互联网主流的几种接入方式(防火墙篇)
介绍
《华为下一代USG防火墙(由浅入深实际案例系列)》是博主原创的针对华为厂商下一代USG防火墙组网系列应用部署为主的系列课程,结合实际环境出发,加上了博主部署经验以及会遇到哪些问题等进行综合,做到学以致用,给各位看官朋友一个不一样的学习体验。
主流的几种接入方式
在实际工作中,防火墙常见的部署位置还是在位于接入Internet的区域,一个或者多个接口接入到互联网,其余的用于接内网区域,那么在目前接入Internet的方式有这么几种
(1)DHCP:这种可能大家最熟悉了,家用的光纤过来接入光猫,光猫可以分成两种模式,一个是路由模式,就是猫自己拨号,只需要接到猫上面的终端自动获取地址就能上网了,这种模式就叫做DHCP。
(2)PPPOE:上面说过猫有两种模式,那么对应的另外一种是桥接模式,猫只负责光电信号转换以及注册到运营商的网络去,我们自己用终端利用拨号工具输入账号密码拨号后就可以上网,这种方式就是PPPOE。(在实际环境中,会分为普通宽带跟政企宽带,政企的相对于普通的上传会高些,而且连接数相对限制较少。)
(3)专线:通常附带固定的公网IP,这种线路延迟小,上下行对等,价格比较贵。
面对这三种常见的组网接入方式,在防火墙上面应该如何去配置以及需要注意什么问题,并且不要被防火墙的接口命名给误导了,像目前主流的都会标识WAN0/1之类的口,很多朋友会认为是不是只有这两个口可以接外网,其实不是这样的,防火墙所有接口都可以接外网或者内网,这个是自己规划的,并不是设备写了就一定只能接这2个,当然正常情况下,一般也是2个外网,那直接接入WAN0/1是没什么问题的,下面开始进入正题。
DHCP接入
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ipaddress dhcp-alloc
看到这样的提示,就说明接口已经正常获取到地址了,这个时候还需要注意什么呢?
(1)默认路由是否获取到
默认路由的作用这里简单提及下,Internet的条目非常非常的多,依靠我们一个一个去写那肯定不现实,默认路由的作用就是把没有匹配到明细路由都丢到默认路由指向的出口出去,通常用于访问外网才使用,而DHCP正常情况下,都会下发一个网关地址,那么在防火墙上面体现就是一条默认路由。
注意这里产生的是为Unr的路由,这个表示不是管理员配置上去的,而是通过某种网络下发给防火墙的(通常在DHCP、PPPOE环境见到)
(2)接口加入安全区域以及策略放行
[USG6000V1]firewallzone untrust
[USG6000V1-zone-untrust]add interface g1/0/0
[USG6000V1]security-policy
[USG6000V1-policy-security]rulename Local_untrust
[USG6000V1-policy-security-rule-Local_untrust]source-zonelocal
[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust
[USG6000V1-policy-security-rule-Local_untrust]actionpermit
加入安全区域这个容易理解,为什么这里要配置一个Local到untrust的策略放行呢?不知道大家有没有这样的习惯,就是外网对接成功后,博主习惯性的会ping一下外网比如114.114.114.114或者223.5.5.5来测试下通没通,这可能是习惯性的操作了,记得刚做网络那会,容易忽略这一块,发现到最后原来是外网没通~!,所以现在对接后都会测试下,那么测试必然是防火墙主动发起流量访问,最终需要安全策略放行。(猫路由器模式容易出现就是地址获取到了但是网络不通的情况,因为拨号是猫完成的,只有登录光猫才能知道详细情况)
(3)外网跟内网地址冲突了?
这里博主提一个小的知识点,实际中的光猫,电信、移动的都以192.168.1.0网段为主,联通的有的地区是192.168.2.0,这样的场景下,可能客户的内网配置的网段也正好在这个范围,那么你会发现很神奇的事情!!!地址获取不到的情况,因为一个网段是不能同时在两个接口下出现的(不说VRF技术)
[USG6000V1-GigabitEthernet1/0/1]ipaddress 192.168.255.254 24
Error:The specified address conflicts with another address.
