企业接入InternetADSL+3G BackupWord格式文档下载.docx
《企业接入InternetADSL+3G BackupWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《企业接入InternetADSL+3G BackupWord格式文档下载.docx(17页珍藏版)》请在冰豆网上搜索。
Ethernet1/0/0
Ethernet1/0/0属于VLAN1
Vlanif1的IP地址:
192.168.0.1/24
安全区域:
Trust
Ethernet1/0/0是连接交换机的二层接口。
缺省情况下,所有二层接口都属于VLAN1,Vlanif1的IP地址为192.168.0.1/24。
VLAN1中用户通过DHCP获取到的IP地址范围是192.168.0.2–192.168.0.254
(2)
物理接口:
Wlan-rf4/0/0
逻辑接口:
Wlan-Bss2
Wlan-Bss2属于VLAN2
Vlanif2的IP地址:
192.168.1.1/24
Wlan-rf4/0/0是WLAN接口卡上的接口,Wlan-Bss2是建立虚拟AP使用的逻辑接口。
VLAN2中用户通过DHCP获取到的IP地址范围是192.168.1.2–192.168.1.254
(3)
ATM2/0/0
Dialer0
IP地址:
自协商获得
Untrust
ATM2/0/0是ADSL接口卡上的接口,Dialer0接口通过ADSL拨号自协商获取IP地址。
本举例中使用的是单PVC类型的ADSL接口卡。
(4)
Cellular0/1/0
Dialer1
DMZ
Cellular0/1/0是USB3G接口,Dialer1接口通过3G拨号自协商获取IP地址。
ADSL账号
用户名:
adsluser
密码:
Hello123
本例中的ADSL账号仅供举例使用,具体账号请从当地运营商获取。
3G账号
3guser
Password123
本例中的3G账号仅供举例使用,具体账号请从当地运营商获取。
WLAN服务类
∙SSID:
WLAN100
∙服务类型:
加密(Crypto)服务类
∙认证方式:
wpa-wpa2-psk
∙预共享密钥:
abcdefgh
无线用户必须配置与USG相同的SSID才能访问USG。
无线用户的认证方式和预共享密钥必须与USG的相同才能接入无线局域网。
DNS服务器IP地址
202.111.80.106
本例中的DNS服务器IP地址仅供举例使用,具体值需要咨询当地运营商。
操作步骤
1.配置ADSL接入功能,实现USG通过ADSL接入Internet。
#配置拨号访问组对应的拨号规则。
<
USG>
system-view
[USG]dialer-rule10ippermit
#创建Dialer0接口,并进入Dialer视图。
[USG]interfaceDialer0
#新建Dialer用户,用户名为ADSL账户的用户名。
[USG-Dialer0]dialeruseradsluser
#配置接口的DialerBundle。
[USG-Dialer0]dialerbundle5
#配置Dialer0接口关联的拨号访问组,将该接口与指定的拨号控制列表关联起来。
注意:
必须确保命令dialer-groupgroup-number中的参数group-number和dialer-rulerule-number中的参数rule-number保持一致。
ADSL配置中取值为10。
[USG-Dialer0]dialer-group10
#配置使用协商方式获取IP地址。
[USG-Dialer0]ipaddressppp-negotiate
#配置认证,用户名和密码为ADSL账户的用户名和密码。
为了提高密码安全性,password采用cipher方式。
[USG-Dialer0]ppppaplocal-useradsluserpasswordcipherHello123
[USG-Dialer0]pppchapuseradsluser
[USG-Dialer0]pppchappasswordcipherHello123
[USG-Dialer0]quit
说明:
本举例配置了PAP和CHAP两种认证方式。
如果知道对端设备的认证方式,可以只配置PAP认证或者CHAP认证。
#配置将Dialer0接口加入Untrust区域。
[USG]firewallzoneuntrust
[USG-zone-untrust]addinterfaceDialer0
[USG-zone-untrust]quit
#配置PVC。
PVC的vpi/vci取值需要与当地运营商保持一致。
具体值请咨询当地运营商获取。
[USG]interfaceAtm2/0/0
[USG-Atm2/0/0]pvc8/35
#建立一个PPPoE会话,并指定该会话所对应的DialerBundle。
默认情况下PPPoE的会话方式为永久在线方式。
[USG-Atm2/0/0]pppoe-clientdial-bundle-number5
[USG-Atm2/0/0]quit
2.配置按需拨号的3G功能,实现USG通过3G接入Internet。
[USG]dialer-rule20ippermit
#创建Dialer1接口,并进入Dialer视图。
[USG]interfaceDialer1
#启用轮询DCC。
[USG-Dialer1]dialerenable-circular
#配置Dialer1接口关联的拨号访问组,将该接口与指定的拨号控制列表关联起来。
3G配置中参数取值为20。
[USG-Dialer1]dialer-group20
[USG-Dialer1]ipaddressppp-negotiate
#在Dialer接口下配置认证。
[USG-Dialer1]pppchapuser3guser
[USG-Dialer1]pppchappasswordcipherPassword123
#配置拨号串。
3G拨号默认为按需拨号。
拨号串的具体值请咨询当地运营商。
对于TD-SCDMA(中国移动)和WCDMA(中国联通)的3G数据卡,拨号串(dialernumber)为*99#;
