當(dāng)前位置：首頁 > 健康 > 養(yǎng)生資訊

互聯(lián)網(wǎng)專線接入方式(10、互聯(lián)網(wǎng)主流的幾種接入方式（防火墻篇）)

來源：責(zé)編：時(shí)間：2023-08-24 20:24:02 瀏覽量：275

導(dǎo)讀?10、互聯(lián)網(wǎng)主流的幾種接入方式（防火墻篇）
新手網(wǎng)工必知！讓你每天的新知識(shí)點(diǎn)+1華為下一代防火墻入門課程
主流的幾種接入方式在實(shí)際工作中，防火墻常見的部署位置還是在位于接入Internet的區(qū)域，一個(gè)或者多個(gè)接口接入到互聯(lián)

?10、互聯(lián)網(wǎng)主流的幾種接入方式（防火墻篇）

新手網(wǎng)工必知！讓你每天的新知識(shí)點(diǎn)+1

華為下一代防火墻入門課程

主流的幾種接入方式

在實(shí)際工作中，防火墻常見的部署位置還是在位于接入Internet的區(qū)域，一個(gè)或者多個(gè)接口接入到互聯(lián)網(wǎng)，其余的用于接內(nèi)網(wǎng)區(qū)域，那么在目前接入Internet的方式有這么幾種

（1）DHCP：這種可能大家最熟悉了，家用的光纖過來接入光貓，光貓可以分成兩種模式，一個(gè)是路由模式，就是貓自己撥號(hào)，只需要接到貓上面的終端自動(dòng)獲取地址就能上網(wǎng)了，這種模式就叫做DHCP。

（2）PPPOE：上面說過貓有兩種模式，那么對應(yīng)的另外一種是橋接模式，貓只負(fù)責(zé)光電信號(hào)轉(zhuǎn)換以及注冊到運(yùn)營商的網(wǎng)絡(luò)去，我們自己用終端利用撥號(hào)工具輸入賬號(hào)密碼撥號(hào)后就可以上網(wǎng)，這種方式就是PPPOE。（在實(shí)際環(huán)境中，會(huì)分為普通寬帶跟政企寬帶，政企的相對于普通的上傳會(huì)高些，而且連接數(shù)相對限制較少。）

（3）專線：通常附帶固定的公網(wǎng)IP，這種線路延遲小，上下行對等，價(jià)格比較貴。

面對這三種常見的組網(wǎng)接入方式，在防火墻上面應(yīng)該如何去配置以及需要注意什么問題，并且不要被防火墻的接口命名給誤導(dǎo)了，像目前主流的都會(huì)標(biāo)識(shí)WAN0/1之類的口，很多朋友會(huì)認(rèn)為是不是只有這兩個(gè)口可以接外網(wǎng)，其實(shí)不是這樣的，防火墻所有接口都可以接外網(wǎng)或者內(nèi)網(wǎng)，這個(gè)是自己規(guī)劃的，并不是設(shè)備寫了就一定只能接這2個(gè)，當(dāng)然正常情況下，一般也是2個(gè)外網(wǎng)，那直接接入WAN0/1是沒什么問題的，下面開始進(jìn)入正題。

DHCP接入

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address dhcp-alloc

看到這樣的提示，就說明接口已經(jīng)正常獲取到地址了，這個(gè)時(shí)候還需要注意什么呢？

（1）默認(rèn)路由是否獲取到

默認(rèn)路由的作用這里簡單提及下，Internet的條目非常非常的多，依靠我們一個(gè)一個(gè)去寫那肯定不現(xiàn)實(shí)，默認(rèn)路由的作用就是把沒有匹配到明細(xì)路由都丟到默認(rèn)路由指向的出口出去，通常用于訪問外網(wǎng)才使用，而DHCP正常情況下，都會(huì)下發(fā)一個(gè)網(wǎng)關(guān)地址，那么在防火墻上面體現(xiàn)就是一條默認(rèn)路由。