可以看到主动在内网在配置一个关于192.168.255.254的地址时候,会提示这个地址已经在其他接口使用了。
或者说这里我把G1/0/0给关闭,先配置上192.168.255.254,在打开G1/0/0,看看有什么提示
所以这个可能就是实际中会遇到的问题,如果真的遇上,那解决办法就只能喊装机师傅把光猫的LAN口地址改成其他网段,或者在规划内网的时候尽可能的不要用192.168.0、1、2、31 这几个,非常容易冲突,可以采用172.16或者10.X.X.X
PPPOE方式接入
[USG6000V1]dialer-rule1 ip permit
[USG6000V1]interface Dialer 1
[USG6000V1-Dialer1]mtu1400
[USG6000V1-Dialer1]ipaddress ppp-negotiate
[USG6000V1-Dialer1]ppppap local-user 0777555556 password cipher 123456
[USG6000V1-Dialer1]pppchap user 0777555556
[USG6000V1-Dialer1]pppchap password cipher 123456
[USG6000V1-Dialer1]dialeruser 0777555556
[USG6000V1-Dialer1]dialer-group1
[USG6000V1-Dialer1]dialerbundle 1
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1
已经获取到地址了,注意如果是WEB里面查看,该地址会显示在物理接口,不会显示拨号口,来了解了解需要注意什么问题。
(1)容易被忽略的默认路由
之前DHCP是会下发默认的,但是PPPOE拨号则不会,需要手动去添加。
[USG6000V1]iproute-static 0.0.0.0 0.0.0.0 Dialer 1
(2)接口加入安全区域以及管理流量放行
[USG6000V1]firewallzone untrust
[USG6000V1-zone-untrust]add interface Dialer 1
[USG6000V1-policy-security]rulename Local_untrust
[USG6000V1-policy-security-rule-Local_untrust]source-zone local
[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust
[USG6000V1-policy-security-rule-Local_untrust]actionpermit
(3)有时候拨入不上?
宽带拨号比较容易出现的问题就是拨入不上,拨入不上就得用排除法跟一些小经验来解决了
第一个:可能运营商绑定了MAC地址,之前用某个设备拨号过,其他设备就拨入不上了,这种就需要解绑
第二个:宽带拨号认证有两种,一种PAP一种CHAP,可能并不知道用的哪种,建议是两种都配置上去。
ppp pap local-user 0777555556 password cipher 123456
ppp chap user0777555556
ppp chap password cipher 123456
第三个:MTU以及MSS,接口下配置MTU可以防止分片造成某些应用出错,而MSS则特别在拨号网络中需要注意,有时候出现能上微信QQ不能打开网页的情况,这时候需要调整下MSS,一般值可以比MTU少20,比如MTU是1400,那么MSS则1380,实际中没有规定值,各种情况都有,不需要调整上网也正常的,有的地区则需要调整到1200甚至1024。
[USG6000V1-Dialer1]mtu1400
[USG6000V1]firewalltcp-mss 1380
第四个:不知道运营商DNS多少,这个时候有个比较有用的功能可以引用。
通常情况下这里会显示PPPOE获取的DNS多少,然后DHCP里面就可以配置了,这边是实验环境所以没分配。
第五个:有这样的情况出现,能拨上但是没网络!!,这个只能用多个设备同时拨入测试,如果都没网络那就只能找运营商了。
第六个:PPPOE拨号的地址可以分为动态公网以及私网地址,涉及到服务器映射以及想做远程接入拨号功能的话则必须要求是动态公网,这个后续讲解对应功能的时候会讲解到。
比较有用的查看命令
displaypppoe-client session summary:查看拨号的会话状态
display ip int br:查看接口是否获取到IP
display iprouting-table :查看是否写了默认路由
display zone :查看接口加入了安全区域没有
如果要去掉这个拨号口,提示这个的话,根据提示来
[USG6000V1]interfaceDialer 1
[USG6000V1-Dialer1]undodialer user
[USG6000V1]undointerface Dialer 1
固定IP专线接入
这里说下,固定专线的地址一般固定的公网IP,在申请后运营商会给予一个或者多个(根据申请的个数),在合同的说明里面或者政企网关上面都会写明具体的IP地址范围、网关跟DNS,我们在防火墙上面只需要填写对应的地址范围、网关、DNS即可。(实验环境,这里就以私网地址对接了)
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ipaddress 192.168.255.250 24
[USG6000V1-GigabitEthernet1/0/0]gateway 192.168.255.254
[USG6000V1]firewallzone untrust
[USG6000V1-zone-untrust]add interface g1/0/0
固定IP的注意地方跟前面的两种方式都类似,说说比较特别的一个地方。
默认路由两种配置
上面介绍过ip route-static 0.0.0.0 0.0.0.0的方式,在防火墙里面如果是固定地址方式对接的话,其实还可以在接口下面直接gateway输入即可,这两种方式都可以实现默认路由是上网的功能,但是需要注意的是
接口下写网关的优先级是70
静态路由方式的写法优先级是60,这两个优先级的不通,在后续的选路中可能存在一些问题,这个在后面选路我们在来看。
WEB端操作
选择网络----接口----对应的口编辑
(1)静态方式
一个界面完成了,定义好安全区域、IP地址、默认网关
(2)DHCP方式
(3)PPPOE拨号
输入账号密码,先别着急点确定
这里高级展开,把MTU改低点,默认1500
如果拨号网络打开网页很慢,那么建议这里修改下TCP的MSS。
默认路由,在静态路由里面新建,目的地址输入0.0.0.0/0.0.0.0,出接口选择物理口(这里不显示拨号口的),WEB的操作对比命令行来说却是方便很多,直接一个界面就完成了,大家在学会后,简化自己工作量的时候可以用WEB来配置。
“承上启下”
主流的几种接入方式已经讲解完毕了,下面的网络环境中内网192.168.11.0以及12.0网段如何去上外网呢?可以先想想哦~答案下篇认真学,可以解决这个疑问!~
END