通过IPv4 PPPoE接入互联网

通过IPv4 PPPoE接入互联网

设备作为Client,通过PPPoE协议向运营商设备拨号后获得IP地址,实现接入Internet。

组网需求

图1所示,FW作为出口网关,为局域网内PC提供接入Internet出口。公司网络规划如下:

  • 局域网内所有PC都部署在10.3.0.1/24网段,均通过DHCP方式动态获得IP地址。
  • 下行链路:连接公司内的所有PC。
  • 上行链路:向运营商申请Internet接入服务。运营商提供的Internet接入服务使用PPPoE协议。

根据以上情况,需要将FW作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。

图1 PPPoE接入Internet组网图

本举例中假设某企业从运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地运营商获取。

数据

说明

接口号:GigabitEthernet 1/0/1

安全区域:untrust

通过拨号向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址。

  • 拨号用户名:user
  • 拨号密码:password

接口号:GigabitEthernet 1/0/3

IP地址:10.3.0.1/24

安全区域:trust

通过DHCP,给局域网内PC动态分配IP地址。

配置思路

  1. 配置下行链路。

    在接口GigabitEthernet 1/0/3上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS Server地址均为接口GigabitEthernet 1/0/3的IP地址。

    PC上网通常需要解析域名,这就需要为其指定DNS Server地址。本例中FW作为DNS Relay设备。

  2. 配置上行链路,采用PPPoE方式获取IP地址和DNS Server地址。

  3. FW各个接口加入到安全区域,并配置安全策略。

    将连接公司局域网的接口加入到高安全等级的区域(trust),将连接Internet的上行接口加入到低安全等级的区域(untrust)。

  4. 配置NAT策略。

    局域网内通常使用私网地址,必须经过地址转换后才能访问Internet。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不同,所以配置采用Easy IP方式的NAT策略。

操作步骤

  1. 配置接口GigabitEthernet 1/0/3的IP地址。
    <FW> system-view
    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] ip address 10.3.0.1 255.255.255.0
    [FW-GigabitEthernet1/0/3] quit
  2. 将各个接口加入对应安全区域。
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface GigabitEthernet 1/0/1
    [FW-zone-untrust] quit
    [FW] firewall zone trust
    [FW-zone-trust] add interface GigabitEthernet 1/0/3
    [FW-zone-trust] quit
  3. 配置设备作为DHCP Server,为局域网内部PC分配IP地址。

    # 开启DHCP功能。

    [FW] dhcp enable

    # 创建接口地址池,为内网PC配置网关地址并指定DNS Server。

    [FW] interface GigabitEthernet 1/0/3
    [FW-GigabitEthernet1/0/3] dhcp select interface
    [FW-GigabitEthernet1/0/3] dhcp server ip-range 10.3.0.1 10.3.0.254
    [FW-GigabitEthernet1/0/3] dhcp server dns-list 9.9.9.9
    [FW-GigabitEthernet1/0/3] dhcp server gateway-list 10.3.0.1
    [FW-GigabitEthernet1/0/3] quit
  4. 配置接口GigabitEthernet 1/0/1,采用PPPoE方式获得IP地址和DNS Server地址。
    [FW] dialer-rule 1 ip permit
    [FW] interface Dialer 1
    [FW-Dialer1] link-protocol ppp
    [FW-Dialer1] dialer user user
    [FW-Dialer1] ip address ppp-negotiate
    [FW-Dialer1] ppp ipcp dns admit-any
    [FW-Dialer1] dialer-group 1
    [FW-Dialer1] dialer bundle 1
    [FW-Dialer1] ppp pap local-user user password cipher password
    [FW-Dialer1] quit
    [FW] firewall zone untrust
    [FW-zone-untrust] add interface Dialer 1
    [FW-zone-untrust] quit
    [FW] interface GigabitEthernet 1/0/1
    [FW-GigabitEthernet1/0/1] pppoe-client dial-bundle-number 1 ipv4
    [FW-GigabitEthernet1/0/1] quit
  5. 配置安全策略,允许内部网络中的PC访问Internet。
    [FW] security-policy
    [FW-security-policy] rule name policy_sec_1
    [FW-security-policy-policy_sec_1] source-address 10.3.0.0 mask 255.255.255.0
    [FW-security-policy-policy_sec_1] source-zone trust
    [FW-security-policy-policy_sec_1] destination-zone untrust
    [FW-security-policy-policy_sec_1] action permit
    [FW-security-policy-policy_sec_1] quit
    [FW-security-policy] quit
  6. 配置NAT策略,允许内网用户访问Internet。
    [FW] nat-policy
    [FW-policy-nat] rule name policy_nat_1
    [FW-policy-nat-rule-policy_nat_1] source-address 10.3.0.0 mask 255.255.255.0
    [FW-policy-nat-rule-policy_nat_1] source-zone trust
    [FW-policy-nat-rule-policy_nat_1] egress-interface dialer 1
    [FW-policy-nat-rule-policy_nat_1] action source-nat easy-ip
    [FW-policy-nat-rule-policy_nat_1] quit
    [FW-policy-nat] quit
  7. 配置缺省路由,确保局域网用户访问Internet路由可达。下一跳为运营商分配给企业的网关地址。
    [FW] ip route-static 0.0.0.0 0.0.0.0 Dialer 1