注意這里產(chǎn)生的是為Unr的路由，這個(gè)表示不是管理員配置上去的，而是通過某種網(wǎng)絡(luò)下發(fā)給防火墻的（通常在DHCP、PPPOE環(huán)境見到）

（2）接口加入安全區(qū)域以及策略放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

加入安全區(qū)域這個(gè)容易理解，為什么這里要配置一個(gè)Local到untrust的策略放行呢？不知道大家有沒有這樣的習(xí)慣，就是外網(wǎng)對接成功后，博主習(xí)慣性的會(huì)ping一下外網(wǎng) 比如114.114.114.114或者223.5.5.5來測試下通沒通，這可能是習(xí)慣性的操作了，記得剛做網(wǎng)絡(luò)那會(huì)，容易忽略這一塊，發(fā)現(xiàn)到最后原來是外網(wǎng)沒通~！，所以現(xiàn)在對接后都會(huì)測試下，那么測試必然是防火墻主動(dòng)發(fā)起流量訪問，最終需要安全策略放行。（貓路由器模式容易出現(xiàn)就是地址獲取到了但是網(wǎng)絡(luò)不通的情況，因?yàn)閾芴?hào)是貓完成的，只有登錄光貓才能知道詳細(xì)情況）

或者說這里我把G1/0/0給關(guān)閉，先配置上192.168.255.254，在打開G1/0/0，看看有什么提示

可以看到獲取到192.168.255.13，但是這個(gè)網(wǎng)段的地址已經(jīng)在其他接口出現(xiàn)了，導(dǎo)致獲取失敗。

所以這個(gè)可能就是實(shí)際中會(huì)遇到的問題，如果真的遇上，那解決辦法就只能喊裝機(jī)師傅把光貓的LAN口地址改成其他網(wǎng)段，或者在規(guī)劃內(nèi)網(wǎng)的時(shí)候盡可能的不要用192.168.0、1、2、31 這幾個(gè)，非常容易沖突，可以采用172.16或者10.X.X.X

PPPOE方式接入

[USG6000V1]dialer-rule 1 ip permit

[USG6000V1]interface Dialer 1

[USG6000V1-Dialer1]mtu 1400

[USG6000V1-Dialer1]ip address ppp-negotiate

[USG6000V1-Dialer1]ppp pap local-user 0777555556 password cipher 123456

[USG6000V1-Dialer1]ppp chap user 0777555556

[USG6000V1-Dialer1]ppp chap password cipher 123456

[USG6000V1-Dialer1]dialer user 0777555556

[USG6000V1-Dialer1]dialer-group 1

[USG6000V1-Dialer1]dialer bundle 1

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1

已經(jīng)獲取到地址了，注意如果是WEB里面查看，該地址會(huì)顯示在物理接口，不會(huì)顯示撥號(hào)口，來了解了解需要注意什么問題。

（1）容易被忽略的默認(rèn)路由

之前DHCP是會(huì)下發(fā)默認(rèn)的，但是PPPOE撥號(hào)則不會(huì)，需要手動(dòng)去添加。

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 Dialer 1

（2）接口加入安全區(qū)域以及管理流量放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface Dialer 1

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

（3）有時(shí)候撥入不上？

寬帶撥號(hào)比較容易出現(xiàn)的問題就是撥入不上，撥入不上就得用排除法跟一些小經(jīng)驗(yàn)來解決了

第一個(gè)：可能運(yùn)營商綁定了MAC地址，之前用某個(gè)設(shè)備撥號(hào)過，其他設(shè)備就撥入不上了，這種就需要解綁

第二個(gè)：寬帶撥號(hào)認(rèn)證有兩種，一種PAP一種CHAP，可能并不知道用的哪種，建議是兩種都配置上去。

互聯(lián)網(wǎng)專線接入方式(10、互聯(lián)網(wǎng)主流的幾種接入方式（防火墻篇）)

