企业接入InternetADSL+3G Backup.docx

企业接入InternetADSL+3G Backup.docx

《企业接入InternetADSL+3G Backup.docx》由会员分享，可在线阅读，更多相关《企业接入InternetADSL+3G Backup.docx（17页珍藏版）》请在冰豆网上搜索。

企业接入InternetADSL+3GBackup

企业接入Internet（ADSL+3GBackup）

企业用户可以通过USG实现ADSL方式接入Internet，并以3G方式作为备份。

企业内网用户可以通过无线和有线方式连接USG，并根据需求合理划分带宽。

组网需求

某企业通过USG连接到Internet，企业网络情况和需求如下：

∙企业内网共有20个有线用户和10个无线用户，需要用户之间能够相互访问，并且能够访问Internet。

∙正常情况下，内网用户可以通过ADSL方式接入Internet，实现访问网页、下载资源基本需求。

当ADSL出现故障时，通过3G方式接入Internet，保证业务正常运行。

∙ADSL的带宽为2M，划分给有线用户的总带宽为1.2M，划分给无线用户的总带宽为0.8M。

网络规划

根据企业网络情况和需求，网络规划如下：

∙USG需要安装ADSL接口卡和3G接口卡，并设置ADSL接入功能（采用PPPoE拨号）和3G接入功能。

由于3G是备用接入方式，因此采用按需拨号。

∙为了实现内网无线网络和有线网络的划分，需要在USG上划分两个VLAN，将有线用户部署在VLAN1，无线用户部署在VLAN2。

∙将有线用户通过交换机连接到USG的交换口。

如果网络扩容，可以将新增的有线用户通过交换机连接到USG的其他交换口。

∙无线用户通过WLAN（无线局域网）连接到USG。

为了提高网络的安全性，需要采用基于Crypto服务类的WLAN。

∙所有用户都通过DHCP自动获取IP地址。

有线用户分配到的IP地址为192.168.0.0/24网段的IP地址，无线用户分配到的IP地址为192.168.1.0/24网段的IP地址。

∙需要通过NAT技术实现内网用户可以使用相同的公网IP地址访问Internet。

∙ADSL的总带宽为2M，需要通过QoS技术将使用VLAN1的有线用户带宽设置为1.2M，使用VLAN2的无线用户带宽设置为0.8M，实现带宽的划分。

网络规划后的组网图如图1所示。

图1企业接入互联网组网图

项目

数据

说明

（1）

接口号：

Ethernet1/0/0

Ethernet1/0/0属于VLAN1

Vlanif1的IP地址：

192.168.0.1/24

安全区域：

Trust

Ethernet1/0/0是连接交换机的二层接口。

缺省情况下，所有二层接口都属于VLAN1，Vlanif1的IP地址为192.168.0.1/24。

VLAN1中用户通过DHCP获取到的IP地址范围是192.168.0.2–192.168.0.254

（2）

物理接口：

Wlan-rf4/0/0

逻辑接口：

Wlan-Bss2

Wlan-Bss2属于VLAN2

Vlanif2的IP地址：

192.168.1.1/24

安全区域：

Trust

Wlan-rf4/0/0是WLAN接口卡上的接口，Wlan-Bss2是建立虚拟AP使用的逻辑接口。

VLAN2中用户通过DHCP获取到的IP地址范围是192.168.1.2–192.168.1.254

（3）

物理接口：

ATM2/0/0

逻辑接口：

Dialer0

IP地址：

自协商获得

安全区域：

Untrust

ATM2/0/0是ADSL接口卡上的接口，Dialer0接口通过ADSL拨号自协商获取IP地址。

本举例中使用的是单PVC类型的ADSL接口卡。

（4）

物理接口：

Cellular0/1/0

逻辑接口：

Dialer1

IP地址：

自协商获得

安全区域：

DMZ

Cellular0/1/0是USB3G接口，Dialer1接口通过3G拨号自协商获取IP地址。

ADSL账号

用户名：

adsluser

密码：

Hello123

本例中的ADSL账号仅供举例使用，具体账号请从当地运营商获取。

3G账号

用户名：

3guser

密码：

Password123

本例中的3G账号仅供举例使用，具体账号请从当地运营商获取。

WLAN服务类

∙SSID：

WLAN100

∙服务类型：

加密（Crypto）服务类

