怎么接入互联网(解读互联网主流的几种接入方式)
-
-
sylm 这家伙很懒,还没有设置简介...
0 人点赞了该文章 · 13 浏览
主流的几种接入方式
在实际工作中,防火墙常见的部署位置还是在位于接入Internet的区域,一个或者多个接口接入到互联网,其余的用于接内网区域,那么在目前接入Internet的方式有这么几种
(1)DHCP:这种可能大家最熟悉了,家用的光纤过来接入光猫,光猫可以分成两种模式,一个是路由模式,就是猫自己拨号,只需要接到猫上面的终端自动获取地址就能上网了,这种模式就叫做DHCP。
(2)PPPOE:上面说过猫有两种模式,那么对应的另外一种是桥接模式,猫只负责光电信号转换以及注册到运营商的网络去,我们自己用终端利用拨号工具输入账号密码拨号后就可以上网,这种方式就是PPPOE。(在实际环境中,会分为普通宽带跟政企宽带,政企的相对于普通的上传会高些,而且连接数相对限制较少。)
(3)专线:通常附带固定的公网IP,这种线路延迟小,上下行对等,价格比较贵。
面对这三种常见的组网接入方式,在防火墙上面应该如何去配置以及需要注意什么问题,并且不要被防火墙的接口命名给误导了,像目前主流的都会标识WAN0/1之类的口,很多朋友会认为是不是只有这两个口可以接外网,其实不是这样的,防火墙所有接口都可以接外网或者内网,这个是自己规划的,并不是设备写了就一定只能接这2个,当然正常情况下,一般也是2个外网,那直接接入WAN0/1是没什么问题的,下面开始进入正题。
DHCP接入
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address dhcp-alloc
看到这样的提示,就说明接口已经正常获取到地址了,这个时候还需要注意什么呢?
(1)默认路由是否获取到
默认路由的作用这里简单提及下,Internet的条目非常非常的多,依靠我们一个一个去写那肯定不现实,默认路由的作用就是把没有匹配到明细路由都丢到默认路由指向的出口出去,通常用于访问外网才使用,而DHCP正常情况下,都会下发一个网关地址,那么在防火墙上面体现就是一条默认路由。
注意这里产生的是为Unr的路由,这个表示不是管理员配置上去的,而是通过某种网络下发给防火墙的(通常在DHCP、PPPOE环境见到)
(2)接口加入安全区域以及策略放行
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/0
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name Local_untrust
[USG6000V1-policy-security-rule-Local_untrust]source-zone local
[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust
[USG6000V1-policy-security-rule-Local_untrust]action permit
加入安全区域这个容易理解,为什么这里要配置一个Local到untrust的策略放行呢? 不知道大家有没有这样的习惯,就是外网对接成功后,博主习惯性的会ping一下外网 比如114.114.114.114或者223.5.5.5来测试下通没通,这可能是习惯性的操作了,记得刚做网络那会,容易忽略这一块,发现到最后原来是外网没通~!,所以现在对接后都会测试下,那么测试必然是防火墙主动发起流量访问,最终需要安全策略放行。(猫路由器模式容易出现就是地址获取到了但是网络不通的情况,因为拨号是猫完成的,只有登录光猫才能知道详细情况)
或者说这里我把G1/0/0给关闭,先配置上192.168.255.254,在打开G1/0/0,看看有什么提示
可以看到获取到192.168.255.13,但是这个网段的地址已经在其他接口出现了,导致获取失败。
所以这个可能就是实际中会遇到的问题,如果真的遇上,那解决办法就只能喊装机师傅把光猫的LAN口地址改成其他网段,或者在规划内网的时候尽可能的不要用192.168.0、1、2、31 这几个,非常容易冲突,可以采用172.16或者10.X.X.X
PPPOE方式接入
[USG6000V1]dialer-rule 1 ip permit
[USG6000V1]interface Dialer
[USG6000V1-Dialer1]mtu 1400
[USG6000V1-Dialer1]ip address ppp-negotiate
[USG6000V1-Dialer1]ppp pap local-user 0777555556 password cipher 123456
[USG6000V1-Dialer1]ppp chap user 0777555556
[USG6000V1-Dialer1]ppp chap password cipher 123456
[USG6000V1-Dialer1]dialer user 0777555556
[USG6000V1-Dialer1]dialer-group 1
[USG6000V1-Dialer1]dialer bundle 1
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1
