防火牆的常用部署模式-tft每日頭條

防火牆的常用部署模式（互聯網主流的幾種接入方式）1

知識點學習視頻推薦（免費），每天新知識點 1

新手網工必知！讓你每天的新知識點 1

華為下一代防火牆入門課程

主流的幾種接入方式

在實際工作中，防火牆常見的部署位置還是在位于接入Internet的區域，一個或者多個接口接入到互聯網，其餘的用于接内網區域，那麼在目前接入Internet的方式有這麼幾種

（1）DHCP：這種可能大家最熟悉了，家用的光纖過來接入光貓，光貓可以分成兩種模式，一個是路由模式，就是貓自己撥号，隻需要接到貓上面的終端自動獲取地址就能上網了，這種模式就叫做DHCP。

（2）PPPOE：上面說過貓有兩種模式，那麼對應的另外一種是橋接模式，貓隻負責光電信号轉換以及注冊到運營商的網絡去，我們自己用終端利用撥号工具輸入賬号密碼撥号後就可以上網，這種方式就是PPPOE。（在實際環境中，會分為普通寬帶跟政企寬帶，政企的相對于普通的上傳會高些，而且連接數相對限制較少。）

（3）專線：通常附帶固定的公網IP，這種線路延遲小，上下行對等，價格比較貴。

防火牆的常用部署模式（互聯網主流的幾種接入方式）2

面對這三種常見的組網接入方式，在防火牆上面應該如何去配置以及需要注意什麼問題，并且不要被防火牆的接口命名給誤導了，像目前主流的都會标識WAN0/1之類的口，很多朋友會認為是不是隻有這兩個口可以接外網，其實不是這樣的，防火牆所有接口都可以接外網或者内網，這個是自己規劃的，并不是設備寫了就一定隻能接這2個，當然正常情況下，一般也是2個外網，那直接接入WAN0/1是沒什麼問題的，下面開始進入正題。

DHCP接入

防火牆的常用部署模式（互聯網主流的幾種接入方式）3

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address dhcp-alloc

防火牆的常用部署模式（互聯網主流的幾種接入方式）4

看到這樣的提示，就說明接口已經正常獲取到地址了，這個時候還需要注意什麼呢？

（1）默認路由是否獲取到

默認路由的作用這裡簡單提及下，Internet的條目非常非常的多，依靠我們一個一個去寫那肯定不現實，默認路由的作用就是把沒有匹配到明細路由都丢到默認路由指向的出口出去，通常用于訪問外網才使用，而DHCP正常情況下，都會下發一個網關地址，那麼在防火牆上面體現就是一條默認路由。

防火牆的常用部署模式（互聯網主流的幾種接入方式）5

注意這裡産生的是為Unr的路由，這個表示不是管理員配置上去的，而是通過某種網絡下發給防火牆的（通常在DHCP、PPPOE環境見到）

（2）接口加入安全區域以及策略放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

[USG6000V1]security-policy

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

加入安全區域這個容易理解，為什麼這裡要配置一個Local到untrust的策略放行呢？不知道大家有沒有這樣的習慣，就是外網對接成功後，博主習慣性的會ping一下外網比如114.114.114.114或者223.5.5.5來測試下通沒通，這可能是習慣性的操作了，記得剛做網絡那會，容易忽略這一塊，發現到最後原來是外網沒通~！，所以現在對接後都會測試下，那麼測試必然是防火牆主動發起流量訪問，最終需要安全策略放行。（貓路由器模式容易出現就是地址獲取到了但是網絡不通的情況，因為撥号是貓完成的，隻有登錄光貓才能知道詳細情況）

