新手网络工作者一定要知道!每天让你的新知识点+1
华为下一代防火墙简介
几种主流的访问方法
在实际工作中,防火墙的常见部署位置仍然是在连接到互联网的区域。一个或多个接口连接到Internet,其余接口用于连接到intranet的区域。目前,有几种接入互联网的方式
(1)DHCP:你可能最熟悉这个。家庭的光纤连接到光纤cat。光学cat可分为两种模式。一种是路由模式,即cat自动拨号。只有通过自动从cat上方的终端获取地址,才能访问互联网。这种模式称为DHCP。
(2)PPPoE:如上所述,cat有两种模式,对应的另一种是桥接模式。cat只负责光电信号转换和向操作员网络注册。我们可以使用拨号工具通过终端拨打帐号和密码来访问互联网。这种方法就是PPPoE。(在实际环境中,可分为普通宽带和政企宽带,政企宽带的上传量高于普通宽带,连接数量相对有限。)
(3)专线:通常有固定电话公网IP,这种线路时延小,上下行相等,价格相对昂贵。
面对这三种常见的网络接入方式,如何配置防火墙以及需要注意哪些问题,不要被防火墙接口的名称所误导。例如,当前的主流城市将识别wan0/1等端口。很多朋友会想,是否只有这两个端口可以连接外联网,事实并非如此。防火墙的所有接口都可以连接到外部网络或内部网络。这是我们自己计划的。并不是说该设备只能连接到这两个设备。当然,在正常情况下,它通常是两个外部网络。直接访问wan0/1没有问题。我们开门见山吧。
DHCP访问
[USG6000V1]接口g1/0/0
[usg6000v1千兆以太网1/0/0]IP地址DHCPalloc
看到这样的提示表明接口通常已经获得了地址。现在我们还应该注意什么?
(1)是否获得默认路线
这里简要介绍了默认路由的作用。互联网上有很多条目。依靠我们一个接一个地写它们当然是不现实的。默认路由的作用是将不匹配的详细路由抛出到默认路由指向的出口。它通常用于访问外部网络。在正常情况下,DHCP会发出网关地址,防火墙是默认路由。
请注意,此处生成的路由是unr,它不是由管理员配置的,而是通过特定网络发送到防火墙(通常在DHCP和PPPoE环境中看到)
(2)加入安全区和策略发布的接口
[usg6000v1]防火墙zone不可信
[usg6000v1zone不可信]添加接口G1/0/0
[USG6000V1]安全策略
[USG6000V1策略安全性]规则名称本地uu不可信
[usg6000v1政策安全规则本地_不可信]来源-zone本地
[usg6000v1策略安全规则本地_不可信]目的地-zone不可信
[USG6000V1-policy-security-rule-Local_untrust]行动许可
添加安全区很容易理解。为什么要在此处配置本地到不信任策略?我不知道你是否有这样的习惯。互联网连接成功后,博主会习惯性地Ping互联网,例如114.114.114.114或223.5.5.5,以测试其是否有效。这可能是一种习惯性操作。记住现在要参加网络会议。很容易忽略这一点。事实证明,互联网最终是不起作用的~!,因此,测试将在对接后进行,所以测试必须是防火墙主动发起流量访问,最后需要通过安全策略释放。(cat路由器模式容易出现地址已获得但网络未连接的情况,因为拨号由cat完成,只有登录cat才能知道细节)
或者在这里,我关闭G1/0/0,首先配置192.168.255.254,然后打开G1/0/0以查看是否有任何提示
可以看出,获得了192.168.255.13,但该网段的地址已经出现在其他接口上,导致采集失败。
因此,这可能是实践中会遇到的问题。如果是这样,解决方案是要求安装主机将光茂的LAN端口地址更改为其他网段,或者在规划intranet时尽量不使用192.168.0、1、2和31。很容易发生冲突。172.16或10.31可用于X.X.X
PPPoE接入
[usg6000v1]dialer-规则1知识产权许可
[USG6000V1]接口拨号器1
[USG6000V1-Dialer1]mtu1400
[USG6000V1-Dialer1]ip地址
[USG6000V1-Dialer1]ppppap本地用户0777555556密码密码123456
[USG6000V1-Dialer1]pppchap用户0777555556
[USG6000V1-Dialer1]pppchap密码密码123456
[usg6000v1拨号1]dialer用户07775556
[usg6000v1拨号器1]dialer-第一组
[usg6000v1拨号器1]dialer捆绑1
[USG6000V1]接口g1/0/0
[USG6000V1-GigabitEthernet1/0/0]pppoe客户端拨号包编号1
地址已经查到了。请注意,如果在网上查看,地址将显示在物理界面而不是拨号端口中,以了解需要注意的问题。
(1)容易忽略的默认路由
以前,DHCP会发出默认值,但PPPoE拨号不会。你需要手动添加它。
[USG6000V1]ip路由静态0.0.0.00.0.0.0拨号器1
(2)将接口连接到安全区域,并管理流量释放
[usg6000v1]防火墙zone不可信
[usg6000v1zone不可信]添加接口拨号器1
[USG6000V1策略安全性]规则名称本地uu不可信
[usg6000v1政策安全规则本地_不可信]来源-zone本地
[usg6000v1策略安全规则本地_不可信]目的地-zone不可信
[USG6000V1-policy-security-rule-Local_untrust]行动许可
(3)有时你不能拨电话?