对于CDMA2000(中国电信)的3G数据卡,拨号串为#777。
[USG-Dialer1]dialernumber*99#
[USG-Dialer1]quit
#将Cellular接口绑定到Dialer1接口,从而加入相应的拨号轮询组。
命令dialercircular-groupnumber中的参数number取值是绑定的Dialer接口的编号。
[USG]interfaceCellular0/1/0
[USG-Cellular0/1/0]dialercircular-group1
#配置APN。
∙不同运营商的APN不同,APN的获取需要咨询当地运营商。
常用的如中国移动(TD-SCDMA)的APN为CMNET,中国联通(WCDMA)的APN为UNINET。
中国电信(CDMA2000)不支持配置APN。
∙配置APN后,APN会记录在数据模块中,以后会一直存在。
如果APN值变化,需要重新配置。
[USG-Cellular0/1/0]apnCMNET
[USG-Cellular0/1/0]quit
#配置将Dialer1接口加入DMZ区域。
[USG]firewallzonedmz
[USG-zone-dmz]addinterfaceDialer1
[USG-zone-dmz]quit
3.配置缺省路由。
通过配置不同的缺省路由优先级,实现ADSL作为主要接入方式,3G作为备用接入方式。
静态路由默认优先级为60,优先级值越小,优先级越高。
#配置ADSL接入方式的缺省路由。
配置优先级为10,作为主要接入方式。
[USG]iproute-static0.0.0.00.0.0.0Dialer0preference10
#配置3G接入方式的缺省路由。
配置优先级为20,作为备用接入方式。
[USG]iproute-static0.0.0.00.0.0.0Dialer1preference20
4.创建VLAN1,将USG的交换口加入VLAN1,配置Vlanif1接口,并将Vlanif1接口加入Trust区域,实现有线用户连接到USG。
[USG]vlan1
[USG-vlan-1]portEthernet1/0/0
[USG-vlan-1]quit
[USG]interfaceVlanif1
[USG-Vlanif1]ipaddress192.168.0.124
[USG-Vlanif1]quit
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceVlanif1
[USG-zone-trust]quit
5.配置基于Crypto服务类的WLAN,实现无线用户的WLAN加密接入。
配置过程中需要创建VLAN2,并配置Vlanif2。
#创建VLAN2,并配置Vlanif2,并将Vlanif2加入Trust安全区域。
[USG]vlan2
[USG-vlan-2]quit
[USG]interfaceVlanif2
[USG-Vlanif2]ipaddress192.168.1.124
[USG-Vlanif2]quit
[USG-zone-trust]addinterfaceVlanif2
#创建WLAN-BSS接口,将WLAN-BSS接口加入到VLAN2。
[USG]interfacewlan-bss2
[USG-Wlan-Bss2]portaccessvlan2
[USG-Wlan-Bss2]quit
#创建服务类。
[USG]wlanservice-class2crypto
#配置SSID为WLAN100。
[USG-wlan-sc-2]ssidWLAN100
#配置WPA-WPA2-PSK认证模式。
[USG-wlan-sc-2]authentication-methodwpa-wpa2-psk
#配置数据帧的加密套件。
[USG-wlan-sc-2]encryption-suiteccmp
[USG-wlan-sc-2]encryption-suitetkip
#配置预共享(PSK)密钥。
[USG-wlan-sc-2]pre-shared-keypass-phraseabcdefgh
#启用服务类。
[USG-wlan-sc-2]service-classenable
[USG-wlan-sc-2]quit
#在射频接口上配置服务类与WLAN-BSS接口绑定。
[USG]interfacewlan-rf4/0/0
[USG-Wlan-rf4/0/0]bindservice-class2interfacewlan-bss2
[USG-Wlan-rf4/0/0]quit
6.在Vlanif1和Vlanif2接口上配置基于接口的DHCP,使用户能够自动获取IP地址。
#启用DHCP功能。
[USG]dhcpenable
#在Vlanif1接口上配置基于接口的DHCP,并指定DNS服务器的IP地址。
[USG]interfaceVlanif1
[USG-Vlanif1]dhcpselectinterface
[USG-Vlanif1]dhcpserverdns-list202.111.80.106
#在Vlanif2接口上配置基于接口的DHCP,并指定DNS服务器的IP地址。
[USG]interfaceVlanif2
[USG-Vlanif2]dhcpselectinterface
[USG-Vlanif2]dhcpserverdns-list202.111.80.106
7.通过配置NAToutbond,实现内网用户可以使用相同的公网IP地址访问Internet。
#开启域间包过滤规则,确保各种业务顺利进行。
当对网络安全性要求较高时,建议通过policy命令对域间数据流进行访问控制。
[USG]firewallpacket-filterdefaultpermitall
#在Trust和Untrust域间配置NAToutbound,使内网用户通过ADSL上网时使用公网IP地址。
[USG]nat-policyinterzonetrustuntrustoutbound
[USG-nat-policy-interzone-trust-untrust-outbound]policy1