防火牆的常用部署模式（互聯網主流的幾種接入方式）6

或者說這裡我把G1/0/0給關閉，先配置上192.168.255.254，在打開G1/0/0，看看有什麼提示

防火牆的常用部署模式（互聯網主流的幾種接入方式）7

可以看到獲取到192.168.255.13，但是這個網段的地址已經在其他接口出現了，導緻獲取失敗。

防火牆的常用部署模式（互聯網主流的幾種接入方式）8

所以這個可能就是實際中會遇到的問題，如果真的遇上，那解決辦法就隻能喊裝機師傅把光貓的LAN口地址改成其他網段，或者在規劃内網的時候盡可能的不要用192.168.0、1、2、31 這幾個，非常容易沖突，可以采用172.16或者10.X.X.X

PPPOE方式接入

防火牆的常用部署模式（互聯網主流的幾種接入方式）9

[USG6000V1]dialer-rule 1 ip permit

[USG6000V1]interface Dialer 1

[USG6000V1-Dialer1]mtu 1400

[USG6000V1-Dialer1]ip address ppp-negotiate

[USG6000V1-Dialer1]ppp pap local-user 0777555556 password cipher 123456

[USG6000V1-Dialer1]ppp chap user 0777555556

[USG6000V1-Dialer1]ppp chap password cipher 123456

[USG6000V1-Dialer1]dialer user 0777555556

[USG6000V1-Dialer1]dialer-group 1

[USG6000V1-Dialer1]dialer bundle 1

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1

防火牆的常用部署模式（互聯網主流的幾種接入方式）10

已經獲取到地址了，注意如果是WEB裡面查看，該地址會顯示在物理接口，不會顯示撥号口，來了解了解需要注意什麼問題。

（1）容易被忽略的默認路由

之前DHCP是會下發默認的，但是PPPOE撥号則不會，需要手動去添加。

[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 Dialer 1

（2）接口加入安全區域以及管理流量放行

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface Dialer 1

[USG6000V1-policy-security]rule name Local_untrust

[USG6000V1-policy-security-rule-Local_untrust]source-zone local

[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust

[USG6000V1-policy-security-rule-Local_untrust]action permit

防火牆的常用部署模式（互聯網主流的幾種接入方式）11

（3）有時候撥入不上？

寬帶撥号比較容易出現的問題就是撥入不上，撥入不上就得用排除法跟一些小經驗來解決了

第一個：可能運營商綁定了MAC地址，之前用某個設備撥号過，其他設備就撥入不上了，這種就需要解綁

第二個：寬帶撥号認證有兩種，一種PAP一種CHAP，可能并不知道用的哪種，建議是兩種都配置上去。

ppp pap local-user 0777555556 password cipher 123456

ppp chap user 0777555556

ppp chap password cipher 123456

第三個： MTU以及MSS，接口下配置MTU可以防止分片造成某些應用出錯，而MSS則特别在撥号網絡中需要注意，有時候出現能上微信QQ不能打開網頁的情況，這時候需要調整下MSS，一般值可以比MTU少20，比如MTU是1400，那麼MSS則1380，實際中沒有規定值，各種情況都有，不需要調整上網也正常的，有的地區則需要調整到1200甚至1024。

