介紹《華為下一代USG防火墻(由淺入深實(shí)際案例系列)》是博主原創(chuàng)的針對(duì)華為廠商下一代USG防火墻組網(wǎng)系列應(yīng)用部署為主的系列課程,結(jié)合實(shí)際環(huán)境出發(fā),,加上了博主部署經(jīng)驗(yàn)以及會(huì)遇到哪些問題等進(jìn)行綜合,,做到學(xué)以致用,給各位看官朋友一個(gè)不一樣的學(xué)習(xí)體驗(yàn),。 主流的幾種接入方式 在實(shí)際工作中,,防火墻常見的部署位置還是在位于接入Internet的區(qū)域,,一個(gè)或者多個(gè)接口接入到互聯(lián)網(wǎng),其余的用于接內(nèi)網(wǎng)區(qū)域,,那么在目前接入Internet的方式有這么幾種 (1)DHCP:這種可能大家最熟悉了,,家用的光纖過來接入光貓,光貓可以分成兩種模式,,一個(gè)是路由模式,,就是貓自己撥號(hào),只需要接到貓上面的終端自動(dòng)獲取地址就能上網(wǎng)了,,這種模式就叫做DHCP,。 (2)PPPOE:上面說過貓有兩種模式,那么對(duì)應(yīng)的另外一種是橋接模式,,貓只負(fù)責(zé)光電信號(hào)轉(zhuǎn)換以及注冊(cè)到運(yùn)營商的網(wǎng)絡(luò)去,,我們自己用終端利用撥號(hào)工具輸入賬號(hào)密碼撥號(hào)后就可以上網(wǎng),這種方式就是PPPOE,。(在實(shí)際環(huán)境中,,會(huì)分為普通寬帶跟政企寬帶,政企的相對(duì)于普通的上傳會(huì)高些,,而且連接數(shù)相對(duì)限制較少,。) (3)專線:通常附帶固定的公網(wǎng)IP,這種線路延遲小,,上下行對(duì)等,,價(jià)格比較貴。 面對(duì)這三種常見的組網(wǎng)接入方式,,在防火墻上面應(yīng)該如何去配置以及需要注意什么問題,,并且不要被防火墻的接口命名給誤導(dǎo)了,像目前主流的都會(huì)標(biāo)識(shí)WAN0/1之類的口,,很多朋友會(huì)認(rèn)為是不是只有這兩個(gè)口可以接外網(wǎng),,其實(shí)不是這樣的,防火墻所有接口都可以接外網(wǎng)或者內(nèi)網(wǎng),,這個(gè)是自己規(guī)劃的,,并不是設(shè)備寫了就一定只能接這2個(gè),,當(dāng)然正常情況下,,一般也是2個(gè)外網(wǎng),那直接接入WAN0/1是沒什么問題的,,下面開始進(jìn)入正題,。 DHCP接入 [USG6000V1]interface g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ipaddress dhcp-alloc 看到這樣的提示,就說明接口已經(jīng)正常獲取到地址了,,這個(gè)時(shí)候還需要注意什么呢,? (1)默認(rèn)路由是否獲取到 默認(rèn)路由的作用這里簡(jiǎn)單提及下,,Internet的條目非常非常的多,依靠我們一個(gè)一個(gè)去寫那肯定不現(xiàn)實(shí),,默認(rèn)路由的作用就是把沒有匹配到明細(xì)路由都丟到默認(rèn)路由指向的出口出去,,通常用于訪問外網(wǎng)才使用,而DHCP正常情況下,,都會(huì)下發(fā)一個(gè)網(wǎng)關(guān)地址,,那么在防火墻上面體現(xiàn)就是一條默認(rèn)路由。 注意這里產(chǎn)生的是為Unr的路由,,這個(gè)表示不是管理員配置上去的,,而是通過某種網(wǎng)絡(luò)下發(fā)給防火墻的(通常在DHCP、PPPOE環(huán)境見到) (2)接口加入安全區(qū)域以及策略放行 [USG6000V1]firewallzone untrust [USG6000V1-zone-untrust]add interface g1/0/0 [USG6000V1]security-policy [USG6000V1-policy-security]rulename Local_untrust [USG6000V1-policy-security-rule-Local_untrust]source-zonelocal [USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust [USG6000V1-policy-security-rule-Local_untrust]actionpermit 加入安全區(qū)域這個(gè)容易理解,,為什么這里要配置一個(gè)Local到untrust的策略放行呢,?不知道大家有沒有這樣的習(xí)慣,就是外網(wǎng)對(duì)接成功后,,博主習(xí)慣性的會(huì)ping一下外網(wǎng)比如114.114.114.114或者223.5.5.5來測(cè)試下通沒通,,這可能是習(xí)慣性的操作了,記得剛做網(wǎng)絡(luò)那會(huì),,容易忽略這一塊,,發(fā)現(xiàn)到最后原來是外網(wǎng)沒通~!,,所以現(xiàn)在對(duì)接后都會(huì)測(cè)試下,,那么測(cè)試必然是防火墻主動(dòng)發(fā)起流量訪問,最終需要安全策略放行,。