[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource192.168.0.00.0.255.255
[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1]easy-ipDialer0
[USG-nat-policy-interzone-trust-untrust-outbound-1]quit
[USG-nat-policy-interzone-trust-untrust-outbound]quit
#在Trust和DMZ域间配置NAToutbound,使内网用户通过3G上网时使用公网IP地址。
[USG]nat-policyinterzonetrustdmzoutbound
[USG-nat-policy-interzone-trust-dmz-outbound]policy1
[USG-nat-policy-interzone-trust-dmz-outbound-1]policysource192.168.0.00.0.255.255
[USG-nat-policy-interzone-trust-dmz-outbound-1]actionsource-nat
[USG-nat-policy-interzone-trust-dmz-outbound-1]easy-ipDialer1
[USG-nat-policy-interzone-trust-dmz-outbound-1]quit
[USG-nat-policy-interzone-trust-dmz-outbound]quit
8.配置流量监管,为VLAN1和VLAN2分配带宽,实现无线用户和有线用户的带宽划分。
#创建高级ACL3001,命中来自Vlan1的报文。
[USG]acl3001
[USG-acl-adv-3001]rulepermitipsource192.168.0.00.0.0.255
[USG-acl-adv-3001]quit
#创建高级ACL3002,命中来自Vlan2的报文。
[USG]acl3002
[USG-acl-adv-3002]rulepermitipsource192.168.1.00.0.0.255
[USG-acl-adv-3002]quit
#创建流分类。
[USG]trafficclassifier1
[USG-classifier-1]if-matchacl3001
[USG-classifier-1]quit
[USG]trafficclassifier2
[USG-classifier-2]if-matchacl3002
[USG-classifier-2]quit
#创建流行为。
[USG]trafficbehavior1
[USG-behavior-1]carcir1200000
[USG-behavior-1]quit
[USG]trafficbehavior2
[USG-behavior-2]carcir800000
[USG-behavior-2]quit
#定义QoS策略,将流分类和流行为关联。
[USG]qospolicy1
[USG-qospolicy-1]classifier1behavior1
[USG-qospolicy-1]classifier2behavior2
[USG-qospolicy-1]quit
#在Vlanif1和Vlanif2接口上应用QoS策略,分别限制有线用户和无线用户的带宽。
[USG-Vlanif1]qosapplypolicy1inbound
[USG-Vlanif2]qosapplypolicy1inbound
结果验证
1.执行命令displayinterfaceDialer0,可以看到ADSL拨号协商获得的IP地址。
2.[USG]displayinterfaceDialer0
3.Dialer0currentstate:
UP
4.Lineprotocolcurrentstate:
UP(spoofing)
5.Description:
Dialer0Interface,RoutePort
6.TheMaximumTransmitUnitis1500bytes,Holdtimeris10(sec)
7.InternetAddressisnegotiated,202.98.215.61/32
8.LinklayerprotocolisPPP
9.LCPopened,IPCPopened
10.执行命令displayinterfaceDialer1,可以看到3G拨号协商获得的IP地址。
11.[USG]displayinterfaceDialer1
12.Dialer1currentstate:
UP
13.Lineprotocolcurrentstate:
UP(spoofing)
14.Description:
Dialer1Interface,RoutePort
15.TheMaximumTransmitUnitis1500bytes,Holdtimeris10(sec)
16.InternetAddressisnegotiated,202.106.0.20/32
17.LinklayerprotocolisPPP
18.LCPopened,IPCPopened
19.有线用户能够访问Internet,且获取到的IP地址范围是192.168.0.2–192.168.0.254。
20.无线用户能够搜索到SSID为WLAN100的AP,选择WPA-PSK或WPA2-PSK认证方式,并输入预共享密钥abcdefgh后,能够访问Internet。
无线用户获取到的IP地址范围是192.168.1.2–192.168.1.254
21.执行命令displayqospolicyinterface,可以看到接口上的QoS策略。
22.[USG]displayqospolicyinterfaceVlanif1
23.
24.Interface:
Vlanif1
25.
26.Direction:
Outbound
27.
28.Policy:
1
29.Classifier:
default-class
30