[USG6000V1-Dialer1]mtu 1400

[USG6000V1]firewall tcp-mss 1380

第四個：不知道運營商DNS多少，這個時候有個比較有用的功能可以引用。

防火牆的常用部署模式（互聯網主流的幾種接入方式）12

通常情況下這裡會顯示PPPOE獲取的DNS多少，然後DHCP裡面就可以配置了，這邊是實驗環境所以沒分配。

第五個：有這樣的情況出現，能撥上但是沒網絡！！，這個隻能用多個設備同時撥入測試，如果都沒網絡那就隻能找運營商了。

第六個：PPPOE撥号的地址可以分為動态公網以及私網地址，涉及到服務器映射以及想做遠程接入撥号功能的話則必須要求是動态公網，這個後續講解對應功能的時候會講解到。

比較有用的查看命令

display pppoe-client session summary ：查看撥号的會話狀态

display ip int br：查看接口是否獲取到IP

display ip routing-table ：查看是否寫了默認路由

display zone ：查看接口加入了安全區域沒有

防火牆的常用部署模式（互聯網主流的幾種接入方式）13

如果要去掉這個撥号口，提示這個的話，根據提示來

[USG6000V1]interface Dialer 1

[USG6000V1-Dialer1]undo dialer user

[USG6000V1]undo interface Dialer 1

固定IP專線接入

防火牆的常用部署模式（互聯網主流的幾種接入方式）14

這裡說下，固定專線的地址一般固定的公網IP，在申請後運營商會給予一個或者多個（根據申請的個數），在合同的說明裡面或者政企網關上面都會寫明具體的IP地址範圍、網關跟DNS，我們在防火牆上面隻需要填寫對應的地址範圍、網關、DNS即可。（實驗環境，這裡就以私網地址對接了）

[USG6000V1]interface g1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.255.250 24

[USG6000V1-GigabitEthernet1/0/0]gateway 192.168.255.254

[USG6000V1]firewall zone untrust

[USG6000V1-zone-untrust]add interface g1/0/0

固定IP的注意地方跟前面的兩種方式都類似，說說比較特别的一個地方。

默認路由兩種配置

上面介紹過 ip route-static 0.0.0.0 0.0.0.0 的方式，在防火牆裡面如果是固定地址方式對接的話，其實還可以在接口下面直接gateway輸入即可，這兩種方式都可以實現默認路由是上網的功能，但是需要注意的是

防火牆的常用部署模式（互聯網主流的幾種接入方式）15

接口下寫網關的優先級是70

防火牆的常用部署模式（互聯網主流的幾種接入方式）16

靜态路由方式的寫法優先級是60，這兩個優先級的不通，在後續的選路中可能存在一些問題，這個在後面選路我們在來看。

WEB端操作

防火牆的常用部署模式（互聯網主流的幾種接入方式）17

選擇網絡----接口----對應的口編輯

（1）靜态方式

防火牆的常用部署模式（互聯網主流的幾種接入方式）18

一個界面完成了，定義好安全區域、IP地址、默認網關

（2）DHCP方式

防火牆的常用部署模式（互聯網主流的幾種接入方式）19

（3）PPPOE撥号

防火牆的常用部署模式（互聯網主流的幾種接入方式）20

輸入賬号密碼，先别着急點确定

防火牆的常用部署模式（互聯網主流的幾種接入方式）21

這裡高級展開，把MTU改低點，默認1500

防火牆的常用部署模式（互聯網主流的幾種接入方式）22

如果撥号網絡打開網頁很慢，那麼建議這裡修改下TCP的MSS。

防火牆的常用部署模式（互聯網主流的幾種接入方式）23

默認路由，在靜态路由裡面新建，目的地址輸入0.0.0.0/0.0.0.0，出接口選擇物理口（這裡不顯示撥号口的），WEB的操作對比命令行來說卻是方便很多，直接一個界面就完成了，大家在學會後，簡化自己工作量的時候可以用WEB來配置。

“承上啟下”

主流的幾種接入方式已經講解完畢了，下面的網絡環境中内網192.168.11.0以及12.0網段如何去上外網呢？可以先想想哦~答案下篇認真學，可以解決這個疑問！~

防火牆的常用部署模式（互聯網主流的幾種接入方式）24

介紹

《華為下一代USG防火牆（由淺入深實際案例系列）》是博主原創的針對華為廠商下一代USG防火牆組網系列應用部署為主的系列課程，結合實際環境出發，加上了博主部署經驗以及會遇到哪些問題等進行綜合，做到學以緻用，給各位看官朋友一個不一樣的學習體驗。

如果大家有任何疑問或者文中有錯誤跟疏忽的地方，歡迎大家留言指出，博主看到後會第一時間修改，謝謝大家的支持，更多技術文章盡在網絡之路Blog，版權歸網絡之路Blog所有，原創不易，侵權必究，覺得有幫助的，關注、轉發、點贊支持下！~。

上一篇回顧

24、基于無線場景的内置portal匿名登錄與接入碼功能

下一篇學習

26、基于愛快網關自帶的認證功能打造一個低成本的網頁認證網絡