Admin
2017-02-13 14:45:08
如图1所示,NGFW作为出口网关,为局域网内PC提供接入Internet出口。公司网络规划如下:
局域网内所有PC都部署在10.0.0.1/24网段,均通过DHCP动态获得IP地址。
下行链路:连接公司内的所有PC。
上行链路:向运营商申请Internet接入服务。运营商提供的Internet接入服务使用PPPoE协议。
根据以上情况,需要将NGFW作为PPPoE Client,向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址后,实现接入Internet。
本举例中假设某企业从运营商获取了如下信息,这些信息仅供举例使用,实际配置时请从当地运营商获取。
| 数据 | 说明 |
|---|---|
接口号:GigabitEthernet 1/0/1 安全区域:untrust | 通过拨号向PPPoE Server(运营商设备)拨号获得IP地址、DNS地址。
|
接口号:GigabitEthernet 1/0/5 IP地址:10.0.0.1/24 安全区域:trust | 通过DHCP,给局域网内PC动态分配IP地址。 |
配置下行链路。
在接口GigabitEthernet 1/0/5上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为接口GigabitEthernet 1/0/5的IP地址。
PC上网通常需要解析域名,这就需要为其指定DNS服务器地址。本例中NGFW作为DNS中继设备。
配置上行链路,采用PPPoE方式获取IP地址和DNS地址。
将接口加入到安全区域,并配置安全策略。
将连接公司局域网的接口加入到高安全等级的区域(trust),将连接Internet的上行接口加入到低安全等级的区域(untrust)。
局域网内通常使用私网地址,访问Internet时,必须配置NAT。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不一样,所以采用Easy IP。
配置接口GigabitEthernet 1/0/5。
选择。
单击GE1/0/5对应的
,按如下参数配置。
安全区域 | trust |
|---|---|
IPv4 | |
IP地址 | 10.0.0.1/24 |
单击“确定”。
配置DHCP功能,使GigabitEthernet 1/0/5为局域网内的PC分配IP地址。
选择。
在“DHCP服务列表”中单击“新建”,按如下参数配置。
单击“确定”。
配置接口GigabitEthernet 1/0/1,采用PPPoE方式获得IP地址和DNS地址。
选择。
单击GE1/0/1对应的,按如下参数配置。
单击“确定”。
配置NAT策略,允许内网用户访问Internet。
选择。
在“源NAT策略列表”中单击“新建”,按如下参数配置。
单击“确定”。
配置安全策略,允许内网用户访问Internet。
选择。
在“安全策略列表”中,单击“新建”,按如下参数配置。
名称 | sec_policy |
|---|---|
源安全区域 | trust |
目的安全区域 | untrust |
源地址/地区 | 10.0.0.0/24 |
动作 | 允许 |
配置缺省路由,确保局域网用户访问Internet路由可达。下一跳为运营商分配给企业的网关地址。
选择。
在“静态路由列表”中,单击“新建”,按如下参数配置。
目的地址/掩码 | 0.0.0.0/0.0.0.0 |
|---|---|
下一跳 | 202.98.215.2 |
单击“确定”。
检查接口GigabitEthernet 1/0/1的状态。
选择。
查看接口GigabitEthernet 1/0/1是否已获取公网地址,物理状态和IPv4状态是否为Up。
在内部网络中的PC上通过ipconfig/all命令检查网卡是否正确分配到私网地址和DNS地址。此处以Windows XP操作系统为例,其它操作系统请以实际显示情况为准。
Ethernet adapter 本地连接: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection Physical Address. . . . . . . . . : 00-1B-21-B4-0B-35 Dhcp Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IP Address. . . . . . . . . . . . : 10.0.0.3 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 10.0.0.1 DHCP Server . . . . . . . . . . . : 10.0.0.1 DNS Servers . . . . . . . . . . . : 200.1.10.124 Lease Obtained. . . . . . . . . . : 2012年8月2日 9:38:14 Lease Expires . . . . . . . . . . : 2012年8月13日 9:38:14
检查内部网络中的PC是否能通过域名访问Internet,若能访问,则表示配置成功。否则,请检查配置。
# sysname NGFW # interface GigabitEthernet1/0/1 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/5 ip address 10.0.0.1 24 dhcp select interface dhcp server ip-range 10.0.0.1 10.0.0.254 dhcp server dns-list 200.1.10.124 # interface Dialer1 link-protocol ppp ppp chap user user ppp chap password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$ ppp pap local-user user password cipher %$%$8*YSTS6T4Xon5,*wo<v~0>5,%$%$ ppp ipcp dns admit-any ip address ppp-negotiate dialer user user dialer bundle 1 # firewall zone trust set priority 85 add interface GigabitEthernet1/0/5 # firewall zone untrust set priority 5 add interface GigabitEthernet1/0/1 add interface Dialer1 # ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/1 1.1.1.254 # security-policy rule name sec_policy source-zone trust destination-zone untrust source-address 10.0.0.0 24 action permit # nat-policy rule name nat_policy source-zone trust egress-interface GigabitEthernet1/0/1 source-address 10.0.0.0 24 action nat easy-ip # return
021-62279227
发送邮件
