主流的几种接入方式
在实际工作中,防火墙常见的部署位置还是在位于接入Internet的区域,一个或者多个接口接入到互联网,其余的用于接内网区域,那么在目前接入Internet的方式有这么几种
(1)DHCP:这种可能大家最熟悉了,家用的光纤过来接入光猫,光猫可以分成两种模式,一个是路由模式,就是猫自己拨号,只需要接到猫上面的终端自动获取地址就能上网了,这种模式就叫做DHCP 。
(2)PPPOE:上面说过猫有两种模式,那么对应的另外一种是桥接模式,猫只负责光电信号转换以及注册到运营商的网络去,我们自己用终端利用拨号工具输入账号密码拨号后就可以上网,这种方式就是PPPOE 。(在实际环境中,会分为普通宽带跟政企宽带,政企的相对于普通的上传会高些,而且连接数相对限制较少 。)
(3)专线:通常附带固定的公网IP,这种线路延迟小,上下行对等,价格比较贵 。
面对这三种常见的组网接入方式,在防火墙上面应该如何去配置以及需要注意什么问题,并且不要被防火墙的接口命名给误导了,像目前主流的都会标识WAN0/1之类的口,很多朋友会认为是不是只有这两个口可以接外网,其实不是这样的,防火墙所有接口都可以接外网或者内网,这个是自己规划的,并不是设备写了就一定只能接这2个,当然正常情况下,一般也是2个外网,那直接接入WAN0/1是没什么问题的,下面开始进入正题 。
DHCP接入
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address dhcp-alloc
看到这样的提示,就说明接口已经正常获取到地址了,这个时候还需要注意什么呢?
(1)默认路由是否获取到
默认路由的作用这里简单提及下,Internet的条目非常非常的多,依靠我们一个一个去写那肯定不现实,默认路由的作用就是把没有匹配到明细路由都丢到默认路由指向的出口出去,通常用于访问外网才使用,而DHCP正常情况下,都会下发一个网关地址,那么在防火墙上面体现就是一条默认路由 。
注意这里产生的是为Unr的路由,这个表示不是管理员配置上去的,而是通过某种网络下发给防火墙的(通常在DHCP、PPPOE环境见到)
(2)接口加入安全区域以及策略放行
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface g1/0/0
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name Local_untrust
[USG6000V1-policy-security-rule-Local_untrust]source-zone local
[USG6000V1-policy-security-rule-Local_untrust]destination-zone untrust
[USG6000V1-policy-security-rule-Local_untrust]action permit
加入安全区域这个容易理解,为什么这里要配置一个Local到untrust的策略放行呢? 不知道大家有没有这样的习惯,就是外网对接成功后,博主习惯性的会ping一下外网 比如114.114.114.114或者223.5.5.5来测试下通没通,这可能是习惯性的操作了,记得刚做网络那会,容易忽略这一块,发现到最后原来是外网没通~!,所以现在对接后都会测试下,那么测试必然是防火墙主动发起流量访问,最终需要安全策略放行 。(猫路由器模式容易出现就是地址获取到了但是网络不通的情况,因为拨号是猫完成的,只有登录光猫才能知道详细情况)
推荐阅读
- 请简述概预算费用组成_综合概算费用组成
- 免费代理ip网站的方法 高匿代理ip检测
- 当年的肖战事件是什么网站开始的 肖战277事件是什么
- wow卖金平台 魔兽世界金币交易网站
- 哪个网站买电影票折扣最大 网上买电影票哪个便宜
- 安全性能高的5个招聘网 招工信息哪个网站最可靠
- 三国里周瑜打黄盖真的发生了吗 周瑜打黄盖的故事简述
- 快速提升网站排名的方法,有需要的朋友快点看过来
- 知名设计网站公司有哪些,国内十大高端设计网站公司介绍
- 儿童用品批发网有哪些 儿童用品批发网哪个好