通过IPv4 PPPoE接入互联网
通过IPv4 PPPoE接入互联网
设备作为Client,通过PPPoE协议向运营商设备拨号后获得IP地址,实现接入Internet。
组网需求
- 局域网内所有PC都部署在10.3.0.1/24网段,均通过DHCP方式动态获得IP地址。
- 下行链路:连接公司内的所有PC。
- 上行链路:向运营商申请Internet接入服务。运营商提供的Internet接入服务使用PPPoE协议。
根据以上情况,需要将FW作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。
本举例中假设某企业从运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地运营商获取。
数据 |
说明 |
---|---|
接口号:GigabitEthernet 1/0/1 安全区域:untrust |
通过拨号向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址。
|
接口号:GigabitEthernet 1/0/3 IP地址:10.3.0.1/24 安全区域:trust |
通过DHCP,给局域网内PC动态分配IP地址。 |
配置思路
-
在接口GigabitEthernet 1/0/3上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS Server地址均为接口GigabitEthernet 1/0/3的IP地址。
PC上网通常需要解析域名,这就需要为其指定DNS Server地址。本例中FW作为DNS Relay设备。
-
将连接公司局域网的接口加入到高安全等级的区域(trust),将连接Internet的上行接口加入到低安全等级的区域(untrust)。
-
局域网内通常使用私网地址,必须经过地址转换后才能访问Internet。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不同,所以配置采用Easy IP方式的NAT策略。
操作步骤
- 配置接口GigabitEthernet 1/0/3的IP地址。
<FW> system-view [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0 [FW-GigabitEthernet1/0/3] quit
- 将各个接口加入对应安全区域。
[FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/3 [FW-zone-trust] quit
- 配置设备作为DHCP Server,为局域网内部PC分配IP地址。
# 开启DHCP功能。
[FW] dhcp enable
# 创建接口地址池,为内网PC配置网关地址并指定DNS Server。
[FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] dhcp select interface [FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254 [FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9 [FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1 [FW-GigabitEthernet1/0/3] quit
- 配置接口GigabitEthernet 1/0/1,采用PPPoE方式获得IP地址和DNS Server地址。
[FW] dialer-rule 1 ip permit [FW] interface Dialer 1 [FW-Dialer1] link-protocol ppp [FW-Dialer1] dialer user user [FW-Dialer1] ip address ppp-negotiate [FW-Dialer1] ppp ipcp dns admit-any [FW-Dialer1] dialer-group 1 [FW-Dialer1] dialer bundle 1 [FW-Dialer1] ppp pap local-user user password cipher password [FW-Dialer1] quit [FW] firewall zone untrust [FW-zone-untrust] add interface Dialer 1 [FW-zone-untrust] quit [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 ipv4 [FW-GigabitEthernet1/0/1] quit
- 配置安全策略,允许内部网络中的PC访问Internet。
[FW] security-policy [FW-security-policy] rule name policy_sec_1 [FW-security-policy-policy_sec_1] source-address 10.3.0.0 mask 255.255.255.0 [FW-security-policy-policy_sec_1] source-zone trust [FW-security-policy-policy_sec_1] destination-zone untrust [FW-security-policy-policy_sec_1] action permit [FW-security-policy-policy_sec_1] quit [FW-security-policy] quit
- 配置NAT策略,允许内网用户访问Internet。
[FW] nat-policy [FW-policy-nat] rule name policy_nat_1 [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0 [FW-policy-nat-rule-policy_nat_1] source-zone trust [FW-policy-nat-rule-policy_nat_1] egress-interface dialer 1 [FW-policy-nat-rule-policy_nat_1] action source-nat easy-ip [FW-policy-nat-rule-policy_nat_1] quit [FW-policy-nat] quit
- 配置缺省路由,确保局域网用户访问Internet路由可达。下一跳为运营商分配给企业的网关地址。
[FW] ip route-static 0.0.0.0 0.0.0.0 Dialer 1
结果验证
-
查看FW上的Dialer 1接口是否分配到IP地址。分配到IP地址说明FW已经成功接入Internet,假设此处PPPOE Server分配给Dialer 1接口的IP地址是1.1.1.2/32。
[FW] display ip interface Dialer 1 Dialer1 current state : UP Line protocol current state : UP (spoofing) The Maximum Transmit Unit : 1492 bytes input packets : 2209, bytes : 114868, multicasts : 0 output packets : 0, bytes : 0, multicasts : 0 Directed-broadcast packets: received packets: 0, sent packets: 0 forwarded packets: 0, dropped packets: 0 Internet Address is negotiated, 1.1.1.2/32 Broadcast address : 1.1.1.2 TTL being 1 packet number: 0 TTL invalid packet number: 0 ICMP packet input number: 0 Echo reply: 0 Unreachable: 0 Source quench: 0 Routing redirect: 0 Echo request: 0 Router advert: 0 Router solicit: 0 Time exceed: 0 IP header bad: 0 Timestamp request: 0 Timestamp reply: 0 Information request: 0 Information reply: 0 Netmask request: 0 Netmask reply: 0 Unknown type: 0
-
在内部网络中的PC上通过ipconfig /all命令检查网卡是否正确分配到私网地址和DNS地址。此处以Windows XP操作系统为例,其它操作系统请以实际显示情况为准。
Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.3.0.3 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.3.0.1 DHCP Server . . . . . . . . . . . : 10.3.0.1 DNS Servers . . . . . . . . . . . : 9.9.9.9 Lease Obtained. . . . . . . . . . : 2012年8月2日 9:38:14 Lease Expires . . . . . . . . . . : 2012年8月13日 9:38:14
- 检查内部网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。
配置脚本
# interface GigabitEthernet1/0/1 pppoe-client dial-bundle-number 1 ipv4 # interface GigabitEthernet1/0/3 ip address 10.3.0.1 24 dhcp select interface dhcp server ip-range 10.3.0.1 10.3.0.254 dhcp server gateway-list 10.3.0.1 dhcp server dns-list 9.9.9.9 # dhcp enable # interface Dialer1 link-protocol ppp ppp chap user user ppp chap password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$ ppp pap local-user user password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$ ppp ipcp dns admit-any ip address ppp-negotiate dialer user user dialer bundle 1 dialer-group 1 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/3 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 add interface Dialer1 # ip route-static 0.0.0.0 0.0.0.0 Dialer 1 # security-policy rule name policy_sec_1 source-zone trust destination-zone untrust source-address 10.3.0.0 24 action permit # nat-policy rule name policy_nat_1 source-zone trust source-address 10.3.0.0 24 egress-interface dialer 1 action source-nat easy-ip # return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2169.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论