首页 > 动手实验室 > 华为防火墙配置PPPoE拨号接入Internet
2019
09-19

华为防火墙配置PPPoE拨号接入Internet

华为防火墙配置PPPoE拨号接入Internet

组网需求

设备作为Client,通过PPPoE协议向Server(运营商设备)拨号后获得IP地址,实现接入Internet。
USG作为出口网关,为局域网内PC提供接入Internet出口。

华为防火墙配置PPPoE拨号接入Internet - 第1张  | 鹿鸣天涯

PPPoE接入Internet组网图

网络规划

1.下行链路:使用LAN以太网接口,通过交换机连接公司内的所有PC。

2.上行链路:使用WAN以太网接口接入Internet。同时,向运营商申请Internet接入服务(用户名和密码均为:user)。运营商提供的Internet接入服务使用PPPoE协议。根据以上情况,需要将USG作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。

3.局域网内所有PC都部署在10.1.1.0/24网段,均通过DHCP动态获得IP地址。

配置思路

1.配置下行链路。
在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。
PC上网通常需要解析域名,这就需要为其指定DNS服务器地址。本例中采用USG作为DNS中继设备。
2.配置上行链路。
3.将接口加入到安全区域,并在域间配置NAT和包过滤。
将连接公司局域网的接口加入到高安全等级的区域(Trust),将连接Internet的上行接口加入到低安全等级的区域(Untrust)。
局域网内通常使用私网地址,访问Internet时,必须配置NAT。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不一样,所以采用Easy IP。
4.配置DNS代理。
指定DNS服务器地址为Dialer接口拨号后,从运营商处获得。
5.配置静态路由,指定出接口为Dialer 1。

操作步骤

1.配置下行链路。
# 配置Vlanif 1接口的IP地址。
<USG> system-view
[USG] interface Vlanif 1
[USG-Vlanif1] ip address 10.1.1.1 24
# 在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。
[USG-Vlanif1] dhcp select interface
[USG-Vlanif1] dhcp server dns-list 10.1.1.1
[USG-Vlanif1] quit
2.配置上行链路。
# 创建Dialer 1接口,并启用共享DCC。
[USG] dialer-rule 20 ip permit
[USG] interface Dialer 1
[USG-Dialer1] dialer user test
[USG-Dialer1] dialer-group 20
必须确保命令dialer-group中的参数group-number和dialer-rule中的参数group-number保持一致。本配置举例中取值为20。
dialer user username命令用来启动共享DCC。其中username可以取任意值,比如abc,test。
# 配置使用协商方式获取IP地址。
[USG-Dialer1] ip address ppp-negotiate
# 配置从运营商处获得DNS服务器地址。
[USG-Dialer1] ppp ipcp dns admit-any
# 在Dialer接口下配置用户名(user)和密码(Admin@123)。
[USG-Dialer1] ppp chap user user
[USG-Dialer1] ppp chap password cipher Admin@123
[USG-Dialer1] ppp pap local-user user user password cipher Admin@123
# 配置Dialer Bundle。
[USG-Dialer1] dialer bundle 1
[USG-Dialer1] quit
# 在GigabitEthernet 0/0/2上建立一个PPPoE会话,并指定该会话所对应的Dialer Bundle。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] pppoe-client dial-bundle-number 1
[USG-GigabitEthernet0/0/2] quit
3.将接口加入到安全区域,并在域间配置NAT和包过滤。
# 将接口加入到安全区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] add interface dialer 1
[USG-zone-untrust] quit
[USG] firewall zone trust
[USG-zone-trust] add interface vlanif 1
[USG-zone-trust] add interface Ethernet 6/0/0
[USG-zone-trust] add interface Ethernet 6/0/1
[USG-zone-trust] quit
# 域间配置NAT和包过滤。
[USG] firewall packet-filter default permit all
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-1] easy-ip dialer 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust-outbound] quit
firewall packet-filter default permit all
命令中,打开了所有安全区域间的包过滤。请根据网络情况关闭不需要开放的域间缺省包过滤。
4.配置DNS代理。
[USG] dns proxy enable
[USG] dns server unnumbered interface dialer 1
5.配置静态路由。
[USG] ip route-static 0.0.0.0 0.0.0.0 Dialer 1
6.在局域网内PC上,配置自动获得IP地址和DNS服务器地址。
配置过程略,请参考PC使用操作系统的说明。

