer1] quit
[USG6000V1] firewall zone untrust
[USG6000V1-zone-untrust] add interface Dialer 1
[USG6000V1-zone-untrust] quit
[USG6000V1] interface GigabitEthernet 1/0/0
[USG6000V1-GigabitEthernet1/0/0] pppoe-client dial-bundle-number 1 ipv4
[USG6000V1-GigabitEthernet1/0/0] quit
5、配置安全策略,允許內部網絡中的PC訪問Internet。
[USG6000V1-policy-security]rule name sec_policy
[USG6000V1-policy-security-rule-sec_policy]source-address 10.0.0.0 mask 255.255.255.0
[USG6000V1-policy-security-rule-sec_policy]source-zone trust
[USG6000V1-policy-security-rule-sec_policy]destination-zone untrust
[USG6000V1-policy-security-rule-sec_policy]action permit
[USG6000V1-policy-security-rule-sec_policy]q
[USG6000V1-policy-security]q
6、配置NAT策略,使內網PC通過轉換後的公網IP地址訪問Internet。
[USG6000V1] nat-policy
[USG6000V1-policy-nat] rule name nat_policy
[USG6000V1-policy-nat-rule-nat_policy] source-address 10.0.0.0 mask 255.255.255.0
[USG6000V1-policy-nat-rule-nat_policy] source-zone trust
[USG6000V1-policy-nat-rule-nat_policy] egress-interface GigabitEthernet 1/0/1
[USG6000V1-policy-nat-rule-nat_policy] action nat easy-ip
[USG6000V1-policy-nat-rule-nat_policy] quit
[USG6000V1-policy-nat] quit
分享到:
閱讀更多 攻城獅成長之路 的文章
