Professional Documents
Culture Documents
8.1.4.3 Ejemplo-Acceso A Internet A Través de IPv4 PPPoE-chino
8.1.4.3 Ejemplo-Acceso A Internet A Través de IPv4 PPPoE-chino
组网需求
如图 8-6 所示,NGFW 作为出口网关,为局域网内 PC 提供接入 Internet 出口。
要求 NGFW 作为 PPPoE Client,向 PPPoE Server(运营商设备)拨号获得 IPv4 地址、DNS 地址后,实现接入
Internet。
图 8-6 通过 IPv4 PPPoE 接入 Internet 组网图
配置思路
1. 在 NGFW 的 GigabitEthernet 1/0/1 上开启 PPPoE Client,从 PPPoE Server 获取 IPv4 地址、DNS 服务器的地
址。
2. 在 NGFW 上配置接口 GigabitEthernet 1/0/3 的 IPv4 地址,连接内部网络。
3. 在 NGFW 上配置安全策略和 NAT 策略(Easy-IP 方式)。
4. 在 NGFW 上开启 DNS 代理功能。
5. 内部网络中 PC 的网关、DNS 服务器设置为 10.3.0.1。本举例只介绍 NGFW 的配置过程,PC 的配置过程
略。
操作步骤
1. 配置接口 GigabitEthernet 1/0/1。
安全区域 untrust
模式 路由
IPv4
连接类型 PPPoE
用户名 user
密码 Password
在线方式 一直在线
自动获得 IP 地址 选中
自动获得 DNS 地 选中
址
c. 单击“确定”。
安全区域 trust
模式 路由
IPv4
连接类型 静态 IP
IP 地址 10.3.0.1/255.255.255.0
c. 单击“确定”。
3. 配置安全策略,允许内部网络中的 PC 访问 Internet。
b. 单击“新建”,依次输入或选择各项参数,具体参数配置如下:
此处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中
的其他参数。
名称 policy_sec_1
源安全区域 trust
目的安全区域 untrust
源地址/地区 10.3.0.0/24
动作 允许
c. 单击“确定”。
源安全区域 trust
目的类型 出接口
出接口 GE1/0/1
转换前
源地址 10.3.0.0/24
动作 NAT 转换
转换后
源地址 出接口地址
c. 单击“确定”。
5. 配置路由。
b. 在“静态路由列表”中单击“新建”,按如下参数配置。
目的地址/掩码 0.0.0.0/0.0.0.0
出接口 GE1/0/1
c. 单击“确定”。
说明:
本功能只能通过命令行配置。
<NGFW> system-view
[NGFW] dns proxy enable
结果验证
1. 检查接口 GigabitEthernet 1/0/1(上行链路)的状态。
a. 选择“网络 > 接口”。
b. 查看接口的物理状态/IPv4 状态是否为 Up,连接类型是否为 PPPoE。
2. 检查内部网络中 PC 是否能通过域名访问 Internet。若能访问,则表示配置成功。否则,请检查配置。
配置脚本
#
dns resolve
dns server unnumbered interface Dialer0
#
dns proxy enable
#
sysname NGFW
#
interface Dialer0
link-protocol ppp
ppp chap user user
ppp chap password cipher %$%$={~dOY5l1Xs<t&F{j)~R,md[%$%$
ppp pap local-user user password cipher %$%$={~dOY5l1Xs<t&F{j)~R,md[%$%$
ppp ipcp dns admit-any
ip address ppp-negotiate
dialer user user
dialer bundle 1
#
interface GigabitEthernet1/0/1
pppoe-client dial-bundle-number 1 ipv4
#
interface GigabitEthernet1/0/3
ip address 10.3.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/3
#
firewall zone untrust
set priority 5
add interface Dialer0
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 Dialer 0
#
security-policy
rule name policy_sec_1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action permit
#
nat-policy
rule name policy_nat_1
source-zone trust
egress-interface GigabitEthernet1/0/1
source-address 10.3.0.0 24
action nat easy-ip
#
return