8.1.4.

3 Ejemplo-Acceso a Internet a través de IPv4 PPPoE

8.1.4.3 举例：通过 IPv4 PPPoE 接入互联网
设备作为 PPPoE Client，通过 PPPoE 协议向 PPPoE Server（运营商设备）拨号后获得 IPv4 地址，实现接入 Internet。

组网需求
如图 8-6 所示，NGFW 作为出口网关，为局域网内 PC 提供接入 Internet 出口。
要求 NGFW 作为 PPPoE Client，向 PPPoE Server（运营商设备）拨号获得 IPv4 地址、DNS 地址后，实现接入
Internet。
图 8-6 通过 IPv4 PPPoE 接入 Internet 组网图

配置思路
1. 在 NGFW 的 GigabitEthernet 1/0/1 上开启 PPPoE Client，从 PPPoE Server 获取 IPv4 地址、DNS 服务器的地
址。
2. 在 NGFW 上配置接口 GigabitEthernet 1/0/3 的 IPv4 地址，连接内部网络。
3. 在 NGFW 上配置安全策略和 NAT 策略（Easy-IP 方式）。
4. 在 NGFW 上开启 DNS 代理功能。
5. 内部网络中 PC 的网关、DNS 服务器设置为 10.3.0.1。本举例只介绍 NGFW 的配置过程，PC 的配置过程
略。

操作步骤
1. 配置接口 GigabitEthernet 1/0/1。

a. 选择“网络 > 接口”。

b. 单击 GE1/0/1 对应的 ，依次输入或选择各项参数，具体参数配置如下：

此处假设从运营商获取到的用户名为 user，密码为 Password。配置时请以实际情况为准。

安全区域 untrust

模式 路由

IPv4

连接类型 PPPoE

用户名 user

密码 Password
 在线方式 一直在线

自动获得 IP 地址 选中

自动获得 DNS 地 选中
址

c. 单击“确定”。

2. 配置接口 GigabitEthernet 1/0/3。

a. 选择“网络 > 接口”。

b. 单击 GE1/0/3 对应的 ，依次输入或选择各项参数，具体参数配置如下：

安全区域 trust

模式 路由

IPv4

连接类型 静态 IP

IP 地址 10.3.0.1/255.255.255.0

c. 单击“确定”。

3. 配置安全策略，允许内部网络中的 PC 访问 Internet。

a. 选择“策略 > 安全策略 > 安全策略”。

b. 单击“新建”，依次输入或选择各项参数，具体参数配置如下：

此处只给出了完成本举例所需的安全策略的基本参数，具体使用时，请根据实际情况设置安全策略中
的其他参数。

名称 policy_sec_1

源安全区域 trust

目的安全区域 untrust

源地址/地区 10.3.0.0/24

动作 允许

c. 单击“确定”。

4. 配置 NAT 策略，在内部网络中的 PC 使用私网地址访问 Internet 时进行地址转换。

a. 选择“策略 > NAT 策略 > 源 NAT”。

b. 在“源 NAT 策略列表”中单击“新建”，依次输入或选择各项参数，具体参数配置如下：

 名称 policy_nat_1

源安全区域 trust

目的类型 出接口

出接口 GE1/0/1

转换前

源地址 10.3.0.0/24

动作 NAT 转换

转换后

源地址 出接口地址

c. 单击“确定”。

5. 配置路由。

a. 选择“网络 > 路由 > 静态路由”。

b. 在“静态路由列表”中单击“新建”，按如下参数配置。

目的地址/掩码 0.0.0.0/0.0.0.0

出接口 GE1/0/1

c. 单击“确定”。

6. 在 NGFW 上开启 DNS 代理功能。

说明：
本功能只能通过命令行配置。
<NGFW> system-view
[NGFW] dns proxy enable

结果验证
1. 检查接口 GigabitEthernet 1/0/1（上行链路）的状态。
a. 选择“网络 > 接口”。
b. 查看接口的物理状态/IPv4 状态是否为 Up，连接类型是否为 PPPoE。
2. 检查内部网络中 PC 是否能通过域名访问 Internet。若能访问，则表示配置成功。否则，请检查配置。

配置脚本
#
dns resolve
dns server unnumbered interface Dialer0
#
dns proxy enable
#
sysname NGFW
#
interface Dialer0
link-protocol ppp
ppp chap user user
ppp chap password cipher %$%$={~dOY5l1Xs<t&F{j)~R,md[%$%$
ppp pap local-user user password cipher %$%$={~dOY5l1Xs<t&F{j)~R,md[%$%$
ppp ipcp dns admit-any
ip address ppp-negotiate
dialer user user
dialer bundle 1
#
interface GigabitEthernet1/0/1
pppoe-client dial-bundle-number 1 ipv4
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface Dialer0
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 Dialer 0
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 24
action nat easy-ip
#
return