大家好,关于10、几种主流的上网方式(防火墙)很多朋友都还不太明白,今天小编就来为大家分享关于的知识,希望对各位有所帮助!
知识点学习视频推荐(免费),每天新知识点+1
网络工作者新手必须知道的事!让你的每日新知识点+1
华为下一代防火墙入门课程
几种主流接入方式
在实际工作中,防火墙常见的部署位置仍然是在访问Internet的区域。一个或多个接口连接互联网,其余用于连接内网区域。目前有多种方式访问互联网。
(1)DHCP:这个可能大家最熟悉了。家用光纤来连接光调制解调器。光调制解调器可分为两种模式。一种是路由模式,即Modem自行拨号。只需要连接到调制解调器上的终端即可自动获取。地址可用于访问互联网。这种模式称为DHCP。
(2)PPPOE:如上所述,Modem有两种模式,对应的另一种模式是桥接模式。 modem只负责转换光信号和电信号并注册到运营商网络。我们自己使用终端输入账户密码并拨打号码。然后您就可以访问互联网了。这种方式就是PPPOE。 (实际环境中会分为普通宽带和政企宽带,政企宽带相对于普通上传会更高,连接数限制也相对较少。)
(3)专线:通常带有固定的公网IP。这种线路时延小,上下行相等,价格相对昂贵。
面对这三种常见的网络接入方式,如何配置防火墙以及需要注意哪些问题,不要被防火墙接口的命名所误导。比如目前主流的都会识别WAN0/1等端口。很多朋友会认为只有这两个端口才能连接外网。事实上,情况并非如此。防火墙的所有接口都可以连接外部网络或内部网络。这是我自己策划的。并不一定意味着写入后才能连接设备。当然,正常情况下这两个通常是两个外部网络。直接连接WAN0/1没有问题。现在我们进入正题吧。
DHCP 访问
[USG6000V1]g1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]ip地址dhcp-alloc
当看到这样的提示时,说明接口已经正常获取地址了。这个时候还需要注意什么?
(1)是否获取默认路由
这里简单提一下默认路由的作用。网上的条目太多了,靠我们一一写是不现实的。默认路由的作用就是把所有不符合详细路由的都扔到默认路由指向的出口。一般用于访问外网。一般情况下,DHCP会下发一个网关地址,因此会在防火墙上体现为默认路由。
请注意,此处生成的路线是针对Unr 的。这意味着它不是由管理员配置的,而是通过某个网络发送到防火墙的(通常在DHCP和PPPOE环境中看到)
(2)将接口添加到安全区域并策略发布
[USG6000V1]防火墙区域不信任
[USG6000V1-zone-untrust]添加接口g1/0/0
[USG6000V1]安全策略
[USG6000V1-policy-security]规则名称Local_untrust
[USG6000V1-policy-security-rule-Local_untrust]源区域本地
[USG6000V1-策略-安全-规则-Local_untrust]目的区域不信任
[USG6000V1-policy-security-rule-Local_untrust]动作允许
加入安全区域很容易理解。为什么需要配置Local to untrust策略进行发布?不知道大家是否有这样的习惯,那就是在外网连接成功后,博主会习惯性地ping一下114.114.114.114或者223.5.5.5等外网,来测试是否连接成功。这可能是一种习惯性操作。记得刚开始从事互联网工作的时候,很容易忽视这方面。最后发现是外网连接不上~!所以现在要连接后进行测试,所以测试一定是防火墙主动发起流量访问,最终需要安全策略允许。 (猫路由器模式容易出现获取地址但网络不通的情况,因为拨号是由调制解调器完成的,只有登录光猫才能知道详情)
也就是说我这里把G1/0/0关掉,先配置192.168.255.254,然后再打开G1/0/0看看有什么提示。
可以看到获取到了192.168.255.13,但是该网段的地址已经出现在其他接口上,导致获取失败。
所以这可能是实践中会遇到的问题。如果遇到的话,解决办法只能是请安装师傅将光猫的LAN口地址改为其他网段,或者在规划内网时尽量尝试。不要使用192.168.0、1、2、31。很容易冲突。您可以使用172.16 或10.X.X.X。
PPPOE方式接入
[USG6000V1]dialer-rule 1 ip allowed
[USG6000V1]接口拨号1
[USG6000V1-拨号器1]mtu 1400
[USG6000V1-Dialer1]ip地址ppp-协商
[USG6000V1-Dialer1]ppp pap 本地用户0777555556 密码cipher 123456
[USG6000V1-Dialer1]ppp章节用户0777555556
[USG6000V1-Dialer1]ppp chap密码123456
[USG6000V1-Dialer1]拨号用户0777555556
[USG6000V1-Dialer1]拨号组1
[USG6000V1-Dialer1]拨号器捆绑包1
[USG6000V1]g1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1
地址已获取。注意,如果在WEB上查看,物理接口上会显示地址,不会显示拨号端口,这样就可以明白需要注意哪些问题了。
(1)容易被忽略的默认路由
以前,DHCP 会发出默认的拨号,但PPPOE 拨号不会,需要手动添加。
[USG6000V1]ip Route-static 0.0.0.0 0.0.0.0 拨号器1
(2) 将接口添加到安全区域并管理流量释放
[USG6000V1]防火墙区域不信任
[USG6000V1-zone-untrust]添加接口Dialer 1
[USG6000V1-policy-security]规则名称Local_untrust
[USG6000V1-policy-security-rule-Local_untrust]源区域本地
[USG6000V1-策略-安全-规则-Local_untrust]目的区域不信任
[USG6000V1-policy-security-rule-Local_untrust]动作允许
(3)有时拨入失败?