∙认证方式：

wpa-wpa2-psk

∙预共享密钥：

abcdefgh

无线用户必须配置与USG相同的SSID才能访问USG。

无线用户的认证方式和预共享密钥必须与USG的相同才能接入无线局域网。

DNS服务器IP地址

IP地址：

202.111.80.106

本例中的DNS服务器IP地址仅供举例使用，具体值需要咨询当地运营商。

操作步骤

1.配置ADSL接入功能，实现USG通过ADSL接入Internet。

#配置拨号访问组对应的拨号规则。

system-view

[USG]dialer-rule10ippermit

#创建Dialer0接口，并进入Dialer视图。

[USG]interfaceDialer0

#新建Dialer用户，用户名为ADSL账户的用户名。

[USG-Dialer0]dialeruseradsluser

#配置接口的DialerBundle。

[USG-Dialer0]dialerbundle5

#配置Dialer0接口关联的拨号访问组，将该接口与指定的拨号控制列表关联起来。

注意：

必须确保命令dialer-groupgroup-number中的参数group-number和dialer-rulerule-number中的参数rule-number保持一致。

ADSL配置中取值为10。

[USG-Dialer0]dialer-group10

#配置使用协商方式获取IP地址。

[USG-Dialer0]ipaddressppp-negotiate

#配置认证，用户名和密码为ADSL账户的用户名和密码。

为了提高密码安全性，password采用cipher方式。

[USG-Dialer0]ppppaplocal-useradsluserpasswordcipherHello123

[USG-Dialer0]pppchapuseradsluser

[USG-Dialer0]pppchappasswordcipherHello123

[USG-Dialer0]quit

说明：

本举例配置了PAP和CHAP两种认证方式。

如果知道对端设备的认证方式，可以只配置PAP认证或者CHAP认证。

#配置将Dialer0接口加入Untrust区域。

[USG]firewallzoneuntrust

[USG-zone-untrust]addinterfaceDialer0

[USG-zone-untrust]quit

#配置PVC。

注意：

PVC的vpi/vci取值需要与当地运营商保持一致。

具体值请咨询当地运营商获取。

[USG]interfaceAtm2/0/0

[USG-Atm2/0/0]pvc8/35

#建立一个PPPoE会话，并指定该会话所对应的DialerBundle。

默认情况下PPPoE的会话方式为永久在线方式。

[USG-Atm2/0/0]pppoe-clientdial-bundle-number5

[USG-Atm2/0/0]quit

2.配置按需拨号的3G功能，实现USG通过3G接入Internet。

#配置拨号访问组对应的拨号规则。

[USG]dialer-rule20ippermit

#创建Dialer1接口，并进入Dialer视图。

[USG]interfaceDialer1

#启用轮询DCC。

[USG-Dialer1]dialerenable-circular

#配置Dialer1接口关联的拨号访问组，将该接口与指定的拨号控制列表关联起来。

注意：

必须确保命令dialer-groupgroup-number中的参数group-number和dialer-rulerule-number中的参数rule-number保持一致。

3G配置中参数取值为20。

[USG-Dialer1]dialer-group20

#配置使用协商方式获取IP地址。

[USG-Dialer1]ipaddressppp-negotiate

#在Dialer接口下配置认证。

[USG-Dialer1]pppchapuser3guser

[USG-Dialer1]pppchappasswordcipherPassword123

#配置拨号串。

3G拨号默认为按需拨号。

注意：

拨号串的具体值请咨询当地运营商。

对于TD-SCDMA（中国移动）和WCDMA（中国联通）的3G数据卡，拨号串（dialernumber）为*99#；对于CDMA2000（中国电信）的3G数据卡，拨号串为#777。

