當前位置：首頁 > 健康 > 養生資訊

互聯網專線接入方式(10、互聯網主流的幾種接入方式（防火墻篇）)

來源：責編：時間：2023-08-24 20:24:02 瀏覽量：309

導讀?10、互聯網主流的幾種接入方式（防火墻篇）
新手網工必知！讓你每天的新知識點+1華為下一代防火墻入門課程
主流的幾種接入方式在實際工作中，防火墻常見的部署位置還是在位于接入Internet的區域，一個或者多個接口接入到互聯

?10、互聯網主流的幾種接入方式（防火墻篇）

新手網工必知！讓你每天的新知識點+1

華為下一代防火墻入門課程

主流的幾種接入方式

在實際工作中，防火墻常見的部署位置還是在位于接入Internet的區域，一個或者多個接口接入到互聯網，其余的用于接內網區域，那么在目前接入Internet的方式有這么幾種

（1）DHCP：這種可能大家最熟悉了，家用的光纖過來接入光貓，光貓可以分成兩種模式，一個是路由模式，就是貓自己撥號，只需要接到貓上面的終端自動獲取地址就能上網了，這種模式就叫做DHCP。

（2）PPPOE：上面說過貓有兩種模式，那么對應的另外一種是橋接模式，貓只負責光電信號轉換以及注冊到運營商的網絡去，我們自己用終端利用撥號工具輸入賬號密碼撥號后就可以上網，這種方式就是PPPOE。（在實際環境中，會分為普通寬帶跟政企寬帶，政企的相對于普通的上傳會高些，而且連接數相對限制較少。）

（3）專線：通常附帶固定的公網IP，這種線路延遲小，上下行對等，價格比較貴。

面對這三種常見的組網接入方式，在防火墻上面應該如何去配置以及需要注意什么問題，并且不要被防火墻的接口命名給誤導了，像目前主流的都會標識WAN0/1之類的口，很多朋友會認為是不是只有這兩個口可以接外網，其實不是這樣的，防火墻所有接口都可以接外網或者內網，這個是自己規劃的，并不是設備寫了就一定只能接這2個，當然正常情況下，一般也是2個外網，那直接接入WAN0/1是沒什么問題的，下面開始進入正題。

DHCP接入

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address dhcp-alloc

看到這樣的提示，就說明接口已經正常獲取到地址了，這個時候還需要注意什么呢？

（1）默認路由是否獲取到

默認路由的作用這里簡單提及下，Internet的條目非常非常的多，依靠我們一個一個去寫那肯定不現實，默認路由的作用就是把沒有匹配到明細路由都丟到默認路由指向的出口出去，通常用于訪問外網才使用，而DHCP正常情況下，都會下發一個網關地址，那么在防火墻上面體現就是一條默認路由。

注意這里產生的是為Unr的路由，這個表示不是管理員配置上去的，而是通過某種網絡下發給防火墻的（通常在DHCP、PPPOE環境見到）

（2）接口加入安全區域以及策略放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

加入安全區域這個容易理解，為什么這里要配置一個Local到untrust的策略放行呢？不知道大家有沒有這樣的習慣，就是外網對接成功后，博主習慣性的會ping一下外網比如114.114.114.114或者223.5.5.5來測試下通沒通，這可能是習慣性的操作了，記得剛做網絡那會，容易忽略這一塊，發現到最后原來是外網沒通~！，所以現在對接后都會測試下，那么測試必然是防火墻主動發起流量訪問，最終需要安全策略放行。（貓路由器模式容易出現就是地址獲取到了但是網絡不通的情況，因為撥號是貓完成的，只有登錄光貓才能知道詳細情況）

或者說這里我把G1/0/0給關閉，先配置上192.168.255.254，在打開G1/0/0，看看有什么提示

可以看到獲取到192.168.255.13，但是這個網段的地址已經在其他接口出現了，導致獲取失敗。

所以這個可能就是實際中會遇到的問題，如果真的遇上，那解決辦法就只能喊裝機師傅把光貓的LAN口地址改成其他網段，或者在規劃內網的時候盡可能的不要用192.168.0、1、2、31 這幾個，非常容易沖突，可以采用172.16或者10.X.X.X

PPPOE方式接入

[USG6000V1]dialer-rule 1 ip permit

[USG6000V1]interface Dialer 1

[USG6000V1-Dialer1]mtu 1400

[USG6000V1-Dialer1]ip address ppp-negotiate

[USG6000V1-Dialer1]ppp pap local-user 0777555556 password cipher 123456

[USG6000V1-Dialer1]ppp chap user 0777555556

[USG6000V1-Dialer1]ppp chap password cipher 123456

[USG6000V1-Dialer1]dialer user 0777555556

[USG6000V1-Dialer1]dialer-group 1

[USG6000V1-Dialer1]dialer bundle 1

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1

已經獲取到地址了，注意如果是WEB里面查看，該地址會顯示在物理接口，不會顯示撥號口，來了解了解需要注意什么問題。

（1）容易被忽略的默認路由

之前DHCP是會下發默認的，但是PPPOE撥號則不會，需要手動去添加。

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 Dialer 1

（2）接口加入安全區域以及管理流量放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface Dialer 1

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

（3）有時候撥入不上？

寬帶撥號比較容易出現的問題就是撥入不上，撥入不上就得用排除法跟一些小經驗來解決了

第一個：可能運營商綁定了MAC地址，之前用某個設備撥號過，其他設備就撥入不上了，這種就需要解綁

第二個：寬帶撥號認證有兩種，一種PAP一種CHAP，可能并不知道用的哪種，建議是兩種都配置上去。

互聯網專線接入方式(10、互聯網主流的幾種接入方式（防火墻篇）)

ppp pap local-user 0777555556 password cipher 123456

ppp chap user 0777555556

ppp chap password cipher 123456

第三個： MTU以及MSS，接口下配置MTU可以防止分片造成某些應用出錯，而MSS則特別在撥號網絡中需要注意，有時候出現能上微信QQ不能打開網頁的情況，這時候需要調整下MSS，一般值可以比MTU少20，比如MTU是1400，那么MSS則1380，實際中沒有規定值，各種情況都有，不需要調整上網也正常的，有的地區則需要調整到1200甚至1024。

[USG6000V1-Dialer1]mtu 1400

[USG6000V1]firewall tcp-mss 1380

第四個：不知道運營商DNS多少，這個時候有個比較有用的功能可以引用。

通常情況下這里會顯示PPPOE獲取的DNS多少，然后DHCP里面就可以配置了，這邊是實驗環境所以沒分配。

第五個：有這樣的情況出現，能撥上但是沒網絡?。?，這個只能用多個設備同時撥入測試，如果都沒網絡那就只能找運營商了。

第六個：PPPOE撥號的地址可以分為動態公網以及私網地址，涉及到服務器映射以及想做遠程接入撥號功能的話則必須要求是動態公網，這個后續講解對應功能的時候會講解到。

比較有用的查看命令

display pppoe-client session summary ：查看撥號的會話狀態

display ip int br：查看接口是否獲取到IP

display ip routing-table ：查看是否寫了默認路由

display zone ：查看接口加入了安全區域沒有

如果要去掉這個撥號口，提示這個的話，根據提示來