宽带拨号的一个常见问题就是拨入无法拨入,如果拨入无法拨入,就得通过排查方法和一些小经验来解决。
第一个:可能是运营商绑定了MAC地址。如果您之前使用某个设备拨打过,其他设备无法拨入,此时需要解绑。
第二:宽带拨号认证有两种,一种是PAP,一种是CHAP。您可能不知道该使用哪一个。建议两者都配置。
ppp pap 本地用户0777555556 密码123456
ppp章节用户0777555556
ppp chap 密码123456
第三个:MTU和MSS。在接口下配置MTU可以防止分片导致某些应用出现错误。尤其是在拨号网络中,MSS 需要引起注意。有时可以登录微信QQ但打不开网页。这时就需要调整MSS的设置,一般值比MTU小20即可。例如,如果MTU为1400,则MSS为1380。实际上,没有规定值。存在各种情况。不调整上网情况是正常的。有的地区需要调整到1200甚至1024。
[USG6000V1-拨号器1]mtu 1400
[USG6000V1]防火墙tcp-mss 1380
第四:不知道运营商的DNS是多少。这时候有一个比较有用的功能可以参考一下。
一般情况下,这里会显示PPPOE获取到的DNS号码,然后就可以在DHCP中进行配置了。这是一个实验环境,所以没有分配。
第五:有一种情况是可以拨号但没有网络!这只能在多个设备同时拨入的情况下进行测试。如果没有网络,只能联系运营商。
第六:PPPOE拨号地址可分为动态公网地址和私网地址。当谈到服务器映射和远程访问拨号功能时,必须是动态的公网。稍后解释相应功能时会对此进行解释。
更有用的查看命令
display pppoe-client session Summary:查看拨号会话状态
display ip int br:查看接口是否获取IP
display ip Routing-table:查看是否写入默认路由
display zone:检查接口是否加入安全区域
如果您想删除此拨号端口并出现提示,请按照提示操作。
[USG6000V1]接口拨号1
[USG6000V1-Dialer1]撤消拨号用户
[USG6000V1]撤销接口Dialer 1
固定IP专线接入
这里,固定专线的地址一般是固定的公网IP。申请后,运营商会给出一份或多份(根据申请数量而定)。具体IP地址会写在合同说明中或者政企网关上。范围、网关和DNS,我们只需要在防火墙上填写相应的地址范围、网关和DNS即可。 (实验环境中,这里使用私网地址进行连接)
[USG6000V1]g1/0/0接口
[USG6000V1-GigabitEthernet1/0/0]IP地址192.168.255.250 24
[USG6000V1-千兆以太网1/0/0]网关192.168.255.254
[USG6000V1]防火墙区域不信任
[USG6000V1-zone-untrust]添加接口g1/0/0
固定IP时的注意事项与前两种方法类似。说一个特别的点。
默认路由的两种配置
上面已经介绍了ip route-static 0.0.0.0 0.0.0.0的方法。如果在防火墙中连接的是固定地址方式,实际上可以在接口下直接进入网关。这两种方法都可以实现默认路由访问Internet。函数,但需要注意的是
接口下写网关的优先级为70
静态路由方式的优先级是60,如果这两个优先级没有连接起来,后续的路由可能会出现一些问题。我们稍后会在路由选择中看到这一点。
WEB端操作
选择网络—-接口—-对应端口编辑
(1)静态模式
接口完成,定义安全区域、IP地址、默认网关。
(2) DHCP方式
(3)PPPOE拨号
输入你的账户密码,不要着急,先确认一下
这里高级扩展,将MTU改小一点,默认1500
如果拨号网络打开网页很慢,建议修改这里的TCP MSS。
默认路由,在静态路由中新建一条,目的地址输入0.0.0.0/0.0.0.0,出接口选择物理端口(此处不显示拨号端口)。 WEB操作比命令行方便很多,一个界面直接就可以了。学会后,您可以使用WEB进行配置,以简化您的工作量。
“连接过去与未来”
主流的接入方式已经讲解完毕。在如下网络环境中,内网192.168.11.0和12.0网段如何访问外网?你可以先想一想~仔细研究下一部分的答案就可以解决这个问题了!
