设备作为Client,通过PPPoE协议向运营商设备拨号后获得IP地址,实现接入Internet。

华为防火墙通过IPv4 PPPoE接入互联网_ip地址

如图所示,FW作为出口网关,为局域网内PC提供接入Internet出口。公司网络规划如下:

  • 局域网内所有PC都部署在10.3.0.1/24网段,均通过DHCP方式动态获得IP地址。
  • 下行链路:连接公司内的所有PC。
  • 上行链路:向运营商申请Internet接入服务。运营商提供的Internet接入服务使用PPPoE协议。

根据以上情况,需要将FW作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。

华为防火墙通过IPv4 PPPoE接入互联网_安全策略_02

配置思路

  1. 配置下行链路。
    在接口GigabitEthernet 1/0/3上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS Server地址均为接口GigabitEthernet 1/0/3的IP地址。
    PC上网通常需要解析域名,这就需要为其指定DNS Server地址。本例中FW作为DNS Relay设备。
  2. 配置上行链路,采用PPPoE方式获取IP地址和DNS Server地址。
  3. 将FW各个接口加入到安全区域,并配置安全策略。
    将连接公司局域网的接口加入到高安全等级的区域(trust),将连接Internet的上行接口加入到低安全等级的区域(untrust)。
  4. 配置NAT策略。
    局域网内通常使用私网地址,必须经过地址转换后才能访问Internet。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不同,所以配置采用Easy IP方式的NAT策略。

eNSP模拟拓扑

华为防火墙通过IPv4 PPPoE接入互联网_ip地址_03

配置步骤

1.防火墙FW基本配置
[FW]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW-GigabitEthernet1/0/3]quit
[FW]interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1]quit
[FW]firewall zone trust
[FW-zone-trust]add interface GigabitEthernet 1/0/3
[FW]firewall zone untrust
[FW-zone-untrust]add interface GigabitEthernet 1/0/1
[FW-zone-untrust]quit
2.配置设备作为DHCP Server,为局域网内部PC分配IP地址。
[FW]dhcp enable 
Info: The operation may take a few seconds. Please wait for a moment.done.
[FW]interface GigabitEthernet 1/0/3
[FW-GigabitEthernet1/0/3]dhcp select interface
[FW-GigabitEthernet1/0/3]dhcp server gateway-list 10.3.0.1
[FW-GigabitEthernet1/0/3]dhcp server dns-list 8.8.8.8
[FW-GigabitEthernet1/0/3]dhcp server ip-range 10.3.0.100 10.3.0.200

内网设备检测DHCP配置

华为防火墙通过IPv4 PPPoE接入互联网_华为防火墙_04

3.本例配置默认路由连通外部网络
[FW]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

防火墙可配置接口做ping测试

[FW-GigabitEthernet1/0/1]service-manage enable 
[FW-GigabitEthernet1/0/1]service-manage ping permit
4.配置安全策略
[FW]security-policy 
[FW-policy-security]rule name policy_sec_1
[FW-policy-security-rule-policy_sec_1]source-zone trust
[FW-policy-security-rule-policy_sec_1]destination-zone untrust
[FW-policy-security-rule-policy_sec_1]source-address 10.3.0.0 mask 255.255.255.0
[FW-policy-security-rule-policy_sec_1]action permit
[FW-policy-security-rule-policy_sec_1]quit
[FW-policy-security]quit
5.配置nat策略
[FW]nat-policy
[FW-policy-nat]rule name policy_nat_1
[FW-policy-nat-rule-policy_nat_1]source-zone trust
[FW-policy-nat-rule-policy_nat_1]source-address 10.3.0.0 mask 255.255.255.0
[FW-policy-nat-rule-policy_nat_1]egress-interface GigabitEthernet 1/0/1
[FW-policy-nat-rule-policy_nat_1]action source-nat easy-ip
[FW-policy-nat-rule-policy_nat_1]quit
6.配置AR1的IP地址
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.254 24
[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 100.0.0.1 24
[Huawei-GigabitEthernet0/0/1]q
测试结果

PC1 ping  PC3

华为防火墙通过IPv4 PPPoE接入互联网_华为防火墙_05