结果验证

  1. 查看FW上的Dialer 1接口是否分配到IP地址。分配到IP地址说明FW已经成功接入Internet,假设此处PPPOE Server分配给Dialer 1接口的IP地址是1.1.1.2/32。

    [FW] display ip interface  Dialer 1
    Dialer1 current state : UP          
    Line protocol current state : UP (spoofing)                  
    The Maximum Transmit Unit : 1492 bytes                       
    input packets : 2209, bytes : 114868, multicasts : 0         
    output packets : 0, bytes : 0, multicasts : 0                
    Directed-broadcast packets:         
     received packets:            0, sent packets:            0  
     forwarded packets:           0, dropped packets:           0
    Internet Address is negotiated, 1.1.1.2/32                   
    Broadcast address : 1.1.1.2         
    TTL being 1 packet number:         0
    TTL invalid packet number:         0
    ICMP packet input number:          0
      Echo reply:                      0
      Unreachable:                     0
      Source quench:                   0
      Routing redirect:                0
      Echo request:                    0
      Router advert:                   0
      Router solicit:                  0
      Time exceed:                     0
      IP header bad:                   0
      Timestamp request:               0
      Timestamp reply:                 0
      Information request:             0
      Information reply:               0
      Netmask request:                 0
      Netmask reply:                   0
      Unknown type:                    0
    
  2. 在内部网络中的PC上通过ipconfig /all命令检查网卡是否正确分配到私网地址和DNS地址。此处以Windows XP操作系统为例,其它操作系统请以实际显示情况为准。

    Ethernet adapter 本地连接:
    
            Connection-specific DNS Suffix  . :
            Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection
            Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35
            Dhcp Enabled. . . . . . . . . . . : Yes
            Autoconfiguration Enabled . . . . : Yes
            IP Address. . . . . . . . . . . . : 10.3.0.3
            Subnet Mask . . . . . . . . . . . : 255.255.255.0
            Default Gateway . . . . . . . . . : 10.3.0.1
            DHCP Server . . . . . . . . . . . : 10.3.0.1
            DNS Servers . . . . . . . . . . . : 9.9.9.9
            Lease Obtained. . . . . . . . . . : 2012年8月2日 9:38:14
            Lease Expires . . . . . . . . . . : 2012年8月13日 9:38:14
  3. 检查内部网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。

配置脚本

#        
interface GigabitEthernet1/0/1    
 pppoe-client dial-bundle-number 1 ipv4                                          
#
interface GigabitEthernet1/0/3
 ip address 10.3.0.1 24
 dhcp select interface
 dhcp server ip-range 10.3.0.1 10.3.0.254
 dhcp server gateway-list 10.3.0.1
 dhcp server dns-list 9.9.9.9
#
dhcp enable
#
interface Dialer1                                                               
 link-protocol ppp                                                              
 ppp chap user user                                                             
 ppp chap password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$                      
 ppp pap local-user user password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$       
 ppp ipcp dns admit-any                                                         
 ip address ppp-negotiate                                                       
 dialer user user                                                               
 dialer bundle 1                                                                
 dialer-group 1
#         
 firewall zone trust                                                             
 set priority 85                                                                
 add interface GigabitEthernet1/0/3            
#        
firewall zone untrust                                                           
 set priority 5                                                                 
 add interface GigabitEthernet1/0/1            
 add interface Dialer1   
#        
 ip route-static 0.0.0.0 0.0.0.0 Dialer 1 
#        
security-policy                                                                 
 rule name policy_sec_1                                                           
  source-zone trust                                                             
  destination-zone untrust                                                      
  source-address 10.3.0.0 24                                                    
  action permit
#        
nat-policy                                                                      
 rule name policy_nat_1                                                         
  source-zone trust                                                             
  source-address 10.3.0.0 24                                                    
  egress-interface dialer 1                                         
  action source-nat easy-ip 
#        
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2169.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
打赏
海报
通过IPv4 PPPoE接入互联网
通过IPv4 PPPoE接入互联网 设备作为Client,通过PPPoE协议向运营商设备拨号后获得IP地址,实现接入Internet。 组网需求 如图1所示,FW作为出口网关,为局域……
<<上一篇
下一篇>>