(貓路由器模式容易出現(xiàn)就是地址獲取到了但是網(wǎng)絡(luò)不通的情況,,因?yàn)閾芴?hào)是貓完成的,只有登錄光貓才能知道詳細(xì)情況) (3)外網(wǎng)跟內(nèi)網(wǎng)地址沖突了,? 這里博主提一個(gè)小的知識(shí)點(diǎn),,實(shí)際中的光貓,電信,、移動(dòng)的都以192.168.1.0網(wǎng)段為主,,聯(lián)通的有的地區(qū)是192.168.2.0,這樣的場(chǎng)景下,,可能客戶的內(nèi)網(wǎng)配置的網(wǎng)段也正好在這個(gè)范圍,,那么你會(huì)發(fā)現(xiàn)很神奇的事情!??!地址獲取不到的情況,因?yàn)橐粋€(gè)網(wǎng)段是不能同時(shí)在兩個(gè)接口下出現(xiàn)的(不說VRF技術(shù)) [USG6000V1-GigabitEthernet1/0/1]ipaddress 192.168.255.254 24 Error:The specified address conflicts with another address. 可以看到主動(dòng)在內(nèi)網(wǎng)在配置一個(gè)關(guān)于192.168.255.254的地址時(shí)候,,會(huì)提示這個(gè)地址已經(jīng)在其他接口使用了,。 或者說這里我把G1/0/0給關(guān)閉,,先配置上192.168.255.254,在打開G1/0/0,,看看有什么提示 所以這個(gè)可能就是實(shí)際中會(huì)遇到的問題,,如果真的遇上,那解決辦法就只能喊裝機(jī)師傅把光貓的LAN口地址改成其他網(wǎng)段,,或者在規(guī)劃內(nèi)網(wǎng)的時(shí)候盡可能的不要用192.168.0,、1、2,、31 這幾個(gè),,非常容易沖突,可以采用172.16或者10.X.X.X PPPOE方式接入 [USG6000V1]dialer-rule1 ip permit [USG6000V1]interface Dialer 1 [USG6000V1-Dialer1]mtu1400 [USG6000V1-Dialer1]ipaddress ppp-negotiate [USG6000V1-Dialer1]ppppap local-user 0777555556 password cipher 123456 [USG6000V1-Dialer1]pppchap user 0777555556 [USG6000V1-Dialer1]pppchap password cipher 123456 [USG6000V1-Dialer1]dialeruser 0777555556 [USG6000V1-Dialer1]dialer-group1 [USG6000V1-Dialer1]dialerbundle 1 [USG6000V1]interface g1/0/0 [USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1 已經(jīng)獲取到地址了,,注意如果是WEB里面查看,,該地址會(huì)顯示在物理接口,不會(huì)顯示撥號(hào)口,,來了解了解需要注意什么問題,。 (1)容易被忽略的默認(rèn)路由 之前DHCP是會(huì)下發(fā)默認(rèn)的,但是PPPOE撥號(hào)則不會(huì),,需要手動(dòng)去添加,。 [USG6000V1]iproute-static 0.0.0.0 0.0.0.0 Dialer 1 (2)接口加入安全區(qū)域以及管理流量放行 [USG6000V1]firewallzone untrust [USG6000V1-zone-untrust]add interface Dialer 1 [USG6000V1-policy-security]rulename Local_untrust [USG6000V1-policy-security-rule-Local_untrust]source-zone local [USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust [USG6000V1-policy-security-rule-Local_untrust]actionpermit (3)有時(shí)候撥入不上? 寬帶撥號(hào)比較容易出現(xiàn)的問題就是撥入不上,,撥入不上就得用排除法跟一些小經(jīng)驗(yàn)來解決了 第一個(gè):可能運(yùn)營商綁定了MAC地址,,之前用某個(gè)設(shè)備撥號(hào)過,其他設(shè)備就撥入不上了,,這種就需要解綁 第二個(gè):寬帶撥號(hào)認(rèn)證有兩種,,一種PAP一種CHAP,可能并不知道用的哪種,,建議是兩種都配置上去,。 ppp pap local-user 0777555556 password cipher 123456 ppp chap user0777555556 ppp chap password cipher 123456 第三個(gè):MTU以及MSS,接口下配置MTU可以防止分片造成某些應(yīng)用出錯(cuò),,而MSS則特別在撥號(hào)網(wǎng)絡(luò)中需要注意,,有時(shí)候出現(xiàn)能上微信QQ不能打開網(wǎng)頁的情況,這時(shí)候需要調(diào)整下MSS,,一般值可以比MTU少20,,比如MTU是1400,那么MSS則1380,,實(shí)際中沒有規(guī)定值,,各種情況都有,,不需要調(diào)整上網(wǎng)也正常的,,有的地區(qū)則需要調(diào)整到1200甚至1024,。 [USG6000V1-Dialer1]mtu1400 [USG6000V1]firewalltcp-mss 1380 第四個(gè):不知道運(yùn)營商DNS多少,這個(gè)時(shí)候有個(gè)比較有用的功能可以引用,。