ppp pap local-user 0777555556 password cipher 123456

ppp chap user 0777555556

ppp chap password cipher 123456

第三個(gè)： MTU以及MSS，接口下配置MTU可以防止分片造成某些應(yīng)用出錯(cuò)，而MSS則特別在撥號(hào)網(wǎng)絡(luò)中需要注意，有時(shí)候出現(xiàn)能上微信QQ不能打開網(wǎng)頁的情況，這時(shí)候需要調(diào)整下MSS，一般值可以比MTU少20，比如MTU是1400，那么MSS則1380，實(shí)際中沒有規(guī)定值，各種情況都有，不需要調(diào)整上網(wǎng)也正常的，有的地區(qū)則需要調(diào)整到1200甚至1024。

[USG6000V1-Dialer1]mtu 1400

[USG6000V1]firewall tcp-mss 1380

第四個(gè)：不知道運(yùn)營商DNS多少，這個(gè)時(shí)候有個(gè)比較有用的功能可以引用。

通常情況下這里會(huì)顯示PPPOE獲取的DNS多少，然后DHCP里面就可以配置了，這邊是實(shí)驗(yàn)環(huán)境所以沒分配。

第五個(gè)：有這樣的情況出現(xiàn)，能撥上但是沒網(wǎng)絡(luò)??！，這個(gè)只能用多個(gè)設(shè)備同時(shí)撥入測試，如果都沒網(wǎng)絡(luò)那就只能找運(yùn)營商了。

第六個(gè)：PPPOE撥號(hào)的地址可以分為動(dòng)態(tài)公網(wǎng)以及私網(wǎng)地址，涉及到服務(wù)器映射以及想做遠(yuǎn)程接入撥號(hào)功能的話則必須要求是動(dòng)態(tài)公網(wǎng)，這個(gè)后續(xù)講解對應(yīng)功能的時(shí)候會(huì)講解到。

比較有用的查看命令

display pppoe-client session summary ：查看撥號(hào)的會(huì)話狀態(tài)

display ip int br：查看接口是否獲取到IP

display ip routing-table ：查看是否寫了默認(rèn)路由

display zone ：查看接口加入了安全區(qū)域沒有

如果要去掉這個(gè)撥號(hào)口，提示這個(gè)的話，根據(jù)提示來

[USG6000V1]interface Dialer 1

[USG6000V1-Dialer1]undo dialer user

[USG6000V1]undo interface Dialer 1

固定IP專線接入

這里說下，固定專線的地址一般固定的公網(wǎng)IP，在申請后運(yùn)營商會(huì)給予一個(gè)或者多個(gè)（根據(jù)申請的個(gè)數(shù)），在合同的說明里面或者政企網(wǎng)關(guān)上面都會(huì)寫明具體的IP地址范圍、網(wǎng)關(guān)跟DNS，我們在防火墻上面只需要填寫對應(yīng)的地址范圍、網(wǎng)關(guān)、DNS即可。（實(shí)驗(yàn)環(huán)境，這里就以私網(wǎng)地址對接了）

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.255.250 24

[USG6000V1-GigabitEthernet1/0/0]gateway 192.168.255.254

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

固定IP的注意地方跟前面的兩種方式都類似，說說比較特別的一個(gè)地方。

默認(rèn)路由兩種配置

上面介紹過 ip route-static 0.0.0.0 0.0.0.0 的方式，在防火墻里面如果是固定地址方式對接的話，其實(shí)還可以在接口下面直接gateway輸入即可，這兩種方式都可以實(shí)現(xiàn)默認(rèn)路由是上網(wǎng)的功能，但是需要注意的是

接口下寫網(wǎng)關(guān)的優(yōu)先級(jí)是70

靜態(tài)路由方式的寫法優(yōu)先級(jí)是60，這兩個(gè)優(yōu)先級(jí)的不通，在后續(xù)的選路中可能存在一些問題，這個(gè)在后面選路我們在來看。

WEB端操作

選擇網(wǎng)絡(luò)----接口----對應(yīng)的口編輯

（1）靜態(tài)方式

一個(gè)界面完成了，定義好安全區(qū)域、IP地址、默認(rèn)網(wǎng)關(guān)

