资源描述
通过PPPoE拨号接入
设备作为Client,通过PPPoE协议向Server(运营商设备)拨号后获得IP地址,实现接入Internet。
组网需求
如图1所示,USG作为出口网关,为局域网内PC提供接入Internet出口。公司网络规划如下:
· 局域网内所有PC都部署在10.1.1.0/24网段,均通过DHCP动态获得IP地址。
· 下行链路:使用LAN以太网接口,通过交换机连接公司内的所有PC。
· 上行链路:使用WAN以太网接口接入Internet。同时,向运营商申请Internet接入服务(用户名和密码均为:user)。运营商提供的Internet接入服务使用PPPoE协议。
根据以上情况,需要将USG作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。
项目
数据
说明
(1)
接口号:GigabitEthernet 6/0/2
安全区域:Untrust
通过拨号(Dialer 1接口)向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址。
(2)
接口号:Ethernet 6/0/0(VLAN 1)
安全区域:Trust
LAN以太网接口,缺省属于VLAN 1。
(3)
接口号:Ethernet 6/0/1(VLAN 1)
安全区域:Trust
LAN以太网接口,缺省属于VLAN 1。
Vlanif 1
IP地址:10.1.1.1/24
安全区域:Trust
通过DHCP,给局域网内PC动态分配IP地址。
Dialer 1
IP地址:拨号动态获得
安全区域:Untrust
拨号接口。
· 拨号用户名:user
· 拨号密码:user
请向运营商咨询用户名和密码。
配置思路
1. 配置下行链路。
在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。
PC上网通常需要解析域名,这就需要为其指定DNS服务器地址。本例中采用USG作为DNS中继设备。
2. 配置上行链路。
3. 将接口加入到安全区域,并在域间配置NAT和包过滤。
将连接公司局域网的接口加入到高安全等级的区域(Trust),将连接Internet的上行接口加入到低安全等级的区域(Untrust)。
局域网内通常使用私网地址,访问Internet时,必须配置NAT。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不一样,所以采用Easy IP。
4. 配置DNS代理。
指定DNS服务器地址为Dialer接口拨号后,从运营商处获得。
5. 配置静态路由,指定出接口为Dialer 1。
操作步骤
1. 配置下行链路。
# 配置Vlanif 1接口的IP地址。
<USG> system-view
[USG] interface Vlanif 1
[USG-Vlanif1] ip address 10.1.1.1 24
# 在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。
[USG-Vlanif1] dhcp select interface
[USG-Vlanif1] dhcp server dns-list 10.1.1.1
[USG-Vlanif1] quit
2. 配置上行链路。
# 创建Dialer 1接口,并启用共享DCC。
[USG] dialer-rule 20 ip permit
[USG] interface Dialer 1
[USG-Dialer1] dialer user test
[USG-Dialer1] dialer-group 20
说明:
必须确保命令dialer-group中的参数group-number和dialer-rule中的参数group-number保持一致。本配置举例中取值为20。
dialer user username命令用来启动共享DCC。其中username可以取任意值,比如abc,test。
# 配置使用协商方式获取IP地址。
[USG-Dialer1] ip address ppp-negotiate
# 配置从运营商处获得DNS服务器地址。
[USG-Dialer1] ppp ipcp dns admit-any
# 在Dialer接口下配置用户名(user)和密码(password)。
[USG-Dialer1] ppp chap user user
[USG-Dialer1] ppp chap password cipher password
[USG-Dialer1] ppp pap local-user user user cipher password
# 配置Dialer Bundle。
[USG-Dialer1] dialer bundle 1
[USG-Dialer1] quit
# 在GigabitEthernet 6/0/2上建立一个PPPoE会话,并指定该会话所对应的Dialer Bundle。
[USG] interface GigabitEthernet 6/0/2
[USG-GigabitEthernet6/0/2] pppoe-client dial-bundle-number 1
[USG-GigabitEthernet6/0/2] quit
3. 将接口加入到安全区域,并在域间配置NAT和包过滤。
# 将接口加入到安全区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 6/0/2
[USG-zone-untrust] add interface dialer 1
[USG-zone-untrust] quit
[USG] firewall zone trust
[USG-zone-trust] add interface vlanif 1
[USG-zone-trust] add interface Ethernet 6/0/0
[USG-zone-trust] add interface Ethernet 6/0/1
[USG-zone-trust] quit
# 域间配置NAT和包过滤。
[USG] firewall packet-filter default permit all
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-1] easy-ip dialer 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust-outbound] quit
说明:
firewall packet-filter default permit all命令中,打开了所有安全区域间的包过滤。请根据网络情况关闭不需要开放的域间缺省包过滤。
4. 配置DNS代理。
5. [USG] dns proxy enable
[USG] dns server unnumbered interface dialer 1
6. 配置静态路由。
[USG] ip route-static 0.0.0.0 0.0.0.0 Dialer 1
7. 在局域网内PC上,配置自动获得IP地址和DNS服务器地址。
配置过程略,请参考PC使用操作系统的说明。
结果验证
配置完成后,通过display interface命令检查Dialer接口是否拨号成功(获得IP地址和DNS服务器地址)。
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