介绍
上一篇文章回顾
24、内置基于无线场景的门户匿名登录和接入码功能
原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/172172.html
用户评论
景忧丶枫涩帘淞幕雨
终于写了这一篇!我一直在想网路上关于防火墙和接入方式的讲解总是太深奥难懂了,你这样用通俗易懂的语言解释真的很棒!
有9位网友表示赞同!
为爱放弃
其实我认为这个总结还是比较不够全面的。比如对于企业级网络来说,还需要考虑更复杂的防火墙部署策略,而且不同类型的VPN连接方式也需要更加详细的阐述。
有19位网友表示赞同!
颜洛殇
我是一个刚开始学习网络安全的菜鸟,能看到你这么直观地介绍各种接入方式真的很有帮助!
有11位网友表示赞同!
醉红颜
说的太对了!我们公司之前用SSL VPN连接办公系统的时候遇到过很多安全问题,后来改用IPSec VPN后情况好多了!
有6位网友表示赞同!
怅惘
这个标题听着就很专业啊!防火墙篇对新手来说会不会太技术含量高了?建议添加一些基础知识介绍。
有5位网友表示赞同!
一笑傾城゛
我一直在想怎么更好地理解防火墙的原理,这篇博客的文章正好给我启发,以后可以再深入学习一下相关的知识。 比如硬件防火墙和软件防火墙的区别是什么呢?
有11位网友表示赞同!
孤廖
看完你的文章之后,我发现我们公司使用的是哪种类型的防火墙!感觉这个介绍真的很实用,以后在公司部署安全策略时可以使用参考。 👍
有10位网友表示赞同!
有一种中毒叫上瘾成咆哮i
不过我觉得防火墙本身并不是解决全部问题的核心。还需要结合其他安全措施,才能真正保证网络安全的完整性。
有9位网友表示赞同!
半梦半醒半疯癫
最近一直在学网安相关的知识,看了这篇博客感觉对你来说防火墙真的很有理解啊!希望以后你还能多写一些关于安全策略的分享。
有19位网友表示赞同!
安陌醉生
个人觉得在介绍各种主流接入方式的时候可以结合具体案例,这样更能加深读者对防火墙的理解。
有19位网友表示赞同!
巴黎盛开的樱花
我之前就读到哪种类型的VPN连接方式要更加注意安全措施了,你的博客里也提到了!看来网络安全是一个需要持续学习提升的过程啊!
有13位网友表示赞同!
若他只爱我。
其实我觉得互联网的安全问题不仅仅是防火墙的事情,还需要加强每个用户的网络安全意识和操作习惯。
有6位网友表示赞同!
┲﹊怅惘。
这篇文章很有用!我一直在想学习一下网安知识,现在有个方向了! 👍👍👍
有5位网友表示赞同!
何年何念
对于新手来说,介绍各种接入方式太复杂了!建议添加一些简单的易懂的案例来帮助理解
有11位网友表示赞同!
拉扯
防火墙真的是网络安全的重要组成部分啊!看了这篇文章我更加重视网络安全的学习和实践了!
有7位网友表示赞同!
回忆未来
觉得有些内容需要更新,因为互联网技术发展这么快,防火墙技术的变革也十分迅速!
有11位网友表示赞同!
残花为谁悲丶
你的博客很有价值! 希望更多人能够了解到网安的重要性,从而更好地保护自己的信息安全。💪
有20位网友表示赞同!
你瞒我瞒
文章对新手来说太深奥了!希望以后可以添加一些更浅显易懂的内容!
有19位网友表示赞同!