结果验证

配置完成后,通过display interface命令检查Dialer接口是否拨号成功(获得IP地址和DNS服务器地址)。
[USG] display interface dialer 1
Dialer1 current state : UP
Line protocol current state :UP (spoofing)
Description : Route Port
The Maximum Transmit Unit is 1492 bytes, Hold timer is 10(sec)
Internet Address is negotiated, 200.1.1.3/32
Link layer protocol is PPP
LCP initial
Physical is Dialer
Last 300 seconds input rate 0 bits/s, 0 packets/s
Last 300 seconds output rate 0 bits/s, 0 packets/s
30 packets input, 1152 bytes, 0 drops
30 packets output, 1058 bytes, 0 drops
Bound to Dialer1:0
Dialer1:0 current state : UP
Line protocol current state : UP
Link layer protocol is PPP
LCP opened, IPCP opened
Primary DNS Address is 202.1.1.10
Secondary DNS Address is 202.11.11.12
Current Connect Time:0 day(s), 0 hour(s), 0 minute(s), 21 second(s)
在PC上执行ipconfig /all命令,检查PC是否正确获得IP地址、DNS服务器地址和缺省网关。
C:\Documents and Settings\Administrator>ipconfig /all
Windows IP Configuration
Ethernet adapter 1:
Connection-specific DNS Suffix  . :
Description . . . . . . . . . . . : Marvell Yukon 88E8056 PCI-E GigabitEthernet Controller
Physical Address. . . . . . . . . : 00-21-97-CF-22-38
Dhcp Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 10.1.1.5
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.1.1.1
DHCP Server . . . . . . . . . . . : 10.1.1.1
DNS Servers . . . . . . . . . . . : 10.1.1.1
Lease Obtained. . . . . . . . . . : 2011年6月19日 11:19:34
Lease Expires . . . . . . . . . . : 2011年6月20日 11:19:34
在PC上访问网页,检查是否可以正常上网。如果不能,请检查配置。

配置命令

下文中只列出与本文内容相关的命令。
#
interface Vlanif1
ip address 10.1.1.1 24
dhcp select interface
dhcp server dns-list 10.1.1.1
#
dialer-rule 20 ip permit
#
interface Dialer1
link-protocol ppp
dialer user test
dialer-group 20
ip address ppp-negotiate
ppp ipcp dns admit-any
ppp chap user user
ppp chap password cipher %$%$Gal~X`28S/.m]\*fuO|’,{ri%$%$
ppp pap local-user user user password cipher %$%$Gal~X`28S/.m]\*fuO|’,{ri%$%$
dialer bundle 1
#
ip route-static 0.0.0.0 0.0.0.0 Dialer1
#
interface GigabitEthernet0/0/2
pppoe-client dial-bundle-number 1
#
dns proxy enable
dns server unnumbered interface Dialer1
#
firewall zone local
set priority 100
#
firewall zone trust
set priority 85
add interface vlanif1
add interface Ethernet6/0/0
add interface Ethernet6/0/1
#
firewall zone untrust
set priority 5
add interface Dialer1
add interface GigabitEthernet0/0/2
#
firewall zone dmz
set priority 50
#
firewall packet-filter default permit all
#
nat-policy interzone trust untrust outbound
policy 1
action source-nat
policy source 10.1.1.0 0.0.0.255
easy-ip Dialer1
return

最后编辑:
作者:jacky
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。