宽带拨号更可能出现的问题是你无法拨号。如果你不能拨入,你必须使用排除和一些小经验来解决它
第一:操作员可能已经绑定了MAC地址。以前使用设备拨号后,其他设备无法拨号。这需要解除束缚
第二:宽带拨号认证有两种,一种是PAP,另一种是chap。你可能不知道该用哪一种。建议同时配置这两个选项。
购买力平价爸爸本地用户0777555556密码123456
购买力平价小伙子用户0777555556
购买力平价小伙子密码123456
第三个:MTU和MSS。在接口下配置MTU可以防止由于碎片导致的一些应用错误,而MSS需要特别注意,尤其是在拨号网络中。有时,当它可以访问微信QQ而无法打开网页时,需要调整MSS。一般值可以比MTU小20。例如,如果MTU为1400,MSS为1380。在实践中没有特定的价值。各种情况都有,不经调整就上网是正常的。在某些地区,它需要调整到1200甚至1024。
[USG6000V1-Dialer1]mtu1400
[USG6000V1]防火墙tcpmss1380
第四:我不知道有多少DNS运营商。此时,有一个更有用的函数可供参考。
通常,这里会显示PPPoE获得的DNS数量,然后可以在DHCP中进行配置。这是实验环境,所以没有分配。
第五:有这样一种情况,你可以拨号,但没有网络!!,这只能通过同时拨入多个设备来测试。如果没有网络,你只能找到接线员。
第六:PPPoE拨号地址可分为动态公网地址和专用网地址。当涉及到服务器映射和远程访问拨号功能时,它必须是动态公共网络。这将在相应功能的后续说明中解释。
更有用的查看命令
显示PPPoE客户端会话摘要:查看拨号的会话状态
显示IPintbr:检查接口是否获得IP
显示IP路由表:检查是否写入默认路由
zone:检查安全区域
如果要删除此拨号端口并提示,请按照提示操作
[USG6000V1]接口拨号器1
[usg6000v1拨号器1]撤销dialer用户
[USG6000V1]撤销接口拨号器1
固定IP专线接入
在这里,固定线路的地址通常是固定的。申请后,操作员将给出一个或多个(根据申请数量)。具体的IP地址范围、网关和DNS将写在合同说明或政府企业网关上。我们只需要在防火墙上填写相应的地址范围、网关和DNS。(对于实验环境,这里使用专用网络地址进行连接)
[USG6000V1]接口g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip地址192.168.255.25024
[USG6000V1-GigabitEthernet1/0/0]gateway192.168.255.254
[usg6000v1]防火墙zone不可信
[usg6000v1zone不可信]添加接口G1/0/0
固定IP的注意与前两种方法类似。让我们谈谈一个特别的地方。
有两种默认路由配置
以上介绍了IP路由静态0.0.0.0.0.0.0的方式。如果防火墙是以固定地址连接的,也可以直接在界面下输入NicholasTse。这两种方式都可以实现默认路径为上网的功能,但需要注意的是
接口写网关的优先级为70
静态路由写作方式的优先顺序是60。这两个优先事项是不相容的。在随后的路线选择中可能会出现一些问题。我们稍后再看。
WEB端的行动
选择网络-接口-相应的端口编辑
(1)静态模式
完成了一个接口,并定义了安全区域、IP地址和默认网关
(2)DHCP模式
(3)PPPoE拨号
输入帐号和密码。别担心,确认一下
下面是高级部署。将MTU更改为低点。默认值为1500
如果拨号网络打开网页速度较慢,建议在此处修改TCP的MSS。
默认路由是在静态路由中创建的。目标地址为0.0.0.0/0.0.0.0,并且为接口选择了物理端口(此处不显示拨号端口)。web的操作比命令行方便得多。它可以通过一个接口直接完成。学习后,您可以在简化工作负载时使用web进行配置。
“连接上一个和下一个”
已经解释了几种主流的访问方法。在以下网络环境中,intranet192.168.11.0和12.0段如何连接到外部网络?你可以先考虑一下~答案的下一部分是仔细研究,这可以解决这个问题~
《华为下一代USG防火墙(由浅入深实际案例系列)》这是一系列最初由博主创建的课程,重点介绍华为制造商的下一代USG防火墙网络系列应用的部署。从实际环境出发,结合博主的部署经验和将遇到的问题,我们可以应用我们所学到的知识,给您不同的学习体验。
如果你在文章中有任何问题、错误或遗漏,欢迎你留言并指出博主一看到就会修改。谢谢你的支持。更多技术文章出现在网络之路博客中,版权属于网络之路博客,原创并不容易,侵权行为必须被调查。如果你觉得自己很有帮助,请注意、向前看并赞美!~。
最后回顾
24.基于无线场景的内置门户匿名登录和访问代码功能
下一步研究
26.基于爱快网关的认证功能,构建低成本的网络认证网络
最新评论