通常情況下這里會(huì)顯示PPPOE獲取的DNS多少,,然后DHCP里面就可以配置了,這邊是實(shí)驗(yàn)環(huán)境所以沒分配,。 第五個(gè):有這樣的情況出現(xiàn),,能撥上但是沒網(wǎng)絡(luò)!,!,,這個(gè)只能用多個(gè)設(shè)備同時(shí)撥入測(cè)試,如果都沒網(wǎng)絡(luò)那就只能找運(yùn)營商了,。 第六個(gè):PPPOE撥號(hào)的地址可以分為動(dòng)態(tài)公網(wǎng)以及私網(wǎng)地址,,涉及到服務(wù)器映射以及想做遠(yuǎn)程接入撥號(hào)功能的話則必須要求是動(dòng)態(tài)公網(wǎng),這個(gè)后續(xù)講解對(duì)應(yīng)功能的時(shí)候會(huì)講解到,。 比較有用的查看命令 displaypppoe-client session summary:查看撥號(hào)的會(huì)話狀態(tài) display ip int br:查看接口是否獲取到IP display iprouting-table :查看是否寫了默認(rèn)路由 display zone :查看接口加入了安全區(qū)域沒有
如果要去掉這個(gè)撥號(hào)口,,提示這個(gè)的話,根據(jù)提示來 [USG6000V1]interfaceDialer 1 [USG6000V1-Dialer1]undodialer user [USG6000V1]undointerface Dialer 1 固定IP專線接入
這里說下,,固定專線的地址一般固定的公網(wǎng)IP,,在申請(qǐng)后運(yùn)營商會(huì)給予一個(gè)或者多個(gè)(根據(jù)申請(qǐng)的個(gè)數(shù)),在合同的說明里面或者政企網(wǎng)關(guān)上面都會(huì)寫明具體的IP地址范圍,、網(wǎng)關(guān)跟DNS,,我們?cè)诜阑饓ι厦嬷恍枰顚憣?duì)應(yīng)的地址范圍、網(wǎng)關(guān),、DNS即可,。(實(shí)驗(yàn)環(huán)境,這里就以私網(wǎng)地址對(duì)接了) [USG6000V1]interface g1/0/0 [USG6000V1-GigabitEthernet1/0/0]ipaddress 192.168.255.250 24 [USG6000V1-GigabitEthernet1/0/0]gateway 192.168.255.254 [USG6000V1]firewallzone untrust [USG6000V1-zone-untrust]add interface g1/0/0 固定IP的注意地方跟前面的兩種方式都類似,,說說比較特別的一個(gè)地方,。 默認(rèn)路由兩種配置 上面介紹過ip route-static 0.0.0.0 0.0.0.0的方式,在防火墻里面如果是固定地址方式對(duì)接的話,,其實(shí)還可以在接口下面直接gateway輸入即可,,這兩種方式都可以實(shí)現(xiàn)默認(rèn)路由是上網(wǎng)的功能,但是需要注意的是
接口下寫網(wǎng)關(guān)的優(yōu)先級(jí)是70
靜態(tài)路由方式的寫法優(yōu)先級(jí)是60,,這兩個(gè)優(yōu)先級(jí)的不通,,在后續(xù)的選路中可能存在一些問題,這個(gè)在后面選路我們?cè)趤砜础?/span> WEB端操作
選擇網(wǎng)絡(luò)----接口----對(duì)應(yīng)的口編輯 (1)靜態(tài)方式
一個(gè)界面完成了,,定義好安全區(qū)域,、IP地址、默認(rèn)網(wǎng)關(guān) (2)DHCP方式
(3)PPPOE撥號(hào)
輸入賬號(hào)密碼,先別著急點(diǎn)確定
這里高級(jí)展開,,把MTU改低點(diǎn),,默認(rèn)1500
如果撥號(hào)網(wǎng)絡(luò)打開網(wǎng)頁很慢,那么建議這里修改下TCP的MSS,。
默認(rèn)路由,,在靜態(tài)路由里面新建,目的地址輸入0.0.0.0/0.0.0.0,,出接口選擇物理口(這里不顯示撥號(hào)口的),,WEB的操作對(duì)比命令行來說卻是方便很多,直接一個(gè)界面就完成了,,大家在學(xué)會(huì)后,,簡(jiǎn)化自己工作量的時(shí)候可以用WEB來配置。 “承上啟下” 主流的幾種接入方式已經(jīng)講解完畢了,,下面的網(wǎng)絡(luò)環(huán)境中內(nèi)網(wǎng)192.168.11.0以及12.0網(wǎng)段如何去上外網(wǎng)呢,?可以先想想哦~答案下篇認(rèn)真學(xué),可以解決這個(gè)疑問,!~
END
|
|
|
