USG是目前华为最主流的防火墙之一,在一些中大型企业非常常见。防火墙作为一个安全产品,通常部署在Internet出口。那么华为USG通过PPPoE拨号接入互联网是如何配置的呢?今天通过一个案例来介绍一下USG通过PPPoE接入Internet。
PPPoE接入Internet拓扑图
![a290c71d525d0505ec3c5a4f48e35286.png](https://i-blog.csdnimg.cn/blog_migrate/2a47060138dc1a3a05c07f741e9777e9.jpeg)
组网需求
如上图所示,FW1作为出口网关,为局域网内PC提供接入Internet出口。公司网络规划如下:
- 局域网内所有PC都部署在10.0.0.1/24网段,均通过DHCP动态获得IP地址。
- 下行链路:连接公司内的所有PC。
- 上行链路:向运营商申请Internet接入服务。运营商提供的Internet接入服务使用PPPoE协议。
根据以上情况,需要将FW1作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。
配置思路
- 配置PPPOE Server 模拟运营商设备,向用户提供拨号用户名(user1)和拨号密码(huawei123)。
- 配置下行链路。在接口GigabitEthernet 1/0/1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为接口GigabitEthernet 1/0/1的IP地址。
- 配置上行链路,采用PPPoE方式获取IP地址和DNS地址。
- 将接口加入到安全区域,并配置安全策略。将连接公司局域网的接口加入到高安全等级的区域(trust),将连接Internet的上行接口加入到低安全等级的区域(untrust)。
- 局域网内通常使用私网地址,访问Internet时,必须配置NAT。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不一样,所以采用Easy IP。
操作步骤
1、配置接口GigabitEthernet 1/0/1的IP地址。
[USG6000V1]interface GigabitEthernet 1/0/1[USG6000V1-GigabitEthernet1/0/1]ip address 10.0.0.1 24
2、将各个接口加入对应安全区域。
[USG6000V1]firewall zone untrust [USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
3、配置设备作为DHCP Server,为局域网内部PC分配IP地址。
#开启DHCP功能。
[USG6000V1]dhcp enable
# 创建接口地址池,为内网PC配置网关地址并指定DNS Server。
[USG6000V1]interface GigabitEthernet 1/0/1[USG6000V1-GigabitEthernet1/0/1]dhcp select interface [USG6000V1-GigabitEthernet1/0/1]dhcp server dns-list 114.114.114.114[USG6000V1-GigabitEthernet1/0/1]dhcp server gateway-list 10.0.0.1[USG6000V1-GigabitEthernet1/0/1]q
4、配置GigabitEthernet 1/0/0以PPPoE方式获得IP地址和DNS Server地址。
[USG6000V1] dialer-rule 1 ip permit[USG6000V1] interface Dialer 1[USG6000V1-Dialer1] dialer user user[USG6000V1-Dialer1] ip address ppp-negotiate[USG6000V1-Dialer1] ppp ipcp dns admit-any[USG6000V1-Dialer1] dialer-group 1[USG6000V1-Dialer1] dialer bundle 1[USG6000V1-Dialer1] ppp chap local-user user1 [USG6000V1-Dialer1] ppp chap password cipher huawei123[USG6000V1-Dialer1] quit[USG6000V1] firewall zone untrust[USG6000V1-zone-untrust] add interface Dialer 1[USG6000V1-zone-untrust] quit[USG6000V1] interface GigabitEthernet 1/0/0[USG6000V1-GigabitEthernet1/0/0] pppoe-client dial-bundle-number 1 ipv4[USG6000V1-GigabitEthernet1/0/0] quit
5、配置安全策略,允许内部网络中的PC访问Internet。
[USG6000V1-policy-security]rule name sec_policy[USG6000V1-policy-security-rule-sec_policy]source-address 10.0.0.0 mask 255.255.255.0 [USG6000V1-policy-security-rule-sec_policy]source-zone trust [USG6000V1-policy-security-rule-sec_policy]destination-zone untrust [USG6000V1-policy-security-rule-sec_policy]action permit [USG6000V1-policy-security-rule-sec_policy]q[USG6000V1-policy-security]q
6、配置NAT策略,使内网PC通过转换后的公网IP地址访问Internet。
[USG6000V1] nat-policy[USG6000V1-policy-nat] rule name nat_policy[USG6000V1-policy-nat-rule-nat_policy] source-address 10.0.0.0 mask 255.255.255.0[USG6000V1-policy-nat-rule-nat_policy] source-zone trust[USG6000V1-policy-nat-rule-nat_policy] egress-interface GigabitEthernet 1/0/1[USG6000V1-policy-nat-rule-nat_policy] action nat easy-ip[USG6000V1-policy-nat-rule-nat_policy] quit[USG6000V1-policy-nat] quit