（2）DHCP方式

（3）PPPOE撥號(hào)

輸入賬號(hào)密碼，先別著急點(diǎn)確定

這里高級(jí)展開，把MTU改低點(diǎn)，默認(rèn)1500

如果撥號(hào)網(wǎng)絡(luò)打開網(wǎng)頁很慢，那么建議這里修改下TCP的MSS。

默認(rèn)路由，在靜態(tài)路由里面新建，目的地址輸入0.0.0.0/0.0.0.0，出接口選擇物理口（這里不顯示撥號(hào)口的），WEB的操作對比命令行來說卻是方便很多，直接一個(gè)界面就完成了，大家在學(xué)會(huì)后，簡化自己工作量的時(shí)候可以用WEB來配置。

“承上啟下”

主流的幾種接入方式已經(jīng)講解完畢了，下面的網(wǎng)絡(luò)環(huán)境中內(nèi)網(wǎng)192.168.11.0以及12.0網(wǎng)段如何去上外網(wǎng)呢？可以先想想哦~答案下篇認(rèn)真學(xué)，可以解決這個(gè)疑問！~

《華為下一代USG防火墻（由淺入深實(shí)際案例系列）》是博主原創(chuàng)的針對華為廠商下一代USG防火墻組網(wǎng)系列應(yīng)用部署為主的系列課程，結(jié)合實(shí)際環(huán)境出發(fā)，加上了博主部署經(jīng)驗(yàn)以及會(huì)遇到哪些問題等進(jìn)行綜合，做到學(xué)以致用，給各位看官朋友一個(gè)不一樣的學(xué)習(xí)體驗(yàn)。

如果大家有任何疑問或者文中有錯(cuò)誤跟疏忽的地方，歡迎大家留言指出，博主看到后會(huì)第一時(shí)間修改，謝謝大家的支持，更多技術(shù)文章盡在網(wǎng)絡(luò)之路Blog，版權(quán)歸網(wǎng)絡(luò)之路Blog所有，原創(chuàng)不易，侵權(quán)必究，覺得有幫助的，關(guān)注、轉(zhuǎn)發(fā)、點(diǎn)贊支持下！~。

上一篇回顧

24、基于無線場景的內(nèi)置portal匿名登錄與接入碼功能

下一篇學(xué)習(xí)

26、基于愛快網(wǎng)關(guān)自帶的認(rèn)證功能打造一個(gè)低成本的網(wǎng)頁認(rèn)證網(wǎng)絡(luò)

本文鏈接：http://www.tebozhan.com/showinfo-62-1089-0.html互聯(lián)網(wǎng)專線接入方式(10、互聯(lián)網(wǎng)主流的幾種接入方式（防火墻篇）)

聲明：本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn)，不代表本站觀點(diǎn)，本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅，請大家謹(jǐn)防詐騙！若有侵權(quán)等問題請及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。

上一篇：互聯(lián)網(wǎng)絲綢之路(建設(shè)數(shù)字絲路，服務(wù)智慧非洲！中國電信積極引領(lǐng)數(shù)字化新時(shí)代)

下一篇：互聯(lián)網(wǎng)專線100m(中國電信：中小微企業(yè)寬帶降費(fèi)10% 不足100M免費(fèi)提速)

標(biāo)簽：

熱門焦點(diǎn)

男生最抵抗不了的動(dòng)作有什么？

在人際交往中，男生和女生之間總是充滿了各種各樣的魅力。而對于男生來說，有一些特定的動(dòng)
健康飲食的重要性,健康飲食有哪些有甚么作用？

不挑食、不偏食、粗細(xì)搭配、葷素搭配、營養(yǎng)均衡健康飲食的重要性。自古以來為什么要養(yǎng)成健康飲食的習(xí)慣平衡膳食、合理營養(yǎng)、促進(jìn)健康一、食物多樣、谷類為主人