华为防火墙通过IPv4 PPPoE接入互联网

原创

资本家的鱼 2022-05-09 14:38:50 博主文章分类：华为防火墙 ©著作权

文章标签 ip地址华为防火墙安全策略 eNSP 文章分类 网络管理网络/安全

©著作权归作者所有：来自51CTO博客作者资本家的鱼的原创作品，请联系作者获取转载授权，否则将追究法律责任
华为防火墙通过IPv4 PPPoE接入互联网
https://blog.51cto.com/u_15630500/5283819

设备作为Client，通过PPPoE协议向运营商设备拨号后获得IP地址，实现接入Internet。

华为防火墙通过IPv4 PPPoE接入互联网_ip地址

如图所示，FW作为出口网关，为局域网内PC提供接入Internet出口。公司网络规划如下：

局域网内所有PC都部署在10.3.0.1/24网段，均通过DHCP方式动态获得IP地址。
下行链路：连接公司内的所有PC。
上行链路：向运营商申请Internet接入服务。运营商提供的Internet接入服务使用PPPoE协议。

根据以上情况，需要将FW作为PPPoE Client，向PPPoE Server（运营商设备）拨号获得IP地址、DNS地址后，实现接入Internet。

华为防火墙通过IPv4 PPPoE接入互联网_安全策略_02

配置思路

配置下行链路。
在接口GigabitEthernet 1/0/3上开启DHCP Server服务，为PC动态分配IP地址，指定PC获得的网关和DNS Server地址均为接口GigabitEthernet 1/0/3的IP地址。
PC上网通常需要解析域名，这就需要为其指定DNS Server地址。本例中FW作为DNS Relay设备。
配置上行链路，采用PPPoE方式获取IP地址和DNS Server地址。
将FW各个接口加入到安全区域，并配置安全策略。
将连接公司局域网的接口加入到高安全等级的区域（trust），将连接Internet的上行接口加入到低安全等级的区域（untrust）。
配置NAT策略。
局域网内通常使用私网地址，必须经过地址转换后才能访问Internet。本例中，因为上行接口通过拨号获得IP地址，每次拨号获得的IP地址可能不同，所以配置采用Easy IP方式的NAT策略。

eNSP模拟拓扑

华为防火墙通过IPv4 PPPoE接入互联网_ip地址_03

配置步骤

1.防火墙FW基本配置

[FW]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW-GigabitEthernet1/0/3]quit
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1]quit
[FW]firewall zone trust 
[FW-zone-trust]add interface GigabitEthernet 1/0/3
[FW]firewall zone untrust 
[FW-zone-untrust]add interface GigabitEthernet 1/0/1
[FW-zone-untrust]quit

2.配置设备作为DHCP Server，为局域网内部PC分配IP地址。

[FW]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.
[FW]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]dhcp select interface 
[FW-GigabitEthernet1/0/3]dhcp server gateway-list 10.3.0.1
[FW-GigabitEthernet1/0/3]dhcp server dns-list 8.8.8.8
[FW-GigabitEthernet1/0/3]dhcp server ip-range 10.3.0.100 10.3.0.200

内网设备检测DHCP配置

华为防火墙通过IPv4 PPPoE接入互联网_华为防火墙_04

3.本例配置默认路由连通外部网络

[FW]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

防火墙可配置接口做ping测试

[FW-GigabitEthernet1/0/1]service-manage enable 
[FW-GigabitEthernet1/0/1]service-manage ping permit

4.配置安全策略

[FW]security-policy 
[FW-policy-security]rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1]source-zone trust 
[FW-policy-security-rule-policy_sec_1]destination-zone untrust 
[FW-policy-security-rule-policy_sec_1]source-address 10.3.0.0 mask 255.255.255.0  
[FW-policy-security-rule-policy_sec_1]action permit 
[FW-policy-security-rule-policy_sec_1]quit
[FW-policy-security]quit

5.配置nat策略

[FW]nat-policy
[FW-policy-nat]rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1]source-zone trust 
[FW-policy-nat-rule-policy_nat_1]source-address 10.3.0.0 mask 255.255.255.0
[FW-policy-nat-rule-policy_nat_1]egress-interface GigabitEthernet 1/0/1
[FW-policy-nat-rule-policy_nat_1]action source-nat easy-ip 
[FW-policy-nat-rule-policy_nat_1]quit

6.配置AR1的IP地址

[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.254 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 100.0.0.1 24
[Huawei-GigabitEthernet0/0/1]q