[USG-Dialer1]dialernumber*99#

[USG-Dialer1]quit

#将Cellular接口绑定到Dialer1接口，从而加入相应的拨号轮询组。

说明：

命令dialercircular-groupnumber中的参数number取值是绑定的Dialer接口的编号。

[USG]interfaceCellular0/1/0

[USG-Cellular0/1/0]dialercircular-group1

#配置APN。

注意：

∙不同运营商的APN不同，APN的获取需要咨询当地运营商。

常用的如中国移动（TD-SCDMA）的APN为CMNET，中国联通（WCDMA）的APN为UNINET。

中国电信（CDMA2000）不支持配置APN。

∙配置APN后，APN会记录在数据模块中，以后会一直存在。

如果APN值变化，需要重新配置。

[USG-Cellular0/1/0]apnCMNET

[USG-Cellular0/1/0]quit

#配置将Dialer1接口加入DMZ区域。

[USG]firewallzonedmz

[USG-zone-dmz]addinterfaceDialer1

[USG-zone-dmz]quit

3.配置缺省路由。

通过配置不同的缺省路由优先级，实现ADSL作为主要接入方式，3G作为备用接入方式。

说明：

静态路由默认优先级为60，优先级值越小，优先级越高。

#配置ADSL接入方式的缺省路由。

配置优先级为10，作为主要接入方式。

[USG]iproute-static0.0.0.00.0.0.0Dialer0preference10

#配置3G接入方式的缺省路由。

配置优先级为20，作为备用接入方式。

[USG]iproute-static0.0.0.00.0.0.0Dialer1preference20

4.创建VLAN1，将USG的交换口加入VLAN1，配置Vlanif1接口，并将Vlanif1接口加入Trust区域，实现有线用户连接到USG。

说明：

缺省情况下，所有二层接口都属于VLAN1，Vlanif1的IP地址为192.168.0.1/24。

[USG]vlan1

[USG-vlan-1]portEthernet1/0/0

[USG-vlan-1]quit

[USG]interfaceVlanif1

[USG-Vlanif1]ipaddress192.168.0.124

[USG-Vlanif1]quit

[USG]firewallzonetrust

[USG-zone-trust]addinterfaceVlanif1

[USG-zone-trust]quit

5.配置基于Crypto服务类的WLAN，实现无线用户的WLAN加密接入。

配置过程中需要创建VLAN2，并配置Vlanif2。

#创建VLAN2，并配置Vlanif2，并将Vlanif2加入Trust安全区域。

[USG]vlan2

[USG-vlan-2]quit

[USG]interfaceVlanif2

[USG-Vlanif2]ipaddress192.168.1.124

[USG-Vlanif2]quit

[USG]firewallzonetrust

[USG-zone-trust]addinterfaceVlanif2

[USG-zone-trust]quit

#创建WLAN-BSS接口，将WLAN-BSS接口加入到VLAN2。

[USG]interfacewlan-bss2

[USG-Wlan-Bss2]portaccessvlan2

[USG-Wlan-Bss2]quit

#创建服务类。

[USG]wlanservice-class2crypto

#配置SSID为WLAN100。

[USG-wlan-sc-2]ssidWLAN100

#配置WPA-WPA2-PSK认证模式。

[USG-wlan-sc-2]authentication-methodwpa-wpa2-psk

#配置数据帧的加密套件。

[USG-wlan-sc-2]encryption-suiteccmp

[USG-wlan-sc-2]encryption-suitetkip

#配置预共享（PSK）密钥。

[USG-wlan-sc-2]pre-shared-keypass-phraseabcdefgh

#启用服务类。

[USG-wlan-sc-2]service-classenable

[USG-wlan-sc-2]quit

#在射频接口上配置服务类与WLAN-BSS接口绑定。

[USG]interfacewlan-rf4/0/0

[USG-Wlan-rf4/0/0]bindservice-class2interfacewlan-bss2

[USG-Wlan-rf4/0/0]quit

6.在Vlanif1和Vlanif2接口上配置基于接口的DHCP，使用户能够自动获取IP地址。

#启用DHCP功能。

[USG]dhcpenable

#在Vlanif1接口上配置基于接口的DHCP，并指定DNS服务器的IP地址。

[USG]interfaceVlanif1

[USG-Vlanif1]dhcpselectinterface

[USG-Vlanif1]dhcpserverdns-list202.111.80.106

[USG-Vlanif1]quit

#在Vlanif2接口上配置基于接口的DHCP，并指定DNS服务器的IP地址。

[USG]interfaceVlanif2

[USG-Vlanif2]dhcpselectinterface

[USG-Vlanif2]dhcpserverdns-list202.111.80.106

[USG-Vlanif2]quit

7.通过配置NAToutbond，实现内网用户可以使用相同的公网IP地址访问Internet。

#开启域间包过滤规则，确保各种业务顺利进行。

说明：

当对网络安全性要求较高时，建议通过policy命令对域间数据流进行访问控制。

[USG]firewallpacket-filterdefaultpermitall

#在Trust和Untrust域间配置NAToutbound，使内网用户通过ADSL上网时使用公网IP地址。

[USG]nat-policyinterzonetrustuntrustoutbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy1

