华为防火墙通过IPv4 PPPoE接入互联网（华为防火墙通过arp协议）

华为防火墙通过IPv4 PPPoE接入互联网（华为防火墙通过arp协议）

设备作为Client，通过PPPoE协议向运营商设备拨号后获得IP地址，实现接入Internet。

如图所示，FW作为出口网关，为局域网内PC提供接入Internet出口。公司网络规划如下：

局域网内所有PC都部署在10.3.0.1/24网段，均通过DHCP方式动态获得IP地址。下行链路：连接公司内的所有PC。上行链路：向运营商申请Internet接入服务。运营商提供的Internet接入服务使用PPPoE协议。

根据以上情况，需要将FW作为PPPoE Client，向PPPoE Server（运营商设备）拨号获得IP地址、DNS地址后，实现接入Internet。

配置思路

配置下行链路。在接口GigabitEthernet 1/0/3上开启DHCP Server服务，为PC动态分配IP地址，指定PC获得的网关和DNS Server地址均为接口GigabitEthernet 1/0/3的IP地址。PC上网通常需要解析域名，这就需要为其指定DNS Server地址。本例中FW作为DNS Relay设备。配置上行链路，采用PPPoE方式获取IP地址和DNS Server地址。将FW各个接口加入到安全区域，并配置安全策略。将连接公司局域网的接口加入到高安全等级的区域（trust），将连接Internet的上行接口加入到低安全等级的区域（untrust）。配置NAT策略。局域网内通常使用私网地址，必须经过地址转换后才能访问Internet。本例中，因为上行接口通过拨号获得IP地址，每次拨号获得的IP地址可能不同，所以配置采用Easy IP方式的NAT策略。

​

eNSP模拟拓扑

​

​

配置步骤

1.防火墙FW基本配置

[FW]interface GigabitEthernet 1/0/3[FW-GigabitEthernet1/0/3]ip address 10.3.0.1 24[FW-GigabitEthernet1/0/3]quit[FW]interface GigabitEthernet 1/0/1[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 24[FW-GigabitEthernet1/0/1]quit[FW]firewall zone trust [FW-zone-trust]add interface GigabitEthernet 1/0/3[FW]firewall zone untrust [FW-zone-untrust]add interface GigabitEthernet 1/0/1[FW-zone-untrust]quit

2.配置设备作为DHCP Server，为局域网内部PC分配IP地址。

[FW]dhcp enable Info: The operation may take a few seconds. Please wait for a moment.done.[FW]interface GigabitEthernet 1/0/3[FW-GigabitEthernet1/0/3]dhcp select interface [FW-GigabitEthernet1/0/3]dhcp server gateway-list 10.3.0.1[FW-GigabitEthernet1/0/3]dhcp server dns-list 8.8.8.8[FW-GigabitEthernet1/0/3]dhcp server ip-range 10.3.0.100 10.3.0.200

内网设备检测DHCP配置

3.本例配置默认路由连通外部网络

[FW]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

防火墙可配置接口做ping测试

[FW-GigabitEthernet1/0/1]service-manage enable [FW-GigabitEthernet1/0/1]service-manage ping permit

4.配置安全策略

[FW]security-policy [FW-policy-security]rule name policy_sec_1[FW-policy-security-rule-policy_sec_1]source-zone trust [FW-policy-security-rule-policy_sec_1]destination-zone untrust [FW-policy-security-rule-policy_sec_1]source-address 10.3.0.0 mask 255.255.255.0 [FW-policy-security-rule-policy_sec_1]action permit [FW-policy-security-rule-policy_sec_1]quit[FW-policy-security]quit

5.配置nat策略

[FW]nat-policy[FW-policy-nat]rule name policy_nat_1[FW-policy-nat-rule-policy_nat_1]source-zone trust [FW-policy-nat-rule-policy_nat_1]source-address 10.3.0.0 mask 255.255.255.0[FW-policy-nat-rule-policy_nat_1]egress-interface GigabitEthernet 1/0/1[FW-policy-nat-rule-policy_nat_1]action source-nat easy-ip [FW-policy-nat-rule-policy_nat_1]quit

6.配置AR1的IP地址

[Huawei]interface GigabitEthernet 0/0/0[Huawei-GigabitEthernet0/0/0]ip address 1.1.1.254 24[Huawei-GigabitEthernet0/0/0]quit[Huawei]interface GigabitEthernet 0/0/1[Huawei-GigabitEthernet0/0/1]ip address 100.0.0.1 24[Huawei-GigabitEthernet0/0/1]q

测试结果

PC1 ping  PC3

​

​

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。