[USG-nat-policy-interzone-trust-untrust-outbound-1]policysource192.168.0.00.0.255.255

[USG-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat

[USG-nat-policy-interzone-trust-untrust-outbound-1]easy-ipDialer0

[USG-nat-policy-interzone-trust-untrust-outbound-1]quit

[USG-nat-policy-interzone-trust-untrust-outbound]quit

#在Trust和DMZ域间配置NAToutbound，使内网用户通过3G上网时使用公网IP地址。

[USG]nat-policyinterzonetrustdmzoutbound

[USG-nat-policy-interzone-trust-dmz-outbound]policy1

[USG-nat-policy-interzone-trust-dmz-outbound-1]policysource192.168.0.00.0.255.255

[USG-nat-policy-interzone-trust-dmz-outbound-1]actionsource-nat

[USG-nat-policy-interzone-trust-dmz-outbound-1]easy-ipDialer1

[USG-nat-policy-interzone-trust-dmz-outbound-1]quit

[USG-nat-policy-interzone-trust-dmz-outbound]quit

8.配置流量监管，为VLAN1和VLAN2分配带宽，实现无线用户和有线用户的带宽划分。

#创建高级ACL3001，命中来自Vlan1的报文。

[USG]acl3001

[USG-acl-adv-3001]rulepermitipsource192.168.0.00.0.0.255

[USG-acl-adv-3001]quit

#创建高级ACL3002，命中来自Vlan2的报文。

[USG]acl3002

[USG-acl-adv-3002]rulepermitipsource192.168.1.00.0.0.255

[USG-acl-adv-3002]quit

#创建流分类。

[USG]trafficclassifier1

[USG-classifier-1]if-matchacl3001

[USG-classifier-1]quit

[USG]trafficclassifier2

[USG-classifier-2]if-matchacl3002

[USG-classifier-2]quit

#创建流行为。

[USG]trafficbehavior1

[USG-behavior-1]carcir1200000

[USG-behavior-1]quit

[USG]trafficbehavior2

[USG-behavior-2]carcir800000

[USG-behavior-2]quit

#定义QoS策略，将流分类和流行为关联。

[USG]qospolicy1

[USG-qospolicy-1]classifier1behavior1

[USG-qospolicy-1]classifier2behavior2

[USG-qospolicy-1]quit

#在Vlanif1和Vlanif2接口上应用QoS策略，分别限制有线用户和无线用户的带宽。

[USG]interfaceVlanif1

[USG-Vlanif1]qosapplypolicy1inbound

[USG-Vlanif1]quit

[USG]interfaceVlanif2

[USG-Vlanif2]qosapplypolicy1inbound

[USG-Vlanif2]quit

结果验证

1.执行命令displayinterfaceDialer0，可以看到ADSL拨号协商获得的IP地址。

2.[USG]displayinterfaceDialer0

3.Dialer0currentstate:

UP

4.Lineprotocolcurrentstate:

UP（spoofing）

5.Description:

Dialer0Interface,RoutePort

6.TheMaximumTransmitUnitis1500bytes,Holdtimeris10（sec）

7.InternetAddressisnegotiated,202.98.215.61/32

8.LinklayerprotocolisPPP

9.LCPopened,IPCPopened

10.执行命令displayinterfaceDialer1，可以看到3G拨号协商获得的IP地址。

11.[USG]displayinterfaceDialer1

12.Dialer1currentstate:

UP

13.Lineprotocolcurrentstate:

UP（spoofing）

14.Description:

Dialer1Interface,RoutePort

15.TheMaximumTransmitUnitis1500bytes,Holdtimeris10（sec）

16.InternetAddressisnegotiated,202.106.0.20/32

17.LinklayerprotocolisPPP

18.LCPopened,IPCPopened

19.有线用户能够访问Internet，且获取到的IP地址范围是192.168.0.2–192.168.0.254。

20.无线用户能够搜索到SSID为WLAN100的AP，选择WPA-PSK或WPA2-PSK认证方式，并输入预共享密钥abcdefgh后，能够访问Internet。

无线用户获取到的IP地址范围是192.168.1.2–192.168.1.254

21.执行命令displayqospolicyinterface，可以看到接口上的QoS策略。

22.[USG]displayqospolicyinterfaceVlanif1

23.

24.Interface:

Vlanif1

25.

26.Direction:

Outbound

27.

28.Policy:

1

29.Classifier:

default-class

30